RSSFlux des mises à jour. Abonnement gratuit  Que sont les Flux RSS

Chercher dans ce site
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Spybot – Search & Destroy – Spybot-S&D 1.6.2

Dernière mise à jour
10.01.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Spybot – Search & Destroy (Spybot-S&D) est un logiciel qui, initialement, s'attaquait aux logiciels espions (spywares) et quelques autres formes de parasites comme les adwares, les botnets etc. ... Il a évolué depuis vers une recherche sur un spectre très large de formes de parasites et menaces, mais n'est pas un antivirus.

Spybot Search and Destroy - Spybot-S&D - Version gratuiteSpybot Search and Destroy 1.6.2Spybot Search and Destroy

Spybot Search and Destroy - Spybot-S&D 1.6.2 est en version gratuite pour les particuliers (commerciale pour un usage en environnement professionnel).

Il fonctionne à la demande ("On-demand"), avec un module, appelé "Tea-Timer", fonctionnant en simili temps-réel.

Le développement du code (du programme en lui-même), stable, a cessé le 26 janvier 2009 (la base de signatures est continuellement mise à jour, plusieurs fois par jour).

Dernières mises à jour du code de la branche 1 :
Blindman : version 1.6.0.0 du 26.01.2009
SDFiles : version 1.6.0.3 du 26.01.2009
SDMain : version 1.6.0.0 du 26.01.2009
SDShred : version 1.9.0.0 du 26.01.2009
SDUpdate : version 1.5.2.0 du 26.01.2009
SpybotSD : version 1.6.2.46 du 26.01.2009
TeaTimer : version 1.6.6.32 du 05.03.2009
Update : version 1.6.0.0 du 26.01.2009

Spybot Search and Destroy - Spybot-S&D 1.6.2 est un logiciel Windows développé par un allemand, Patrick Michael Kolla, qui commença son écriture en 2000, alors qu'il était encore étudiant, pour éradiquer deux des tout premiers adwares : Aureate/Radiate et Conducent TimeSink.

Les cibles visées aujour'hui par Spybot Search and Destroy - Spybot-S&D 1.6.2 sont tous les parasites non viraux : ActiveX, Adwares, Cheval de Troie et Charge active, Backdoors, HackTools, Hijacker des navigateurs, Hijackers de page de démarrage, Keyloggers, Batch Viruses, Batch Trojans, BHOs, Internet-Worms, IRC-Worms, email-Worms, Instant-Messaging-Worms, File-sharing Networks Worms, PUPs, JavaScripts, Webserver-Scripts, VBS-Scripts, Virus-Construction Kits, Denial of Service Tools (DoS), Distributed Denial of Service Tools (DDoS), Flooder, Keylogger, Nuker, Sniffer, Cookies de tracking, ...

Depuis la version 1.1 r3 Spybot-S&D comporte également un outil anti-liste de démarrage, une liste hosts et un outil pour la manipuler.

Depuis la version 1.1 r4, Spybot-S&D ajoute un outil de visualisation des Bhos. On y trouve également quelques autres fonctions.

Spybot Search and Destroy est également capable de nettoyer la base de registre et de réparer les Winsock LSPs.

Spybot Search & Destroy - AttentionSpybot Search and Destroy - Spybot-S&D 1.6.2 - AttentionSpybot Search & Destroy - Attention

Attention !

Spybot Search & Destroy 1.6.2 est un scanner d'emplacements privilégiés uniquement - il n'analyse aucun des fichiers (et ne l'a jamais fait). Vous devez précéder le travail de Spybot Search & Destroy par une analyse de vos fichiers avec un scanner complet (travaillant en temps réel, analysant tous les fichiers, s'attaquant à tout le spectre des parasites y compris les virus, comportant une sandbox, effectuant des analyses heuristiques etc. ...).

