shady man accessing a login page with a laptop on table

Table des matières

L'un des types de logiciels malveillants les plus dangereux est conçu pour obtenir un accès à distance au PC d'une victime, tels que les chevaux de Troie (rats) et les rootkits au niveau du noyau. Ils fonctionnent silencieusement, ce qui rend la détection difficile. Si vous vous inquiétez si quelqu'un a un accès à distance non autorisé à votre PC Windows, apprenez à confirmer et supprimer la menace.

Les signes d'avertissement de quelqu'un ont accès à votre PC

Bien que la plupart des tentatives d'accès à distance soient silencieuses, elles sont livrées avec certains signes d'avertissement. Bien que ces signes puissent être considérés comme des problèmes de fenêtres courants, combinés, ils peuvent être une preuve solide de l'activité d'accès à distance.

  • Activité inhabituelle de souris / clavier: Si votre curseur se déplace de manière irrégulière ou si le texte est tapé sans votre entrée, il pourrait s'agir du travail d'un outil distant. Même lorsqu'ils ne contrôlent pas activement, ces outils peuvent provoquer des problèmes comme le saut / téléportation du curseur. Ce panneau peut également fonctionner comme une confirmation si la souris et le clavier commencent à exécuter des tâches comme l'accès à la barre d'adresse du navigateur et la saisie d'une adresse de site Web.
  • Programmes ouverts et fermer par eux-mêmes: Un pirate peut également envoyer des commandes pour ouvrir des applications spécifiques (comme Antivirus ou l'invite de commande) pour contrôler davantage le système ou désactiver les fonctions de sécurité. Si vous remarquez que les programmes s'ouvrirent et se ferment par eux-mêmes, c'est un drapeau rouge.
  • Création de nouveaux comptes d'utilisateurs inconnus: Certains mauvais acteurs peuvent essayer de créer des comptes secondaires pour avoir un accès persistant même après la détection. Ils désactiveront probablement la commutation des utilisateurs pour masquer les comptes de l'écran de verrouillage. Aller à Windows Paramètres -> Compteset recherchez des comptes secondaires dans le Famille et Autres utilisateurs sections.
  • Performance lente soudaine: L'activité de télécommande consomme également de nombreuses ressources, vous pouvez donc remarquer une baisse soudaine des performances. Cela vaut particulièrement la peine d'être considéré si les baisses de performances surviennent occasionnellement en raison de l'activité de télécommande.
  • Windows Remote Desktop est activé seul: Windows Remote Desktop est assez vulnérable, donc les pirates l'utilisent souvent pour créer une connexion distante. Il est désactivé par défaut, donc s'il est activé sans votre intervention, cela pourrait être un pirate. Dans les paramètres Windows, allez à Système -> Bureau à distance et voyez s'il a été activé.
Bureau à distance désactivé dans les paramètres Windows

Comment confirmer que votre PC est accessible à distance

Si vous remarquez les signes ci-dessus, prenez les mesures nécessaires pour confirmer la suspicion. Vous pouvez suivre l'activité des composants / applications impliqués dans le processus d'accès à distance pour confirmer que quelqu'un accéde à votre PC Windows. Voici quelques-unes des méthodes les plus fiables:

Vérifiez les journaux de la visionneuse d'événements Windows

La visionneuse d'événements Windows est un excellent outil intégré pour suivre l'activité des utilisateurs et aider à détecter les tentatives d'accès à distance en suivant les journaux d'activité RDP et de connexion.

Recherchez «Viewer Event» dans la recherche Windows et ouvrez le Visionneuse d'événements.

Passer à Journaux Windows -> Sécuritéet cliquez sur le ID d'événement onglet pour trier les événements par id. Recherchez tous les événements avec ID 4624et vérifiez leurs coordonnées pour vous assurer qu'il n'y a pas d'événements avec Logon Type 10. L'ID de l'événement 4624 est destiné aux tentatives de connexion, et la connexion Type 10 correspond à des connexions distantes à l'aide de services d'accès à distance, que les pirates peuvent utiliser.

