Sophos Anti-Virus pour Windows : nettoyage des infecteurs de fichiers - Sality/Scribble/Virut/Vetor
Problème
Les infecteurs de fichiers exécutables portables font partie des virus les plus destructeurs que l'on peut trouver. Ils fonctionnent par l'ajout d'une copie d'eux-mêmes aux fichiers exécutables sur un ordinateur et/ou sur une source distante
Leur suppression peut être très difficile. Veuillez suivre les étapes ci-dessous.
Produit et version de Sophos
Sophos Anti-Virus for Windows 2000+
Sophos Anti-Virus for Windows 95/98
Système d'exploitation
Windows
Informations techniques
Comme cela est brièvement mentionné ci-dessus, les virus infecteurs PE ajoutent une copie d'eux-mêmes dans les fichiers exécutables, y compris (mais sans limitation aux) fichiers .exe et .scr. Lorsqu'un ordinateur est infecté, le virus peut se propager très rapidement sur les autres machines. Plus il y a d'ordinateurs infectés, plus sa suppression est difficile.
En général, un ordinateur non protégé va être infecté par le virus. Une fois que les fichiers infectés sont exécutés, ils s'exécutent en mémoire tout comme le virus. Lorsqu'il rencontre d'autres fichiers exécutables sur l'ordinateur, il les infecte également.
Sachez que les fichiers exécutables ne sont pas infectés s'ils ne bénéficient pas d'un accès en lecture.
Sur bon nombre de grands réseaux, certaines applications sont exécutées directement depuis les serveurs de fichiers. Si un ordinateur infecté (Computer-Zero) tente d'exécuter les fichiers distants, ils deviendront infectés. A la prochaine exécution de ce fichier par un ordinateur sain (Computer-One), ce fichier aura la possibilité d'infecter tous les fichiers de computer-One ainsi que tous les autres fichiers distants avec lesquels il rentre en contact.
Evidemment, sur de vastes réseaux comme dans l'exemple ci-dessus, le virus pourrait se propager très rapidement. Sachez que ceci signifie par ailleurs que tous les supports amovibles seront aussi infectés s'ils sont connectés à un ordinateur exécutant le code viral.
Menaces les plus répandues :
- W32/Sality-AM
http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityam.html - W32/Scribble-A
http://www.sophos.com/security/analyses/viruses-and-spyware/w32scribblea.html - W32/Virut-W
http://www.sophos.com/security/analyses/viruses-and-spyware/w32virutw.html - W32/Vetor-A
http://www.sophos.com/security/analyses/viruses-and-spyware/w32vetora.html
Action à mener
1. Quelle est l'étendue de l'infection ?
Si vous utlisez une Enterprise Console ou un Sophos Control Center, vous pouvez voir et générer des rapports d'infection pour les ordinateurs administrés. Sachez que si un ordinateur n'a pas été protégé/administré par l'Enterprise Console ou le Control Center, vous connaîtrez son statut. Il est par conséquent très important que vos ordinateurs restent protégés et surveillés.
2. Mise en quarantaine des ordinateurs
Tout ordinateur avec un virus de type infecteur PE doit être déconnecté du réseau immédiatement pour empêcher que le réseau soit davantage endommagé. Ceci inclut les serveurs car de nombreux clients se connectent aux serveurs et s'exposent à des risques.
3. Dans quelle mesure les ordinateurs sont-ils infectés ?
REMARQUE - Les infecteurs de fichiers 'infectent' les fichiers, c'est pourquoi ceux-ci doivent être désinfectés en vous assurant de ne PAS utiliser -remove ou delete.
Il existe généralement trois niveaux :
a) Les fichiers infectés ont été détectés et signalés dans la Console, mais lorsque le contrôle est effectué, aucun élément infecté n'est détecté - voir 4a.
b) Quelques fichiers applications ont été infectés, mais jusqu'à présent, aucun fichier de système d'exploitation (OS) ou Sophos Anti-Virus (SAV) n'a succombé à l'infection - see 4b.
c) L'ordinateur est intégralement infecté, les fichiers OS et les fichiers Sophos Anti-Virus ont été compromis - voir 5a.
4. Nettoyage des ordinateurs avec le scénario 3a et 3b
Ceci dépend du niveau d'infection (voir l'étape 3 ci-dessus).
