Déverminage
Sunday, August 12. 2007
"Tu peux pas regarder l'ordinateur ? Y'a des fenêtres bizarres de publicité qui s'ouvrent de temps en temps"
Première étape, état des lieux Le PC est théoriquement protégé par une suite de sécurité à jour (antivirus-antisypware-firewall) qui n'a pas trop mauvaise réputation (Bitdefender). Windows Update tourne régulièrement. Et il y a divers logiciels de sécurité additionnels (Adaware, Spybot, Ccleaner...) Peut-être pas tous 100% fonctionnels.
Quand un navigateur est ouvert, toutes les quelques minutes, une fenêtre s'ouvre intempestivement, proposant le plus souvent soit des activités grivoises, soit des logiciels de sécurité (bidons, mais tentants pour l'utilisateur dont le PC semble avoir des problèmes !)
Ce n'est pas parce qu'on a un PC avec un antivirus commercial et payant à jour qu'on est bien protégé
Deuxième étape, un peu de ménage: pour y voir plus clair. Désinstallation de divers programmes inutiles, de programmes inconnus ou douteux se lançant au démarrage. Désinstallation des logiciels de sécurité au fonctionnement incertain pour ne garder que Bitdefender.
Bilan: le PC démarre un peu plus rapidement, mais le PC est toujours infecté.
Troisième étape, scan Spybot Réinstallation de Spybot search & destroy et scan complet.
Bilan: des tonnes de cookies douteux (on s'y attendait), rectification de quelques éléments de config Windows, mais aussi plusieurs malwares éradiqués. Le problème des publicités intempestives persiste cependant.
Quatrième étape, deuxième nettoyage du PC: Suppression de programmes inutiles, de sauvegardes d'anciennes installations de windows. Cela permet de réduire le nombre de fichiers de quelques dizaines de milliers... C'est important que les prochains scans mettent moins longtemps. Et ça permet d'y voir plus clair.
Cinquième étape, scan complet avec Bitdefender: Bilan: rien trouvé
Le logiciel de sécurité payant a non seulement laissé passer plusieurs malwares, mais en plus il ne détecte rien au scan...
Sixième étape, AVG antisypware: Installation et scan complet. Un Trojan trouvé dans un zip. Mais ce n'est toujours pas la cause du problème qui s'est manifesté.
Encore un mauvais point pour Bitdefender
Septième étape: eureka ! Changement d'approche: après le passage de trois scanners différents, je suppose que l'état général du PC commence à être correct et qu'il n'y a plus de malwares banals. Il faut donc se concentrer sur le problème coriace. Après une nouvelle inspection du PC, quelques questions au propriétaire du PC et quelques recherches sur internet, le problème est identifié. Il s'agit d'un adware couplé à un rootkit. Le problème semble être arrivé par l'installation de webmediaplayer.exe (désinstallé entre temps).
Je recherche les fichiers incriminés avec l'utilitaire navilog1. En revanche, je ferai le nettoyage à la main pour comprendre un peu ce qu'il y a.
Huitième étape: le nettoyage Redémarrage en mode sans échec (F8) Suppression des fichiers identifiés par navilog1 (en fait f-secure blacklight inside) : c:\windows\system32\ukkahxfmcc*.* (nom de fichier aléatoire)
Recherche dans les registres des clefs appelant ces fichiers et suppression.
Le rootkit arrivait à cacher les fichiers incriminés à pratiquement tous les programmes de sécurité (antivirus, antispywares)
Suppression de c:\windows\pack.epk
Redémarrage en mode normal.
Le malware avait également installé un certificat dans la section "éditeurs approuvés" (electronic group) que je supprime via la console mmc.
Des méchants étaient référencés via PKI comme des gentils...
* * *
Enseignements:
Si le malware n'avait pas été aussi envahissant, il n'aurait pu rester là pendant des années, même en faisant de temps en temps une inspection de sécurité classique (scan par divers logiciels)
Une fois que le PC a attrapé une cochonnerie, c'est non seulement difficile à détecter, mais ça peut également être laborieux à réparer. Mieux vaut prévenir que guérir
La protection par des logiciels de sécurité (même réputés) est très insuffisante. Un comportement prudent et avisé est indispensable.
Réflexions:
A la réflexion, il aurait fallu s'y prendre tout autrement. Faute d'un plan préparé à l'avance, j'ai improvisé au hasard et pris des risques inutiles.
Il aurait mieux valu débrancher immédiatement du réseau le système suspect.
Il aurait mieux valu se préoccuper en premier de la sûreté des données (vérifier s'il existait un backup ad hoc, ou bien récupérer les données du disque dur en bootant sur système "propre".
Enfin, faute de savoir si tout était bien nettoyé, il aurait bien mieux valu réinstaller complètement le système.
Vu que ça n'arrive peut-être pas qu'aux autres
Etes-vous bien préparé pour réagir à une infection de votre PC ?
Première étape, état des lieux Le PC est théoriquement protégé par une suite de sécurité à jour (antivirus-antisypware-firewall) qui n'a pas trop mauvaise réputation (Bitdefender). Windows Update tourne régulièrement. Et il y a divers logiciels de sécurité additionnels (Adaware, Spybot, Ccleaner...) Peut-être pas tous 100% fonctionnels.
