Sophos Anti-Virus pour Windows : nettoyage des infecteurs de fichiers - Sality/Scribble/Virut/Vetor
Problèmes
Les infecteurs de fichiers exécutables portables font partie des virus les plus destructeurs que l'on peut trouver. Ils fonctionnent par l'ajout d'une copie d'eux-mêmes aux fichiers exécutables sur un ordinateur et/ou sur une source distante
Leur suppression peut être très difficile. Veuillez suivre les étapes ci-dessous.
Produit et version de Sophos
Sophos Anti-Virus pour Windows 2000/XP/2003/Vista/2008
Sophos Anti-Virus pour Windows 95/98/ME
Système d'exploitation
Windows
Informations techniques
Comme nous le mentionnons brièvement ci-dessus, les virus infecteurs d'exécutables portables (PE) ajoutent une copie d'eux-mêmes dans les fichiers exécutables, notamment (mais pas seulement) les fichiers .exe et .scr. Lorsqu'un ordinateur est infecté, le virus peut se propager très rapidement sur les autres machines. Plus il y a d'ordinateurs infectés, plus sa suppression est difficile.
En général, un ordinateur non protégé va être infecté par le virus. Une fois que les fichiers infectés sont exécutés, ils s'exécutent en mémoire tout comme le virus. Lorsqu'il rencontre d'autres fichiers exécutables sur l'ordinateur, il les infecte également.
Sachez que les fichiers exécutables ne sont pas infectés s'ils ne bénéficient pas d'un accès en lecture.
Sur bon nombre de grands réseaux, certaines applications sont exécutées directement depuis les serveurs de fichiers. Si un ordinateur infecté (ordinateur zéro) tente d'exécuter les fichiers distants, ces derniers seront infectés. Lors de l'exécution suivante de ce fichier sur un ordinateur sain (ordinateur un), ce fichier pourra infecter tous les fichiers de l'Ordinateur un et tous les autres fichiers distants avec lesquels il rentre en contact.
Evidemment, sur des vastes réseaux comme dans l'exemple ci-dessus, le virus pourrait se propager très rapidement. Sachez que ceci signifie par ailleurs que tous les supports amovibles seront aussi infectés s'ils sont connectés à un ordinateur exécutant le code viral.
Menaces les plus répandues :
- W32/Sality-AM
http://www.sophos.fr/security/analyses/viruses-and-spyware/w32salityam.html - W32/Scribble-A
http://www.sophos.fr/security/analyses/viruses-and-spyware/w32scribblea.html - W32/Virut-W
http://www.sophos.fr/security/analyses/viruses-and-spyware/w32virutw.html - W32/Vetor-A
http://www.sophos.fr/security/analyses/viruses-and-spyware/w32vetora.html
Action à mener
1. Quelle est l'étendue de l'infection ?
Si vous utlisez une Enterprise Console ou un Sophos Control Center, vous pouvez voir et générer des rapports d'infection pour les ordinateurs administrés. Sachez que si un ordinateur n'a pas été protégé/administré par l'Enterprise Console ou le Control Center, vous connaîtrez son statut. Il est par conséquent très important que vos ordinateurs restent protégés et surveillés.
2. Mise en quarantaine des ordinateurs
Tout ordinateur avec un virus de type infecteur PE doit être déconnecté du réseau immédiatement pour empêcher que le réseau soit davantage endommagé. Ceci inclut les serveurs car de nombreux clients se connectent aux serveurs et s'exposent à des risques.
3. Dans quelle mesure les ordinateurs sont-ils infectés ?
REMARQUE - Les infecteurs de fichiers 'infectent' les fichiers, c'est pourquoi ceux-ci doivent être désinfectés en vous assurant de ne PAS utiliser -remove ou delete.
Il existe généralement trois niveaux :
a) Les fichiers infectés ont été détectés et signalés dans la Console, mais lorsque le contrôle est effectué, aucun élément infecté n'est détecté - voir 4a.
b) Quelques fichiers applications ont été infectés, mais jusqu'à présent, aucun fichier de système d'exploitation (OS) ou Sophos Anti-Virus (SAV) n'a succombé à l'infection - see 4b.
c) L'ordinateur est intégralement infecté, les fichiers OS et les fichiers Sophos Anti-Virus ont été compromis - voir 5a.
4. Nettoyage des ordinateurs avec les scénarios 3a et 3b
Ceci dépend du niveau d'infection (voir l'étape 3 ci-dessus).