Visionneuse d'événement Windows affichant l'ID d'événement

Vous pouvez également rechercher un identifiant d'événement 4778car il affiche la reconnexion de session à distance. La page Détails de chaque événement vous indiquera des détails d'identification importants, comme le nom de compte ou l'adresse IP réseau.

Suivre le trafic réseau

L'accès à distance dépend de la connexion réseau, donc le suivi du trafic réseau est un moyen fiable de le détecter. Nous vous recommandons d'utiliser la version gratuite Glasswire pour cela, car elle aide à la fois à suivre et à se défendre automatiquement contre les connexions malveillantes.

Dans l'application Glasswire, vous verrez toutes les connexions d'application sous le Glasswire Protect section. L'application évaluera automatiquement les connexions et signalera les connexions indignes de confiance. Dans la plupart des cas, il devrait être en mesure de détecter des connexions à distance malveillantes et vous avertir.

Section de cote de verre dans l'interface principale

Au-delà des algorithmes de l'application, vous pouvez également rechercher des indices comme une utilisation élevée des données d'une application inconnue. La connexion à distance utilise des données continues, il devrait donc être facile à détecter.

Regardez les tâches planifiées

De nombreuses tentatives d'accès à distance sont gérées à l'aide de l'outil de planificateur de tâches dans Windows. Cela les aide à persister à travers les redémarrages PC et à exécuter des tâches sans avoir à fonctionner en continu. Si votre PC est infecté, vous devriez voir des tâches à partir d'applications inconnues dans le planificateur de tâches.

Recherchez «Task Scheduler» dans la recherche Windows et ouvrez l'application Task SchedUper. Dans le panneau à gauche, ouvert Planificateur de tâches (local) -> Bibliothèque du planificateur de tâches. Recherchez tout dossier inconnu ou suspect autre que Microsoft. Si vous en trouvez, cliquez avec le bouton droit sur la tâche et sélectionnez Propriétés.

Menu de propriétés de tâche dans Windows Task Scheduler

Dans les propriétés, regardez à travers le Déclencheurs et Actes Onglets pour savoir ce que fait la tâche et quand il s'exécute, ce qui devrait être suffisant pour comprendre s'il est mauvais. Par exemple, si la tâche exécute une application ou un script inconnu lors de la connexion ou lorsque le système est inactif, cela pourrait être à des fins malveillantes.

Onglets de déclenchement et d'action des propriétés de la tâche

Si vous ne trouvez pas de tâches suspectes, vous voudrez peut-être jeter un œil au dossier Microsoft. Il est possible que des logiciels malveillants sophistiqués se cachent dans les dossiers du système. Recherchez des tâches qui semblent suspectes, comme avoir des noms génériques comme «Systemmonitor» ou des noms mal orthographiés. Heureusement, vous n'aurez pas à rechercher chaque tâche, car la plupart auront l'auteur en tant que Microsoft Corporation, qui est sûr à sauter.

Comment arrêter l'accès à distance et sécuriser votre PC

Une fois que vous avez confirmé que quelqu'un avait un accès à distance à votre PC Windows, votre première étape devrait se déconnecter d'Internet afin qu'il ne puisse pas faire d'autres dégâts. Votre priorité devrait être le contrôle des dommages plutôt que de se débarrasser de la menace. Par conséquent, utilisez un autre appareil pour réinitialiser les mots de passe des comptes importants, comme le courrier électronique, les comptes financiers, les comptes de médias sociaux, etc., vous assurez également de sauvegarder des données importantes.

Suivez les méthodes ci-dessous pour vous débarrasser des logiciels malveillants d'accès à distance:

Exécuter Microsoft Defender Offline Scan

Si votre système de sécurité n'est pas en mesure de détecter ou de se protéger contre cette attaque d'accès à distance, il pourrait s'agir de logiciels malveillants avancés, comme Rootkits ou BootKits. La numérisation hors ligne de Microsoft Defender pourrait vous aider. Il analysera votre PC pendant le démarrage dans un environnement sécurisé et minimal pour trouver des logiciels malveillants lorsqu'il est inactif.