Quand un navigateur est ouvert, toutes les quelques minutes, une fenêtre s'ouvre intempestivement, proposant le plus souvent soit des activités grivoises, soit des logiciels de sécurité (bidons, mais tentants pour l'utilisateur dont le PC semble avoir des problèmes !)
Deuxième étape, un peu de ménage: pour y voir plus clair. Désinstallation de divers programmes inutiles, de programmes inconnus ou douteux se lançant au démarrage. Désinstallation des logiciels de sécurité au fonctionnement incertain pour ne garder que Bitdefender.
Bilan: le PC démarre un peu plus rapidement, mais le PC est toujours infecté.
Troisième étape, scan Spybot Réinstallation de Spybot search & destroy et scan complet.
Bilan: des tonnes de cookies douteux (on s'y attendait), rectification de quelques éléments de config Windows, mais aussi plusieurs malwares éradiqués. Le problème des publicités intempestives persiste cependant.
Quatrième étape, deuxième nettoyage du PC: Suppression de programmes inutiles, de sauvegardes d'anciennes installations de windows. Cela permet de réduire le nombre de fichiers de quelques dizaines de milliers... C'est important que les prochains scans mettent moins longtemps. Et ça permet d'y voir plus clair.
Cinquième étape, scan complet avec Bitdefender: Bilan: rien trouvé
Sixième étape, AVG antisypware: Installation et scan complet. Un Trojan trouvé dans un zip. Mais ce n'est toujours pas la cause du problème qui s'est manifesté.
Septième étape: eureka ! Changement d'approche: après le passage de trois scanners différents, je suppose que l'état général du PC commence à être correct et qu'il n'y a plus de malwares banals. Il faut donc se concentrer sur le problème coriace. Après une nouvelle inspection du PC, quelques questions au propriétaire du PC et quelques recherches sur internet, le problème est identifié. Il s'agit d'un adware couplé à un rootkit. Le problème semble être arrivé par l'installation de webmediaplayer.exe (désinstallé entre temps).
Je recherche les fichiers incriminés avec l'utilitaire navilog1. En revanche, je ferai le nettoyage à la main pour comprendre un peu ce qu'il y a.
Huitième étape: le nettoyage Redémarrage en mode sans échec (F8) Suppression des fichiers identifiés par navilog1 (en fait f-secure blacklight inside) : c:\windows\system32\ukkahxfmcc*.* (nom de fichier aléatoire)
Recherche dans les registres des clefs appelant ces fichiers et suppression.
Suppression de c:\windows\pack.epk
Redémarrage en mode normal.
Le malware avait également installé un certificat dans la section "éditeurs approuvés" (electronic group) que je supprime via la console mmc.
Enseignements:
Si le malware n'avait pas été aussi envahissant, il n'aurait pu rester là pendant des années, même en faisant de temps en temps une inspection de sécurité classique (scan par divers logiciels)
Une fois que le PC a attrapé une cochonnerie, c'est non seulement difficile à détecter, mais ça peut également être laborieux à réparer. Mieux vaut prévenir que guérir
La protection par des logiciels de sécurité (même réputés) est très insuffisante. Un comportement prudent et avisé est indispensable.
Réflexions:
A la réflexion, il aurait fallu s'y prendre tout autrement. Faute d'un plan préparé à l'avance, j'ai improvisé au hasard et pris des risques inutiles.
Il aurait mieux valu débrancher immédiatement du réseau le système suspect.
Il aurait mieux valu se préoccuper en premier de la sûreté des données (vérifier s'il existait un backup ad hoc, ou bien récupérer les données du disque dur en bootant sur système "propre".
Enfin, faute de savoir si tout était bien nettoyé, il aurait bien mieux valu réinstaller complètement le système.
Vu que ça n'arrive peut-être pas qu'aux autres
Trackbacks
Trackback specific URI for this entry
No Trackbacks
Calendar
Deprecated: Non-static method serendipity_plugin_api::hook_event() should not be called statically, assuming $this from incompatible context in /homepages/0/d143776854/htdocs/blog/include/plugin_internal.inc.php on line 210
Deprecated: Non-static method serendipity_plugin_api::get_event_plugins() should not be called statically, assuming $this from incompatible context in /homepages/0/d143776854/htdocs/blog/include/plugin_api.inc.php on line 1041
|
August '19 | |||||
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
Quicksearch
Deprecated: Non-static method serendipity_plugin_api::hook_event() should not be called statically, assuming $this from incompatible context in /homepages/0/d143776854/htdocs/blog/include/plugin_internal.inc.php on line 408
Deprecated: Non-static method serendipity_plugin_api::get_event_plugins() should not be called statically, assuming $this from incompatible context in /homepages/0/d143776854/htdocs/blog/include/plugin_api.inc.php on line 1041
Archives
Categories
Syndicate This Blog
Blog Administration
Powered by
Statistics
Last entry: 2008-07-23 08:35
53 entries written
7 comments have been made