Sophos Anti-Virus pour Windows 2000+ : décider d'autoriser ou de bloquer un fichier

Lorsque Sophos Anti-Virus trouve un fichier ou un programme suspect, il peut seulement indiquer que le fichier ou le comportement peut être une menace. Vous devez donc examiner le fichier pour déterminer si vous souhaitez le bloquer ou l'autoriser. Dans certains cas, il peut s'agir d'un fichier sain et légitime alors que dans d'autres, il peut s'agir d'un malware non identifié. Cet article constitue un processus qui vous aidera à prendre la bonne décision lorsque vous obtiendrez une alerte.

1. Quelle tâche était en cours d'exécution au moment de l'alerte et quel est l'élément signalé ?

   Si un logiciel était en cours d'installation ou de mise à jour et si l'élément signalé semble lié à cette opération, l'alerte peut être une détection indésirable déclenchée par le processus d'installation ou de mise à jour.

   Les programmes légitimes peuvent inclure des programmes d'installation, des programmes de mise à jour planifiée et d'autres outils de mise à jour, ainsi que d'autres programmes qui modifient le registre, les processus ou des fichiers programme et de données.

   Pour éviter ces désagréments à l'avenir, nous vous conseillons de configurer HIPS en mode 'alerter seulement' pendant l'installation ou la mise à jour du logiciel. Si vous avez des logiciels qui se mettent souvent à jour seuls, ajoutez-les à la liste des programmes autorisés. Pour plus d'instructions, reportez-vous à l'article Sophos Anti-Virus pour Windows 2000+ : autorisation des éléments suspects.

2. Le fichier signalé est-il nouveau sur l'ordinateur/réseau ?

   Cela fait-il des années qu'il s'y trouve ? Sinon, comment s'est-il retrouvé là ? Si vous connaissez l'histoire du fichier, il est moins probable qu'il s'agisse d'une menace authentique.

3. Quel comportement l'élément suspect affiche-t-il ?

   Consultez le site Web de Sophos pour lire une description de l'élément suspect. Le comportement est-il raisonnable par rapport à l'élément signalé ? Si un fichier normalement légitime commence à se comporter de manière suspecte, cela peut indiquer qu'un malware a infecté la machine.

4. Combien d'alertes avez-vous vu pour ce fichier et à quelle fréquence apparaissent-elles?

   Une même alerte de comportement signalée toutes les secondes ou toutes les deux secondes est une bonne indication d'une infection possible par un malware, même si l'élément signalé est considéré légitime !

5. Quel est le chemin de l'élément signalé ?

   Le fichier se trouve-t-il dans le dossier cache Internet ? Si oui, avez-vous récemment téléchargé des fichiers ? Avez-vous effectué ce téléchargement depuis un site Web fiable ? Si l'élément signalé figure dans le dossier cache Internet et si vous n'avez pas volontairement téléchargé de fichiers, il y a de grandes chances pour qu'il s'agisse d'une authentique menace.

Et ensuite ?

• Si, après avoir lu ce guide, vous décidez que l'élément est légitime, autorisez-le. En cas d'identification d'une application dont vous savez qu'elle est largement utilisée et si vous considérez que le niveau de détection est trop sensible, veuillez soumettre le fichier aux SophosLabs en demandant que l'application soit examinée.
  
• Si vous décidez que l'élément est suspect et si vous êtes réticent à l'autoriser, envoyez-le aux SophosLabs pour analyse.

Pour obtenir de l'aide sur la collecte et le transfert des fichiers aux SophosLabs, reportez-vous aux articles de la base de connaissances suivants : Comment soumettre des échantillons de fichiers suspects à Sophos et Collecte d'échantillons bloqués par le contrôle sur accès.

Dans certains cas, Sophos fournit une mise à jour de la détection de l'application que vous avez demandé, dans d'autres cas, il se peut que la mise à jour ne soit pas appropriée. Toutefois, vous avez la possibilité à tout moment d'autoriser ou de bloquer les applications, conformément aux besoins de votre entreprise.