Ouvrez une session en tant qu'administrateur et exécutez les opérations suivantes sur le ou les ordinateur(s) infecté(s) tout en vous assurant de les déconnecter du réseau avant de commencer :
a) L'ordinateur a probablement essayé d'accéder à un fichier infecté sur une ressource distante ou sur des supports amovibles mais le contrôle sur accès a bloqué l'accès aux fichiers infectés. Ouvrez Sophos Anti-Virus et exécutez 'Contrôler cet ordinateur' pour vous assurer que l'ordinateur est sain.
b) Ouvrez Sophos Anti-Virus et effacez la liste de quarantaine (sélectionnez Tout|Effacer de la liste|Oui)
Cliquez sur le bouton 'Accueil', puis choisissez 'Contrôler cet ordinateur'
Une fois que le contrôle s'est terminé complètement, allez dans le gestionnaire de quarantaine et cliquez sur 'Nettoyage' près des détections
Il se peut que vous ayiez à lancer un redémarrage pour terminer le nettoyage.
5. Nettoyage des ordinateurs avec le scénario 3c
Vous devez utiliser SAV32CLI en Mode sans échec pour désinfecter les fichiers. Moins de fichiers système et application fonctionnent au cours du mode sans échec, c'est pourquoi le nettoyage des fichiers est plus simple.
Pour créer le CD-ROM SAV32CLI, veuillez consulter l'article suivant : Désinfection des exécutables PE à l'aide de SAV32CLI. Il vous faut personnaliser légèrement le contrôle avec les éléments suivants :
Placez le CD-ROM que vous avez créé dans le lecteur approprié (D: dans cet exemple).
- A l'invite de commande, tapez
D:
pour accéder au lecteur de CD-ROM. - Tapez :
CD SAV32CLI - Puis tapez :
SAV32CLI -DI -PUA -P=C:\LOGFILE.TXT
pour désinfecter le ou les fichiers malveillants et créer un fichier journal du contrôle à la racine du lecteur C:. - Appuyez sur 'Y' lorsqu'on vous demande de désinfecter les fichiers.
Si SAV32CLI rencontre un fichier infecté qui fonctionne encore, il affiche un résultat semblable à celui-ci :
>>> Virus 'W32/Vetor-A' trouvé dans fichier C:\Windows\explorer.exe:pid:000014e8:file
>>> Virus 'W32/Vetor-A' trouvé dans fichier C:\Windows\explorer.exe
>>> Virus 'W32/Vetor-A' trouvé dans fichier C:\Windows\explorer.exe:pid:000014e8\FILE:0000
Vous devez ouvrir le Gestionnaire des tâches ou l'Explorateur de processus et terminez tous les processus en cours mentionnés dans les résultats de contrôle SAV32CLI. Après avoir terminé ces processus en cours, vous devez relancer le contrôle avec les commutateurs suivants. SAV32CLI va maintenant désinfecter les fichiers précédemment verrouillés.
- SAV32CLI -DI -P=C:\LOGFILE2.TXT
Répétez le contrôle sur l'ordinateur jusqu'à ce qu'aucune autre infection ne soit trouvée. Si les fichiers système principaux (c'est-à-dire ceux qui ne peuvent pas être supprimés facilement, comme services.exe) ont été infectés, il est préférable de remplacer ces fichiers à l'aide de la Console de récupération Windows et d'un CD-ROM du système d'exploitation car vous ne pourrez pas les désinfecter avec le Mode sans échec de SAV32CLI.
Les infecteurs de fichiers infectent généralement les fichiers, en les détruisant, c'est pourquoi même s'ils sont désinfectés, ils ne fonctionneront toujours pas. Tous les fichiers restants après la désinfection doivent être remplacés à partir d'une copie saine.
Si vous avez des problèmes pour ceci ou s'il y a trop de fichiers à remplacer, veuillez contacter le support technique Sophos et réacheminer une copie du fichier LOGFILE2.TXT créée par l'utilitaire de contrôle SAV32CLI.
6. Ordinateurs à connecter de nouveau Connectez seulement les ordinateurs qui sont parfaitement sains, sinon l'infection peut se reproduire et continuer de se propager.
Remarque les supports amovibles
Les supports amovibels peuvent être facilement infectés par ces types de virus et si vous ne faites pas attention, le virus peut être réintroduit dans le réseau via ces périphériques. Si le contrôle sur accès Sophos est actif et paramétré sur 'en lecture', il empêcher l'exécution de ces fichiers. Par contre, si un tel périphérique est connecté à un ordinateur non protégé, vous pouvez vous retrouver à la case départ.
Assurez-vous que tous les supports amovibles sont soigneusement nettoyés avant que son utilisation générale ne soit de nouveau autorisée. Nous vous conseillons d'avoir une stratégie en place pour vérifier tous les supports avant qu'il ne soit utilisé sur les machines - le moyen le plus sûr pour cela est un contrôle exécuté par un ordinateur Linux, Mac ou Windows isolé.
Les clients Sophos Endpoint Security and Control peuvent utiliser les fonctions de contrôle des périphérique pour limiter l'utilisation des supports amovibles. Pour plus d'informations reportez-vous à la documentation de Endpoint Security and Control - Contrôle des périphériques.
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.
- ID article : 58269
- Créé le : 10 août 2009
- Mis à jour le : 10 août 2009