Spybot Search & Destroy détectera les parasites en cours d'exécution ou déjà installés (et donc identifiables dans la base de registre ou dans d'autres emplacements privilégiés par ces traces exécutables) et éliminera ces traces, mais les fichiers vecteurs de ces parasites ne sont pas recherchés et restent en place.

Dans Réglages > Répertoires, vous pouvez désigner un ou des répertoires à analyser (voire des volumes entiers avec leurs sous-répertoires) mais Spybot ne recherchera pas de virus ou spywares : uniquement quelques installeurs spécifiques.

Spybot Search & Destroy, qui comporte de très bonnes idées, ne doit être utilisé qu'en simple complément, ou en deuxième couche, d'une ou plusieurs autres applications de sécurité temps réel.

Attention !

Le module appelé " Tea Timer " de Spybot Search & Destroy 1.6.2 est présenté comme un module temps réel. C'est totalement faux ! C'est un batch qui tourne à intervales réguliers et qui ne détecte les modifications faites au système que trop tard, une fois les modifications faites (une fois le parasite installé) ! En sus, il ne fait pas la différence entre les modifications normales et celles indésirées ou criminelles, se contentant de les présenter à l'utilisateur et laissant l'utilisateur dans l'expectative devant ces alertes absconses jamais documentées.

Attention !

Le code (le programme en lui-même) de Spybot Search & Destroy 1.6.2 ne connait plus aucune mise à jour depuis le 26 janvier 2009 (annonce), soit presque 4 ans à la date d'écriture de cet article. En informatique de sécurité, c'est une éternité. Spybot Search & Destroy branche 1.6 est en totale perte de vitesse face aux nouvelles attaques et face aux mises à jour technologiques et aux montées en puissance de ses concurents. Les résultats des tests de la revue PC Magazine, qui a noté Spybot Search & Destroy branche 1.6 régulièrement depuis 2003, sont sans appel. Se reporter, désormais, à la branche 2 de SpyBot Search and Destroy :

La version 1.6 de Spybot Search and Destroy, sortie le 26 janvier 2009, n'est même plus évaluée !
La version 1.6 de Spybot Search and Destroy, sortie le 26 janvier 2009, n'est même plus évaluée !

Attention !

La dernière version officielle de Spybot Search & Destroy branche 1, est la version 1.6.2 du 26 janvier 2009. On trouve, sur le Net, sur des sites de téléchargements obscurs, des versions 1.6.3 voire 1.6.4, et même 1.6.5 ! Ces versions n'existent pas et on doit s'attendre, sur ces sites de téléchargement, à des versions piégées servant de cheval de Troie (trojan).

La nouvelle version de Spybot Search & Destroy, à partir du 19.11.2012, est dans la branche 2 de SpyBot.


Spybot Search and Destroy - InstallationSpybot Search and Destroy 1.6.2 - InstallationSpybot Search and Destroy - Installation

Installez-le en double cliquant sur le programme téléchargé. Il est auto-extractible (c'est à dire que vous n'avez pas besoin d'un utilitaire particulier pour le décompresser) et s'auto-installe.

Pour le désinstaller, utilisez la procédure inscrite dans Ajout/suppression de programmes.

L'installation de Spybot Search and Destroy doit se faire avec des droits administratifs. Sur un système comme Windows Seven, même si vous êtes administrateur, votre mode de fonctionnement normal exclu les privilèges administratifs et vous devez élever temporairement vos droits ("exécuter en tant qu'administrateur") pour procéder à l'installation.
  1. L'installeur de Spybot Search and Destroy est une application 32 bits (Comment savoir si une application est 32 bits ou 64 bits). Sous un système 64 bits, puisque le site de Spybot Search and Destroy ne communique pas à ce sujet, il est préférable de passer l'installeur en mode de compatibilité 32 bits.

