Déverminage

nospam@example.com (Paul-Antoine Nguyen) — Sun, 12 Aug 2007 09:22:49 +0200

"Tu peux pas regarder l'ordinateur ? Y'a des fenêtres bizarres de publicité qui s'ouvrent de temps en temps"

Première étape, état des lieux Le PC est théoriquement protégé par une suite de sécurité à jour (antivirus-antisypware-firewall) qui n'a pas trop mauvaise réputation (Bitdefender). Windows Update tourne régulièrement. Et il y a divers logiciels de sécurité additionnels (Adaware, Spybot, Ccleaner...) Peut-être pas tous 100% fonctionnels.

Quand un navigateur est ouvert, toutes les quelques minutes, une fenêtre s'ouvre intempestivement, proposant le plus souvent soit des activités grivoises, soit des logiciels de sécurité (bidons, mais tentants pour l'utilisateur dont le PC semble avoir des problèmes !)

Ce n'est pas parce qu'on a un PC avec un antivirus commercial et payant à jour qu'on est bien protégé

Deuxième étape, un peu de ménage: pour y voir plus clair. Désinstallation de divers programmes inutiles, de programmes inconnus ou douteux se lançant au démarrage. Désinstallation des logiciels de sécurité au fonctionnement incertain pour ne garder que Bitdefender.

Bilan: le PC démarre un peu plus rapidement, mais le PC est toujours infecté.

Troisième étape, scan Spybot Réinstallation de Spybot search & destroy et scan complet.

Bilan: des tonnes de cookies douteux (on s'y attendait), rectification de quelques éléments de config Windows, mais aussi plusieurs malwares éradiqués. Le problème des publicités intempestives persiste cependant.

Quatrième étape, deuxième nettoyage du PC: Suppression de programmes inutiles, de sauvegardes d'anciennes installations de windows. Cela permet de réduire le nombre de fichiers de quelques dizaines de milliers... C'est important que les prochains scans mettent moins longtemps. Et ça permet d'y voir plus clair.

Cinquième étape, scan complet avec Bitdefender: Bilan: rien trouvé

Le logiciel de sécurité payant a non seulement laissé passer plusieurs malwares, mais en plus il ne détecte rien au scan...

Sixième étape, AVG antisypware: Installation et scan complet. Un Trojan trouvé dans un zip. Mais ce n'est toujours pas la cause du problème qui s'est manifesté.

Encore un mauvais point pour Bitdefender

Septième étape: eureka ! Changement d'approche: après le passage de trois scanners différents, je suppose que l'état général du PC commence à être correct et qu'il n'y a plus de malwares banals. Il faut donc se concentrer sur le problème coriace. Après une nouvelle inspection du PC, quelques questions au propriétaire du PC et quelques recherches sur internet, le problème est identifié. Il s'agit d'un adware couplé à un rootkit. Le problème semble être arrivé par l'installation de webmediaplayer.exe (désinstallé entre temps).

Je recherche les fichiers incriminés avec l'utilitaire navilog1. En revanche, je ferai le nettoyage à la main pour comprendre un peu ce qu'il y a.

Huitième étape: le nettoyage Redémarrage en mode sans échec (F8) Suppression des fichiers identifiés par navilog1 (en fait f-secure blacklight inside) : c:\windows\system32\ukkahxfmcc*.* (nom de fichier aléatoire)

Recherche dans les registres des clefs appelant ces fichiers et suppression.

Le rootkit arrivait à cacher les fichiers incriminés à pratiquement tous les programmes de sécurité (antivirus, antispywares)

Suppression de c:\windows\pack.epk

Redémarrage en mode normal.

Le malware avait également installé un certificat dans la section "éditeurs approuvés" (electronic group) que je supprime via la console mmc.

Des méchants étaient référencés via PKI comme des gentils...

