Procedure de détection et nettoyage

Procedure de détection et nettoyage
Extrait du SICEP
http://sicep.ac-dijon.fr/spip.php?article132
Procedure de détection et
nettoyage
- Anti-virus - Conficker -
Date de mise en ligne : mercredi 8 avril 2009
SICEP
Copyright © SICEP
Page 1/8
Procedure de détection et nettoyage
Ordinateurs infectés ?
1er test :
Scannez votre PC et vérifiez que votre antivirus détecte ce virus.
Suivant les éditeurs il peut porter des dénominations différentes :
Dénomination
Editeurs antivirus
Win32/Conficker.A
CA
Mal/Conficker-A
Sophos
Trojan.Win32.Agent.bccs
Kaspersky
W32.Downadup.B
Symantec
Trojan-Downloader.Win32.
Agent.aqfw Kaspersky
W32/Conficker.worm
McAfee
Trojan:Win32/Conficker !corrupt
Microsoft
W32.Downadup
Symantec
WORM_DOWNAD
Trend Micro
Confickr
autres éditeurs
TA08-297A
autres éditeurs
CVE-2008-4250
autres éditeurs
VU827267
autres éditeurs
Si le virus n'est pas détecté passez tout de même aux étapes suivantes.
2nd test
Essayez de vous connecter aux sites des éditeurs d'antivirus. En cas d'échec le PC est certainement contaminé. Le
virus bloque l'accès à ces adresses.
" Kaspersky
" F-Secure
Copyright © SICEP
Page 2/8
Procedure de détection et nettoyage
" McAfee
" Sophos
" Symantec
" TrendMicro
3e test :
Télécharger et utilisez un programme spécifique pour repérer Conficker.
Des outils existent chez les différents éditeurs d'antivirus et de solutions antivirales :
" ESET
" Kaspersky
" F-Secure Malware Removal Tool
" McAfee
" Microsoft Malicious Software Removal Tool
" Sophos
" Symantec
" TrendMicro
Dans tous les cas, si le virus est repéré, couper immédiatement l'accès au réseau de ce PC et procéder à la
désinfection.
Désinfecter !
1iére étape
Appliquer le correctif KB958644 proposé par Microsoft sur l'ensemble du parc de machines. L'application de ce patch
nécessite d'avoir auparavant migré vers Windows 2000 SP4, XP SP2 pour les PC et Windows Server 2003 SP1 pour
les serveurs.
Les PC et serveurs Windows XP SP3, VISTA, VISTA SP1, Windows server 2003 SP2 et Windows 2008 ne
nécessitent pas l'application de ce patch. 2iéme étape
Copyright © SICEP
Page 3/8
Procedure de détection et nettoyage
Lancer des outils de désinfection proposés par les éditeurs antivirus comme :
" ESET
" Kaspersky
" F-Secure Malware Removal Tool
" McAfee
" Microsoft Malicious Software Removal Tool
" Sophos
" Symantec
" TrendMicro
Attention : l'outil de suppression de Microsoft ne détecte pas la variante C du ver ! Mais le cabinet de sécurité français
Cert-Lexsi décrit sur son blog une méthode pour l'éradiquer.
Attention
Ce ver se propage par les périphériques amovibles (clé USB, disques durs externes, (mais aussi lecteur MP3,
Téléphone portable…). Il est donc recommandé de scanner aussi ces supports lors de l'étape précédente.
Pour la suite !
1iére étape
Les systèmes de vos PC doivent être à jour (Services Pack et correctifs de sécurité).
Copyright © SICEP
Page 4/8
Procedure de détection et nettoyage
2iéme étape
Il faut pour cela activer les mises à jour automatiques.
Copyright © SICEP
Page 5/8
Procedure de détection et nettoyage
Faire un réglage de l'heure différent par groupe de PC pour éviter une surcharge du réseau et des accès internet.
3iéme étape
Vérifier que votre antivirus est à jour : Dans les établissements de l'académie l'antivirus utilisé est Office scan de
Trend micro.
1)Rendez-vous sur le site de Trend micro et repérez les références des derniers moteurs d'analyse te de fichiers de
signatures.
Copyright © SICEP
Page 6/8
Procedure de détection et nettoyage
Moteur d'analyse
Fichiers de signatures
2)Vérifiez sur le PC Par clic droit ou en passant le curseur de la souris sur l'icône office scan, un panneau
d'information apparaît, vous devez trouver les mêmes informations que sur le site de TREND MICRO
Exemple
4iéme étape
Cette infection par ce virus sophistiqué implique de renforcer les mots de passe des différents utilisateurs. Ils doivent
utiliser différents signes.
Copyright © SICEP
Page 7/8
Procedure de détection et nettoyage
Exemple : MaRie ;21/.
Copyright © SICEP
Page 8/8