    Comment savoir si un programme est 32 bits ou 64 bits
    Comment savoir si un programme est 32 bits ou 64 bits

  2. Sous un système protégé, comme Windows Seven, il est préférable que l'installeur ait des droits administratifs pour installer Spybot Search and Destroy.
Pour ces deux points :
  • Localiser le téléchargement de Spybot Search and Destroy (par exemple : spybotsd162.exe).
  • Faire un clic droit dessus.
  • Onglet " Compatibilité ".
  • Cocher la case "Exécuter ce programme en mode de compatibilité pour"
  • Sélectionner la compatibilité Windows XP SP 3
  • Cocher la case "Exécuter ce programme en tant qu'administrateur"
  • Cliquer sur le bouton "Appliquer"
  • Cliquer sur le bouton "Ok"

Passer l'installeur de Spybot Search and Destroy en compatibilité 32 bits avec droits administratifs
Passer l'installeur de Spybot Search and Destroy en compatibilité 32 bits avec droits administratifs


Lancer l'installation qui n'appelle aucune remarque particulière si ce n'est :

Paramétrage des composants de Spybot Search and Destroy à installer
Paramétrage des composants de Spybot Search and Destroy à installer


Une fois l'installation terminée, localiser tous les modules de Spybot-S&D et, pour chacun d'eux, entrer dans les propriétés (clic droit) et cocher la case "Exécuter ce programme en tant qu'administrateur". A faire pour :

Blindman.exe
SDFiles.exe
SDMain.exe
SDShred.exe
SDUpdate.exe
SpybotSD.exe
TeaTimer.exe
Update.exe

Spybot Search and Destroy - Première utilisationSpybot Search and Destroy 1.6.2 - Première utilisationSpybot Search and Destroy - Utilisation

Au premier lancement de Spybot Search and Destroy, une petite fenêtre d'avertissement est troublante et signale que la décontamination peut conduire à l'arrêt de certaines applications qui ne fonctionneraient plus.

Spybot Search and Destroy étant le travail d'un particulier qui n'a pas le poids et la surface financière d'une société pour assurer sa défense, Patrick Kolla a raison de se protéger et de commencer par signaler, lors du premier lancement de Spybot Search and Destroy, que certaines applications pourraient ne plus fonctionner après suppression des parasites qu'elles embarquent. En effet, certaines applications gratuites vérifient que les parasites embarqués sont bien présents et opérationnels (en particulier les parasites publicitaires). Les cas de blocage sont extrêmement rares (ils ont même disparu totalement, semble-t-il) et Patrick Kolla a développé ou utilisé, dans Spybot-S&D, des leures pour contourner le problème (faux parasite inactif mais faisant croire à l'application hôte que son parasite est bien là).

Avertissement - Certaines applications pourraient ne plus fonctionner après éradication de leur parasite
Avertissement - Certaines applications pourraient ne plus fonctionner après éradication de leur parasite

De Gator (aka Claria aka Jellycloud) à SpyBot, Microsoft et FaceBook

Pour mémoire, pour les chercheurs et archéologues en matière de sécurité informatique :
Rappelons que Spybot Search and Destroy s'est servi, par exemple, du dummy de Gator, faux parasite inactif écrit par Cexx, un des sites américains les plus pointus en matière de sécurité, pour virer le vrai parasite (le fichier CD_CLINT.DLL) et le remplacer par un leurre tout en maintenant le fonctionnement des applications ainsi décontaminées. La manière dont le spyware Gator est implanté dans ses hôtes fait qu'il n'est pas possible de l'éradiquer sans que l'application décontaminée continue de fonctionner (le spyware doit rester présent !). C'est ainsi que l'anti-spyware Ad-Aware, totalement dépassé, plante régulièrement KaZaA tandis que Spybot-S&D, beaucoup plus subtil, permet la poursuite saine de l'exploitation des logiciels désinfectés.

