Auto réparation des postes de travail

Transcription

Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5
Auto réparation des postes de travail
Comprendre et déployer les mises à jours de TSC
avec OfficeScan Corporate 5.5
QU'EST-CE QUE TSC ? ............................................................................................................... 2
Où récupérer TSC ?..................................................................................................................................................... 2
Techniquement, que fait-t-il ? ............................................................................................................................. 3
La détection................................................................................................................................................................ 3
La réparation .............................................................................................................................................................. 3
Comment le piloter localement ?......................................................................................................................... 4
Les commutateurs disponibles: .................................................................................................................................... 4
PROCEDURES DE DEPLOIEMENT .................................................................................................... 5
La procédure via le serveur OfficeScan HTTP ...................................................................................................... 5
COMMENT FONCTIONNE LA PROCEDURE HOTFIX SUR OFFICESCAN ? .................................................. 6
Du côté serveur OfficeScan ................................................................................................................................. 6
Du côté stations de travail.................................................................................................................................. 7
Comprendre les logs IIS sur le serveur OfficeScan......................................................................................................... 8
L’auto exécution de TSC ...................................................................................................................................... 9
A quel moment le programme TSC est il auto exécuté ? ................................................................................................ 9
Est-il possible de modifier les paramètres de commandes de TSC ?................................................................................ 9
Est-il possible de récupérer automatiquement TSC ? ................................................................................................... 10
Rédacteur David TOUZEAU Trend Micro France
1
Qu'est-ce que TSC ?
Le mot TSC est le diminutif de Trojan System Cleaner,
Son concept est de fournir un outil « générique » permettant de réparer une station de travail infectée
à un ensemble de virus connus.
Il permet de traiter des infections systèmes qui ont mis en échec les opérations traditionnelles de
nettoyage des produits OfficeScan et ServerProtect.
Lorsque l’attaque du code malicieux a eu lieu avant la mise à jour de l’antivirus, certains Trojans ou
vers se font passer pour étant un élément appartenant au système d'exploitation.
Ils sont ainsi protégés par celui-ci et ne peuvent être délogés.
Or, OfficeScan et ServerProtect, même mis à jour, ne peuvent pas modifier des fichiers chargés par le
système.
Une alerte de ce type sera donc générée : (Clean
Failed, Move Failed)
L'ancienne méthode connue de tous consistait à effectuer un scan manuel avec un scanner DOS, système
d'exploitation non chargé.
Pour les systèmes Windows 95/98/Me il n'y avait pas de problème.
Mais avec le nouveau formatage NTFS, cette solution n'est pas applicable.
TSC permet donc de pallier cette éventualité.
Où récupérer TSC ?
L’outil TSC peut être récupéré sur cette page Web http://www.trendmicro.com/download/tsc.asp
Ou par FTP à cette adresse : ftp://download.trendmicro.com/products/tsc
2
Techniquement, que fait-t-il ?
La détection
Les vers et trojans sont référencés dans une signature spécifique nommée tsc.ptn
Cette signature indique à TSC.exe quelles sont les opérations à effectuer de manière à détecter un
Trojan ou ver.
La stratégie adoptée pour détecter un virus est radicalement différente de celle utilisée par un
antivirus traditionnel.
En effet, TSC a, en plus d’un scanner traditionnel, les capacités de lire dans une base de registres et
fichiers INI, dans des espaces mémoire. Sa signature référence des processus mémoire, clefs de
registres, fichiers INI…
Lorsque vous exécutez ce programme, TSC va alors parcourir tous ces éléments pour vérifier
l’éventuelle présence d’un ou voire même de plusieurs virus chargés dans votre système.
La réparation
Si un virus est découvert, la signature contient aussi des opérations de réparation.
Les opérations de réparation de TSC ne diffèrent pas des opérations humaines que vous pouvez
effectuer sur un poste de travail.
Son originalité est de les effectuer automatiquement sans aucune participation de votre part.
TSC est donc capable entre autre de :
9 Tuer un processus mémoire,
9 Supprimer des clefs de registres,
9 Arrêter ou démarrer un service,
9 Supprimer des fichiers
9 Ecrire dans un fichier Ini etc.…
Certaines de ces opérations nécessitent sous Windows NT des privilèges particuliers.
C’est la raison pour laquelle il est couplé au client OfficeScan.
Il est en effet exécuté par le processus OfficeScan qui est compte système. OfficeScan transmet alors à TSC ses
privilèges.
3
Comment le piloter localement ?
Décompressez le fichier ZIP dans le répertoire de la station OfficeScan
Exécutez le programme TSC.EXE dans le répertoire de travail du client OfficeScan.
Si il découvre un virus, il vous demandera de redémarrer le système afin de continuer sa procédure de
nettoyage.
Les commutateurs disponibles:
désactive la réparation des fichiers INI du système
désactive la réparation de la base de registres
/DBI désactive le backup des fichiers INI du système
/DBR désactive le backup de la base de registres
/DBF désactive le backup du fichier infecté par le virus
/BP= Asssigne le répertoire de backup
/DP=Assigne le répertoire de stockage des logs
/DN=Assigne le nom du fichier de log
/PP=indique le répertoire de la signature "lpt$vpn.xxx"
/MN Active un boîte message si aucune infection trouvée
/MV Active un boîte message si un virus est trouvé
/VL Liste les virus supportés par TSC
/DI
/DR
Si TSC est lancé sans commutateur, voici les commutateurs enregistrés par défaut :
Réparation des fichiers INI du système
Réparation de la base de registres
Backup des fichiers INI du système
Backup de la base de registres
Backup des fichiers infectés par le virus
Répertoire de stockage = répertoire source de l'exécution du programme TSC
Répertoire de stockage des logs = répertoire source de l'exécution du programme TSC
Nom du log = yyyymmdd.LOG
Répertoire de la Signature = répertoire source de l'Exécution du programme TSC
Boites messages= Toutes désactivées.