* * *

Enseignements:

Si le malware n'avait pas été aussi envahissant, il n'aurait pu rester là pendant des années, même en faisant de temps en temps une inspection de sécurité classique (scan par divers logiciels)

Une fois que le PC a attrapé une cochonnerie, c'est non seulement difficile à détecter, mais ça peut également être laborieux à réparer. Mieux vaut prévenir que guérir

La protection par des logiciels de sécurité (même réputés) est très insuffisante. Un comportement prudent et avisé est indispensable.

Réflexions:

A la réflexion, il aurait fallu s'y prendre tout autrement. Faute d'un plan préparé à l'avance, j'ai improvisé au hasard et pris des risques inutiles.

Il aurait mieux valu débrancher immédiatement du réseau le système suspect.

Il aurait mieux valu se préoccuper en premier de la sûreté des données (vérifier s'il existait un backup ad hoc, ou bien récupérer les données du disque dur en bootant sur système "propre".

Enfin, faute de savoir si tout était bien nettoyé, il aurait bien mieux valu réinstaller complètement le système.

Vu que ça n'arrive peut-être pas qu'aux autres

Etes-vous bien préparé pour réagir à une infection de votre PC ?

Sauvegarder ses données (1)

nospam@example.com (Paul-Antoine Nguyen) — Fri, 02 Feb 2007 22:45:00 +0100

Il est essentiel de bien sauvegarder ses données :

1/ Nous avons de plus en plus de données précieuses sous forme électronique (documents, photos numériques...)

2/ Ces données sont très exposées
- une manipulation accidentelle, modification ou destruction de fichier par erreur (c'est le problème le plus fréquent)
- une panne de disque dur
- virus, malware
- vol du PC, incendie

La question n'est pas de savoir si on va avoir un problème un jour, mais seulement quand.

Pour mettre en place un système efficace, j'ai dû combiner deux méthodes : le disque dur portable et la sauvegarde en ligne.

Le disque dur portable (USB) présente l'avantage de permettre de stocker une grande capacité pour un coût et un encombrement réduit. Les performances (temps de sauvegarde) sont bonnes. Un gros inconvénient cependant : pour disposer d'une sauvegarde hors site, il faut déplacer le disque manuellement. Du coup il faut également lancer les sauvegardes manuellement. Au total, cela demande beaucoup de discipline, ce qui n'est pas idéal. Notons également que pour avoir en permanence une sauvegarde hors site, il faut utiliser DEUX disques.

La sauvegarde en ligne présente l'avantage d'être facilement automatisable et naturellement hors site. Plusieurs inconvénients cependant. D'abord les performances, le débit remontant des connexions ADSL rend très problématique la sauvegarde de plusieurs gigaoctets (vivement la fibre optique !). De même, pour de gros volumes de données, le coût peut grimper rapidement. Enfin notons qu'il faut faire confiance à son fournisseur (confidentialité des données, pérennité).

J'ai partitionné mes données en deux catégories :
(a) les données volumineuses (et rarement modifiées): essentiellement photos et videos
(b) les autres données : documents, emails...

Les données (a) sont sauvegardées uniquement sur disque dur : je réalise une sauvegarde hebdomadaire sur disque en alternant les disques d'une semaine sur l'autre. Les disques sont stockés à mon bureau. Il n'y a jamais les deux en même temps à la maison. Pour un maximum de sûreté (bug du logiciel de sauvegarde), je combine deux sous-méthodes. D'une part un outil de sauvegarde, FileBack PC, qui permet (de façon complètement paramétrable) de conserver plusieurs versions des fichiers (en cas de modifications), de conserver les fichiers détruits pendant un certain temps... D'autre part, une copie toute bête de l'ensemble des fichiers (j'utilise Syncback freeware).

Les données (b) sont sauvegardées sur disque et en ligne : une sauvegarde en ligne quotidienne est programmée. J'utilise securitoo, un produit vendu par mon employeur.En complément, ces fichiers sont également inclus dans la sauvegarde hebdomadaire sur disque (ça ne coûte rien de plus).

Enfin je programme dans mon agenda un indispensable test de restauration semestriel.

Prochainement une suite.

Les z'aventuriers - Tech

Déverminage

Sauvegarder ses données (1)