Gator (aka Claria aka Jellycloud)
Claria Corporation mit au point, en 1999, un parasite nommé Gator, classé en adware et spyware, infestant les applications gratuites telles que Go!Zilla ou Kazaa et toutes les applications gratuites développées par Claria Corporation pour déployer leur parasite. L'une de ces applications fut eWallet, un outil très répandu, de type carnet de gestion des données personnelles ! Vers mi-2003, on estime que 35 millions d'ordinateurs étaient infestés par Gator. Microsoft AntiSpyware cessa de détecter le spyware et adware Gator en juillet 2005, révellant la collusion entre acteurs de l'Internet dont le métier est le tracking (qui n'est rien d'autre qu'un autre mot pour désigner de l'espionnage), le profiling et le matracage publicitaire. Agissant en tant que l'un des principaux espion du monde, disputant la première place à Google, Microsoft aurait envisagé, dès juin 2005, le rachat de Claria Corporation afin d'étendre ses revenus publicitaires. Le 22 mars 2006, Claria annonce son intention de vendre son activité Gator et cesse d'afficher des pop-up publicitaires le 1er juillet 2006 (mais crée une nouvelle société : NebuAd, toujours avec l'approche tracking - profiling et publicités ciblées). Le 21 avril 2008, le nom de domaine Gator est vendu. A cette date, la société Claria change de nom pour s'appeler " Jellycloud ", lève 11,5 millions d'US$ auprès d'investisseurs et est liquidée judiciairement 5 mois plus tard, le 30 septembre 2008.

De la société d'espionnage Gator (aka Claria aka Jellycloud) à Facebook
L'ancien PDG de Gator, Jeff McFadden, et l'ancien vice-président du développement des affaires de Gator, Weisman Mitchell (son contrat de travail chez Gator), font maintenant partie de l'équipe de direction de LifeStreet Corporation, le plus grand réseau d'annonces sur Facebook, Weisman en tant que CEO et McFadden en tant que vice-président exécutif.


La première utilisation de Spybot Search and Destroy commence par une phase initiale en sept étapes (dont seules deux sont apparentes).
  1. Etape 1 sur 7 : Placer une icône sur le Bureau

  2. Etape 2 sur 7 : Créer un point de restauration système

  3. Etape 3 sur 7 : Créer une sauvegarde du registre ?
    Oui. Permet à Spybot Search and Destroy d'avoir un point de " restauration système " juste avant sa première utilisation qui est celle où, généralement, le plus grand nombre de parasites va être trouvé et éradiqué. Ceci pouvant durer plusieurs minutes, on reprochera à Spybot Search and Destroy de ne pas faire apparaître une barre de progression ou un objet animés durant l'attente. La seule indication que la sauvegarde est terminée est le changement de couleur du bouton " Suivant " qui est grisé durant l'exécution de la sauvegarde.

  4. Etape 4 sur 7 : Utiliser ce proxy (après détection du paramétrage d'un proxy dans IE

  5. Etape 5 sur 7 : Rechercher des mises à jour des bases de signatures de Spybot Search and Destroy.
    Oui.

    Exemple de paramétrage d'une mise à jour
    Exemple de paramétrage d'une mise à jour

  6. Etape 6 sur 7 :
    Vacciner le système. Cette étape sera accessible après le premier lancement de Spybot Search and Destroy ou après un clic sur le bouton "astuces".

  7. Etape 7 sur 7 :
    Lire le guide d'utilisation et lire le fichier d'aide.

Spybot Search and Destroy - AnecdoteSpybot Search and Destroy 1.6.2 - AnecdoteSpybot Search and Destroy - Anecdote

Il faut lire l'accord de licence de Spybot Search and Destroy (Spybot-S&D), lors de son installation. C'est assez étonnant, voire amusant. Ce n'est pas une société qui écrit mais Patrick Kolla lui-même. A plusieurs reprises, le texte ne dit pas que Spybot Search and Destroy (Spybot-S&D) ou Safer-Networking fait ceci ou cela mais " je " fait ceci ou cela... Tout cela, la qualité du site en lui-même et Spybot Search and Destroy (Spybot-S&D) version 1 donnent une impression de travail personnel, individuel, voire d'amateurisme (au sens cordial du terme).