Connectez-vous en tant qu'administrateur et effectuez les opérations suivantes sur le ou les ordinateurs infectés, en veillant à les déconnecter du réseau avant de commencer :
a) L'ordinateur a probablement essayé d'accéder à un fichier infecté sur une ressource ou un support amovible distant, le contrôle a en revanche empêché l'accès aux fichiers infectés. Ouvrez Sophos Anti-Virus et exécutez 'Conrôler cet ordinateur' pour vous assurer que l'ordinateur est sain.
b) Ouvrez Sophos Anti-Virus et effacez la liste de quarantaine (sélectionnez Tous|Effacer de la liste|Oui)
Cliquez sur le bouton 'Accueil', puis sur 'Contrôler cet ordinateur'
Une fois le contrôle complètement terminé, allez dans le gestionnaire de quarantaine et cliquez sur 'Nettoyage' près des détections
Pour terminer le nettoyager, il se peut que vous deviez redémarrer
5. Nettoyage des ordinateurs avec le scénario 3c
Vous devez utiliser SAV32CLI en mode sans échec pour désinfecter les fichiers. Moins de fichiers système et application fonctionnent au cours du mode sans échec, c'est pourquoi le nettoyage des fichiers est plus simple.
Pour créer le CD-ROM SAV32CLI, veuillez consulter l'article suivant : Désinfection des exécutables PE à l'aide de SAV32CLI. Il vous faut personnaliser légèrement le contrôle avec les éléments suivants :
Placez le CD-ROM que vous avez créé dans le lecteur approprié (D: dans cet exemple).
- A l'invite de commande, tapez
D:
pour accéder au lecteur de CD-ROM. - Tapez :
CD SAV32CLI
- Puis tapez :
SAV32CLI -P=C:\LOGFILE.TXT
pour dresser la liste des processus en cours d'exécution infectés et créez un fichier journal du contrôle à la racine du lecteur C:.
(vous pouvez ajouter EXCLUDE * - à ce contrôle, si vous voulez exclure des fichiers du contrôle. Cela réduire énormément le temps requis pour réaliser le contrôle).
- Appuyez sur 'Y' lorsqu'on vous demande de désinfecter les fichiers.
Si SAV32CLI rencontre un fichier infecté qui fonctionne encore, il affiche un résultat semblable à celui-ci :
>>> Virus 'W32/Vetor-A' trouvé dans le fichier C:\Windows\explorer.exe:pid:000014e8:file
>>> Virus 'W32/Vetor-A' trouvé dans le fichier C:\Windows\explorer.exe
>>> Virus 'W32/Vetor-A' trouvé dans le fichier C:\Windows\explorer.exe:pid:000014e8\FILE:0000
Vous devez ouvrir le Gestionnaire des tâches ou l'Explorateur de processus et terminez tous les processus en cours mentionnés dans les résultats de contrôle SAV32CLI. Après avoir terminé ces processus en cours, vous devez relancer le contrôle avec les commutateurs suivants. SAV32CLI va maintenant désinfecter les fichiers précédemment verrouillés.
- SAV32CLI -DI -P=C:\LOGFILE2.TXT
Répétez le contrôle sur l'ordinateur jusqu'à ce qu'aucune autre infection ne soit trouvée. Si les fichiers système principaux (c'est-à-dire ceux qui ne peuvent pas être supprimés facilement, comme services.exe) ont été infectés, il est préférable de remplacer ces fichiers à l'aide de la Console de récupération Windows et d'un CD-ROM du système d'exploitation car vous ne pourrez pas les désinfecter avec le Mode sans échec de SAV32CLI.
Les infecteurs de fichiers infectent généralement les fichiers, en les détruisant, c'est pourquoi même s'ils sont désinfectés, ils ne fonctionneront toujours pas. Tous les fichiers restants après la désinfection doivent être remplacés à partir d'une copie saine.
Si vous avez des problèmes pour ceci ou s'il y a trop de fichiers à remplacer, veuillez contacter le support technique Sophos et réacheminer une copie du fichier LOGFILE2.TXT créée par l'utilitaire de contrôle SAV32CLI.
6. Ordinateurs à connecter de nouveau Connectez seulement les ordinateurs qui sont parfaitement sains, sinon l'infection peut se reproduire et continuer de se propager.
Remarque sur les supports amovibes
Les supports amovibels peuvent être facilement infectés par ces types de virus et si vous ne faites pas attention, le virus peut être réintroduit dans le réseau via ces périphériques. Si le contrôle sur accès Sophos est actif et paramétré sur 'en lecture', il empêcher l'exécution de ces fichiers. Par contre, si un tel périphérique est connecté à un ordinateur non protégé, vous pouvez vous retrouver à la case départ.
Assurez-vous que tous les supports amovibles sont soigneusement nettoyés avant que son utilisation générale ne soit de nouveau autorisée. Nous vous conseillons d'avoir une stratégie en place pour vérifier tous les supports avant qu'il ne soit utilisé sur les machines - le moyen le plus sûr pour cela est un contrôle exécuté par un ordinateur Linux, Mac ou Windows isolé.
Les clients Sophos Endpoint Security and Control peuvent utiliser les fonctions de contrôle des périphérique pour limiter l'utilisation des supports amovibles. Pour plus d'informations reportez-vous à la documentation de Endpoint Security and Control - Contrôle des périphériques.
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.
- ID article : 58269
- Créé le : 9 mai 2009
- Mis à jour le : 20 août 2011