Pour exécuter l'analyse, recherchez «Windows Security» dans la recherche Windows et ouvrez le Sécurité Windows App.

Aller à Virus et protection des menaces -> Options de numérisationsélectionner Microsoft Defender Antivirus (scan hors ligne)et cliquez Scanner maintenant.

Exécution de Windows Defender Offline Scan

Cela redémarrera votre PC et exécutera une analyse complète du système. Si des menaces sont trouvées, ils seront dans le Historique de la protection Section de l'application Windows Security.

Débarrassez-vous des programmes suspects

Que l'analyse détecte quelque chose ou non, vous devez effectuer un audit manuel des programmes pour vous assurer que vous n'avez pas de programme inconnu agissant comme passerelle. Dans les paramètres Windows, allez à Applications -> Applications installéeset recherchez toutes les applications qui ne font pas partie de Windows et que vous ne vous souvenez pas d'installation. De plus, débarrassez-vous des applications d'accès à distance qui pourraient être compromises, comme TeamViewer, AnyDesk, VNC, Chrome Remote Desktop, etc.

Il est possible qu'une extension de navigateur malveillant soit la cause. Assurez-vous de vérifier toutes les extensions et de désinstaller des extensions ombragées.

Bloquer les ports d'accès à distance entrants dans le pare-feu

Si vous n'accédez pas à distance à votre PC ou ne recevez pas de l'aide de quiconque, vous pouvez bloquer les ports entrants communs pour les connexions distantes dans le pare-feu. Cela bloque les connexions distantes entrantes mais vous permet de contrôler d'autres appareils si nécessaire.

Rechercher le «pare-feu Windows Defender» dans la recherche Windows et ouvrez le Pare-feu Windows Defender avec sécurité avancée App.

Sélectionner Règles entrantes -> Nouvelle règlealors Port -> Suivant. Sélectionnez TCP et fournissez l'un des numéros de port répertoriés ci-dessous.

  • 3389 (Windows Remote Desktop)
  • 5900 (informatique réseau virtuel)
  • 5938 (TeamViewer)
  • 6568 (Anydesk)
  • 8200 (Gotomypc)
Créer une règle entrante dans le pare-feu Windows

Sélectionner Bloquer la connexionet complétez la configuration pour créer les règles. Assurez-vous de donner un nom clair à la règle afin que vous puissiez l'identifier plus tard. Répétez ce processus pour que chaque port le bloque.

Faites une installation de fenêtres propres si nécessaire

Si rien ne fonctionne ou si vous ne voulez pas prendre de risques, faire une installation de fenêtres propres est une autre option. Il est extrêmement rare pour les logiciels malveillants de survivre à la fois une analyse antivirus hors ligne et une installation de système d'exploitation propre. Cependant, vous devrez sauvegarder vos données importantes, car une installation propre supprimera toutes les données sur votre PC.

Consultez notre guide sur la façon d'effectuer une installation propre de Windows pour apprendre toutes les étapes pour installer en toute sécurité une fenêtre propre.

Ne prenez jamais de risques si vous vous méfiez de l'accès aux PC, qu'il s'agisse d'un accès à distance ou d'un accès local. Un tel contrôle dégénère toujours des problèmes de sécurité plus importants. Bien sûr, il est préférable d'empêcher que cela se produise en premier lieu, alors assurez-vous d'utiliser ces paramètres de sécurité Windows et les options avancées de défenseur Windows.

Partager :
Facebook
Twitter
LinkedIn

Gentil Geek

Passionné d'informatique depuis ma plus tendre enfance aujourd'hui j'en ai fait mon métier. A vos côtés pour simplifier votre utilisation de l'informatique et vous permettre de gagner en compétences.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *