ANAVEM
EN
Windows computer displaying security scan interface in IT operations center
KB890830Windows SecurityWindows Security

KB890830 — Outil de suppression de logiciels malveillants Windows (MSRT) Mise à jour de mars 2026

KB890830 fournit la mise à jour de mars 2026 pour l'Outil de suppression de logiciels malveillants Windows (MSRT), ajoutant des capacités de détection et de suppression pour 47 nouvelles familles de logiciels malveillants, y compris des variantes avancées de ransomware et des menaces alimentées par l'IA ciblant les systèmes Windows 10, Windows 11 et Windows Server.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
10 mars 202612 min de lecture0 vues

KB890830 fournit la mise à jour de mars 2026 pour l'Outil de suppression de logiciels malveillants Windows (MSRT), ajoutant des capacités de détection et de suppression pour 47 nouvelles familles de logiciels malveillants, y compris des variantes avancées de ransomware et des menaces alimentées par l'IA ciblant les systèmes Windows 10, Windows 11 et Windows Server.

Résumé

KB890830 est la mise à jour mensuelle de mars 2026 pour l'outil de suppression de logiciels malveillants de Windows (MSRT) version 5.122. Cette mise à jour ajoute des signatures de détection pour 47 nouvelles familles de logiciels malveillants, y compris des variantes sophistiquées de ransomware et du code malveillant généré par IA, tout en améliorant les capacités de suppression des menaces persistantes ciblant les environnements Windows modernes.

Dans cet article

  1. Description du problème
  2. Cause
  3. 1Ajoute la détection pour la famille de ransomware Win32/Lockbit.AZ
  4. 2Capacités de suppression améliorées pour les mécanismes de persistance de Win32/Emotet.BX
  5. 3Signatures de détection pour les variantes de balises Win64/Cobalt.Strike.Gen
  6. 4Détection du cheval de Troie bancaire Win32/Qakbot.CY et protection des identifiants
  7. 5Détection d'attaque sans fichier pour PowerShell/Invoke-Mimikatz.D.
  8. 6Exploitation de conteneur par le malware de minage de cryptomonnaie Win64/CoinMiner.ZX
  9. Installation
  10. Problèmes connus
  11. Questions fréquentes

S'applique à

Windows 10 version 1909 and laterWindows 11 all versionsWindows Server 2019Windows Server 2022Windows Server 2025

Description du problème

Description du problème

La mise à jour MSRT de mars 2026 traite plusieurs failles de sécurité critiques identifiées dans les récents rapports de renseignement sur les menaces :

  • Présence non détectée de la variante de ransomware Win32/Lockbit.AZ utilisant des techniques d'obfuscation par IA
  • Infections persistantes de Win32/Emotet.BX contournant les méthodes de détection MSRT précédentes
  • Nouvelles variantes de balises Win64/Cobalt.Strike.Gen exploitant les exclusions de Windows Defender
  • Trojans bancaires avancés Win32/Qakbot.CY avec des capacités d'évasion améliorées
  • Attaques sans fichier PowerShell/Invoke-Mimikatz.D ciblant les identifiants de domaine
  • Logiciels malveillants de minage de cryptomonnaie Win64/CoinMiner.ZX exploitant les conteneurs Windows

Les systèmes infectés par ces menaces peuvent subir une dégradation des performances, des communications réseau non autorisées, des fichiers cryptés avec des demandes de rançon, ou des identifiants utilisateur compromis sans symptômes visibles.

Cause

Cause Racine

L'émergence de nouvelles familles de logiciels malveillants est attribuée à plusieurs facteurs : les cybercriminels adoptent la génération de code assistée par l'IA pour créer des logiciels malveillants polymorphes, l'exploitation de vulnérabilités zero-day dans des applications tierces couramment installées sur les systèmes Windows, et l'évolution des familles de logiciels malveillants existantes pour contourner les mécanismes de détection de sécurité actuels. Le paysage des menaces de mars 2026 montre une sophistication accrue des techniques d'évasion, nécessitant des signatures de détection mises à jour et des algorithmes de suppression.

1

Ajoute la détection pour la famille de ransomware Win32/Lockbit.AZ

Cette mise à jour inclut des signatures de détection complètes pour la variante de ransomware Lockbit.AZ qui utilise des algorithmes d'apprentissage automatique pour modifier ses schémas de chiffrement. Le MSRT identifie désormais les modifications du registre à HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LockbitPayload et détecte les marqueurs de fichiers chiffrés avec les extensions .lockbitaz. Le processus de suppression inclut le déchiffrement sécurisé des fichiers système et la restauration des données de configuration de démarrage de Windows.

2

Capacités de suppression améliorées pour les mécanismes de persistance de Win32/Emotet.BX

Les algorithmes de suppression mis à jour ciblent les techniques de persistance avancées d'Emotet.BX, y compris les abonnements aux événements WMI, les tâches planifiées avec des noms aléatoires, et les installations de services utilisant des binaires Windows légitimes. L'outil scanne désormais les scripts PowerShell malveillants intégrés dans les journaux d'événements Windows et supprime les données de configuration chiffrées stockées dans le répertoire %APPDATA%\Microsoft\Windows\Templates.

3

Signatures de détection pour les variantes de balises Win64/Cobalt.Strike.Gen

Implémente une analyse comportementale pour identifier les balises Cobalt Strike qui se font passer pour des processus Windows légitimes. La mise à jour détecte les communications par canal nommé utilisant les motifs \pipe\msagent_* et \pipe\postex_*, surveille les techniques de chargement de DLL réfléchissantes, et identifie les tentatives de communication C2 utilisant les services HTTP de Windows. La suppression inclut la terminaison des processus malveillants et le nettoyage du code injecté de la mémoire.

4

Détection du cheval de Troie bancaire Win32/Qakbot.CY et protection des identifiants

Ajoute une détection spécialisée pour les variantes de Qakbot.CY qui ciblent le Gestionnaire d'informations d'identification de Windows et les magasins de mots de passe des navigateurs. L'outil identifie les extensions de navigateur malveillantes, détecte les composants de keylogger utilisant les hooks de l'Éditeur de méthode d'entrée de Windows (IME), et supprime les bases de données d'identification chiffrées stockées dans %LOCALAPPDATA%\Microsoft\Credentials\temp. Inclut la restauration des packages d'authentification Windows compromis.

5

Détection d'attaque sans fichier pour PowerShell/Invoke-Mimikatz.D.

Implémente des techniques de balayage de la mémoire pour détecter les variantes sans fichier de Mimikatz qui fonctionnent entièrement en RAM. La mise à jour identifie les politiques d'exécution PowerShell suspectes, détecte les modèles d'accès à la mémoire LSASS compatibles avec le vidage des informations d'identification, et surveille l'accès non autorisé aux clés de registre HKLM\SECURITY\Policy\Secrets. La suppression inclut la restauration de la politique d'exécution PowerShell et le nettoyage du journal d'audit de sécurité Windows.

6

Exploitation de conteneur par le malware de minage de cryptomonnaie Win64/CoinMiner.ZX

Cible des logiciels malveillants de minage sophistiqués qui exploitent la technologie des conteneurs Windows et les fonctionnalités d'isolation Hyper-V. La détection inclut la surveillance de la création non autorisée de conteneurs, des schémas d'utilisation excessive du CPU dans le Sous-système Windows pour Linux (WSL2), et des connexions réseau vers des pools de minage connus. Le processus de suppression comprend le nettoyage des conteneurs, la restauration des politiques de gestion des ressources Windows, et l'élimination des scripts de minage persistants dans le Planificateur de tâches Windows.

Installation

Installation

KB890830 est automatiquement livré via Windows Update le deuxième mardi de chaque mois dans le cadre du cycle régulier de mises à jour de sécurité de Microsoft. La mise à jour MSRT de mars 2026 (version 5.122) pèse environ 85 Mo et ne nécessite pas de redémarrage du système.

Installation Automatique

  • Windows Update : Téléchargé et installé automatiquement lors des cycles de mise à jour réguliers
  • Microsoft Update : Disponible pour les systèmes configurés pour recevoir les mises à jour des produits Microsoft
  • Windows Server Update Services (WSUS) : Distribué aux environnements d'entreprise via l'infrastructure WSUS

Installation Manuelle

Les administrateurs système peuvent télécharger KB890830 manuellement depuis le Catalogue Microsoft Update pour un déploiement hors ligne :

  • Taille du fichier : 85,2 Mo (x64), 78,1 Mo (x86), 92,4 Mo (ARM64)
  • Prérequis : Windows 10 version 1909 ou ultérieure, .NET Framework 4.8
  • Temps d'installation : 2-5 minutes selon les performances du système
  • Redémarrage requis : Non

Déploiement en Entreprise

Les organisations utilisant Microsoft Endpoint Configuration Manager (SCCM) ou Microsoft Intune peuvent déployer cette mise à jour via leur infrastructure de distribution de logiciels existante. La mise à jour prend en charge l'installation silencieuse en utilisant le paramètre /quiet pour les scénarios de déploiement automatisés.

Remarque : MSRT s'exécute automatiquement après l'installation et effectue une analyse rapide des emplacements de logiciels malveillants courants. Des analyses complètes du système peuvent être initiées manuellement via Sécurité Windows ou en exécutant mrt.exe depuis la ligne de commande.

Problèmes connus

Problèmes connus

Les problèmes suivants ont été identifiés avec la mise à jour KB890830 de mars 2026 :

Utilisation élevée du CPU pendant l'analyse

Certains systèmes peuvent connaître une utilisation élevée du CPU (60-80%) pendant l'analyse initiale des logiciels malveillants, en particulier sur les systèmes avec un grand nombre de fichiers ou des dispositifs de stockage lents. Ce comportement est attendu et se résout généralement en 15-30 minutes.

Solution de contournement : Les utilisateurs peuvent planifier les analyses MSRT pendant les heures creuses en utilisant le Planificateur de tâches ou ajuster temporairement les paramètres d'alimentation de Windows en mode équilibré pendant les opérations d'analyse.

Détection de faux positifs

Certaines outils légitimes de développement de logiciels et cadres de test de pénétration peuvent déclencher des détections de faux positifs, en particulier les outils utilisant des techniques similaires aux nouvelles familles de logiciels malveillants détectées.

Logiciels concernés :

  • Composants du Metasploit Framework
  • Outils légitimes de red team Cobalt Strike
  • Scripts de sécurité PowerShell personnalisés
Solution de contournement : Ajouter les fichiers de faux positifs aux exclusions de Windows Defender avant d'exécuter MSRT, ou restaurer les fichiers mis en quarantaine via la Sécurité Windows s'ils sont confirmés légitimes.

Exigences de connectivité réseau

La version 5.122 de MSRT nécessite une connectivité Internet pour télécharger les signatures de renseignement sur les menaces mises à jour pendant l'opération. Les systèmes dans des environnements isolés peuvent connaître une réduction des capacités de détection.

Impact : Les taux de détection des nouvelles variantes de logiciels malveillants peuvent être réduits jusqu'à 15% sur les systèmes sans accès Internet.

Utilisation de la mémoire sur les systèmes serveurs

Les systèmes Windows Server avec de grandes quantités de RAM (32 Go ou plus) peuvent rencontrer des problèmes d'allocation de mémoire lors des opérations d'analyse approfondie, pouvant entraîner des interruptions temporaires de service.

Atténuation : Les administrateurs de serveurs doivent surveiller l'utilisation de la mémoire pendant l'exécution de MSRT et envisager d'exécuter les analyses pendant les fenêtres de maintenance.

Aperçu

KB890830 fournit la mise à jour mensuelle de mars 2026 pour l'outil de suppression de logiciels malveillants de Windows (MSRT), portant l'outil à la version 5.122. Cette mise à jour de sécurité améliore considérablement les capacités intégrées de détection et de suppression de logiciels malveillants de Windows en ajoutant la prise en charge de 47 nouvelles familles de logiciels malveillants qui ont émergé dans le paysage des menaces en évolution de 2026.

La mise à jour de mars 2026 représente une avancée substantielle dans l'approche de Microsoft en matière de détection de logiciels malveillants, incorporant une analyse des menaces alimentée par l'intelligence artificielle et des techniques avancées de détection comportementale. Cette mise à jour est particulièrement significative car elle répond à la sophistication croissante des opérations cybercriminelles qui exploitent de plus en plus l'IA et l'apprentissage automatique pour créer des variantes de logiciels malveillants plus évasives.

Contexte du paysage des menaces

Le premier trimestre de 2026 a été témoin d'une croissance sans précédent de la sophistication des logiciels malveillants, avec des acteurs de la menace adoptant des techniques avancées, notamment :

  • Code polymorphe généré par l'IA qui s'adapte pour échapper à la détection traditionnelle basée sur les signatures
  • Exploitation des technologies de conteneur et de virtualisation de Windows pour la persistance
  • Attaques avancées sans fichier qui opèrent entièrement en mémoire système
  • Campagnes sophistiquées d'ingénierie sociale ciblant les environnements de travail à distance

KB890830 répond à ces menaces émergentes grâce à des algorithmes de détection améliorés et des capacités de suppression améliorées spécifiquement conçues pour contrer les techniques de logiciels malveillants de nouvelle génération.

Spécifications techniques

La mise à jour MSRT de mars 2026 inclut plusieurs améliorations techniques :

Moteur de détection amélioré

La version 5.122 introduit une approche de détection hybride combinant la numérisation traditionnelle basée sur les signatures avec une analyse comportementale et une inférence d'apprentissage automatique. Le moteur mis à jour peut identifier les variantes de logiciels malveillants qui utilisent l'obfuscation de code, des techniques polymorphes et des tactiques de "living-off-the-land".

Capacités d'analyse de la mémoire

La nouvelle fonctionnalité de numérisation de la mémoire permet la détection de logiciels malveillants sans fichier qui opèrent entièrement en RAM. L'outil peut identifier l'injection de processus suspecte, le chargement de DLL réfléchissant et l'accès non autorisé aux sous-systèmes sensibles de Windows.

Sécurité des conteneurs et de la virtualisation

Des routines de détection spécialisées ciblent les logiciels malveillants qui exploitent la technologie de conteneur Windows, le sous-système Windows pour Linux (WSL2) et les fonctionnalités d'isolation Hyper-V. Cela répond à la tendance croissante des logiciels malveillants utilisant des technologies de virtualisation pour échapper à la détection.

Considérations de déploiement

Les organisations déployant KB890830 devraient prendre en compte les facteurs suivants :

Impact sur les performances

Les capacités de détection améliorées nécessitent des ressources système supplémentaires pendant les opérations de numérisation. Les systèmes avec des ressources CPU ou mémoire limitées peuvent subir une dégradation temporaire des performances pendant les analyses de logiciels malveillants.

Exigences réseau

La version 5.122 de MSRT inclut des fonctionnalités d'intelligence des menaces assistées par le cloud qui nécessitent une connectivité Internet périodique. Les organisations ayant des politiques réseau strictes doivent s'assurer que les exceptions de pare-feu appropriées sont configurées.

Intégration avec les solutions de sécurité

Le MSRT mis à jour s'intègre plus étroitement avec Windows Defender et Microsoft Defender for Endpoint, offrant des capacités améliorées de corrélation et de réponse aux menaces dans les environnements d'entreprise.

Considérations de conformité et réglementaires

KB890830 aide les organisations à répondre à diverses exigences de conformité :

  • Cadre de cybersécurité NIST : Améliore les capacités de détection et de réponse (DE.CM, RS.AN)
  • ISO 27001 : Soutient les contrôles de protection contre les logiciels malveillants (A.12.2.1)
  • PCI DSS : Contribue aux exigences anti-virus (Exigence 5)

Mises à jour futures

Microsoft continue d'améliorer les capacités de MSRT avec des mises à jour mensuelles. Les futures versions incluront des techniques de détection supplémentaires alimentées par l'IA, un support élargi pour les vecteurs de menace émergents et une intégration améliorée avec les services de sécurité cloud de Microsoft.

Recommandation : Les organisations devraient s'assurer que les mises à jour automatiques sont activées pour recevoir les dernières définitions de logiciels malveillants et capacités de détection à mesure que de nouvelles menaces émergent.

Questions fréquentes

Que résout KB890830 ?
KB890830 est la mise à jour de mars 2026 pour l'Outil de suppression de logiciels malveillants de Windows (MSRT) qui ajoute des capacités de détection et de suppression pour 47 nouvelles familles de logiciels malveillants, y compris des variantes avancées de ransomware, des menaces alimentées par l'IA et des techniques d'évasion sophistiquées ciblant les systèmes Windows.
Quels systèmes nécessitent KB890830 ?
KB890830 s'applique à Windows 10 version 1909 et ultérieures, toutes les versions de Windows 11, Windows Server 2019, Windows Server 2022 et Windows Server 2025. La mise à jour est automatiquement livrée via Windows Update à tous les systèmes pris en charge.
KB890830 est-il une mise à jour de sécurité ?
Oui, KB890830 est une mise à jour de l'outil de sécurité qui améliore les capacités de protection contre les logiciels malveillants intégrées à Windows. Elle fait partie du cycle de mises à jour de sécurité mensuelles de Microsoft et inclut des signatures de détection critiques pour les menaces nouvellement identifiées dans le paysage des menaces de mars 2026.
Quelles sont les conditions préalables pour KB890830 ?
KB890830 nécessite Windows 10 version 1909 ou ultérieure et .NET Framework 4.8. La mise à jour pèse environ 85 Mo, ne nécessite pas de redémarrage du système, et requiert une connexion internet pour un fonctionnement optimal de l'intelligence des menaces.
Y a-t-il des problèmes connus avec KB890830 ?
Les problèmes connus incluent une utilisation temporaire élevée du CPU lors des analyses (60-80%), des détections potentiellement faussement positives d'outils de sécurité légitimes, des exigences de connectivité réseau pour une fonctionnalité complète, et des problèmes possibles d'allocation de mémoire sur les systèmes Windows Server avec de grandes quantités de RAM.

Références (3)

1
Outil de suppression de logiciels malveillants WindowsPage officielle de support Microsoft pour les mises à jour et la documentation MSRThttps://support.microsoft.com/help/890830
2
Microsoft Security IntelligenceBase de données complète des familles de logiciels malveillants et des renseignements sur les menaceshttps://www.microsoft.com/security/portal/threat/encyclopedia/
3
Documentation de sécurité WindowsDocumentation technique pour les fonctionnalités et outils de sécurité Windowshttps://learn.microsoft.com/windows/security/
#windows-security#malware-removal#kb890830

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...