4
Procédures de déploiement
Comme vous l'avez remarqué, TSC (Trojan System Cleaner) subit de nouvelles versions
régulièrement,afin de vous proposer une action de réparation la plus simple possible.
Pour vous permettre de vous aider dans votre exploitation, Vous trouverez ci-joint une procédure pour
déployer TSC sur l’ensemble de votre parc.
La procédure via le serveur OfficeScan HTTP
1) Recopiez les fichier
TSC.EXE et tsc.ptn
2) Supprimez les fichiers
dans le répertoire
Hotfixnt.txt et Hotfix95.txt
\PCCSRV\Admin
situés dans le répertoire
\PCCSRV\Download
3) Ouvrez le fichier
AP95.ini
situé dans le répertoire
4) A la fin de ce fichier ajoutez l'entrée
\PCCSRV\Autopcc.cfg
ADMIN\TSC.ptn
5) Effectuez la même opération pour le fichier
APNT.ini
6) Placez-vous dans le répertoire \PCCSRV\Admin\Utility\Touch et recopiez le fichier TmTouch.exe
(Version 5.02 ou Touch.exe situé dans \PCCSRV\Admin\Utility\Touch de la version 3.54) dans
le répertoire \PCCSRV\Admin
7) En mode MS-DOS, tapez l'instruction suivante : "tmtouch.exe TSC.*
Cette opération aura pour but de rafraîchir la date de création du fichier TSC.EXE
Le serveur OfficeScan déploiera automatiquement (aussi par Autopcc) les fichiers indiqués
8) Afin de vérifier le bon fonctionnement, deux fichiers doivent être créés dans le répertoire
\PCCSRV\Download. Il s'agit des fichiers nommés Hotfix95.txt et HotfixNT.txt
Cette procédure peut être aussi utilisée pour appliquer les différents patchs que peuvent vous
proposer nos supports techniques
5
Comment Fonctionne la procédure HotFix sur
OfficeScan ?
Du côté serveur OfficeScan
Au démarrage de son service, le serveur OfficeScan place en mémoire la liste fichiers et leur date de
création qui sont listées dans les deux fichiers AP95.INI et APNT.INI (situés dans Autopcc.cfg).
Il scanne régulièrement ces fichiers afin de vérifier qu’ils n’ont pas évolué.
Lorsque vous effectuez un tmtouch.exe sur un fichier, une procédure « HotFix » se met en place.
Note : Typiquement, il n’est pas obligatoire de placer TSC.exe et TSC.ptn dans le répertoire ADMIN.
Vous pouvez, si vous le souhaitez, créer un répertoire + un répertoire virtuel de votre choix pour ces opérations.
Le serveur va créer deux fichiers :
Hotfixnt.txt et Hotfix95.txt. Ils seront situés dans le répertoire \PCCSRV\Download
Ces deux fichiers ne font que lister les éléments enregistrés dans AP95.INI et APNT.INI avec leur date
de création au format « année+mois+jour+heure+minutes+secondes » (yyyymmddhhmmss)
Par exemple :
HotFix=20030418152810
/officescan/hotfix_ADMIN/tmdbg20.dll=20021125080532
/officescan/hotfix_ADMIN/C4DLL.DLL=20000621151424
/officescan/hotfix_ADMIN/DBALLCFG.DLL=20030108090206
/officescan/hotfix_ADMIN/DBALLDAT.DLL=20030108090206
/officescan/hotfix_ADMIN/DBALLLOG.DLL=20030108090208
Remarquez le chemin donné au fichier cible. Ce chemin
que complétera le client OfficeScan.
« /officescan/../..
» est un chemin web
Si vous visualisez les sites virtuels de IIS, vous verrez ces 3 sites virtuels :
Hotfix_admin
Hotfix_pcc95
Hotfix_pccnt
Hotfix_engine
Ces 4 sites virtuels ciblent respectivement les répertoires
PCCSRV\ADMIN,
PCCSRV\PCC95, PCCSRV\PCCNT, PCCSRV\Engine
Il ont été créés afin d’autoriser les stations de travail à récupérer les fichiers nécessaires pour la mise
à jour.
Note : Si vous désirez créer un répertoire propre à TSC, vous devrez créer un répertoire virtuel « hotfix_[nom de
répertoire] » qui ciblera votre nouveau répertoire dans PCCSRV et ajouter dans les fichier APNT.ini, AP95.INI
les chemin de TSC.exe et TSC.ptn puis enfin relancer le service « OfficeScan Master Service »
6
Du côté stations de travail.
Cette procédure HotFix va forcer le serveur à appeler l’ensemble de ses postes de travail.
Il ne va appeler que les postes de travail dont la date HotFix est inférieure ou égale à celle enregistrée
dans les fichiers générés dans le répertoire Download (ex : HotFix=20030418152810).
En effet, au démarrage, chaque poste de travail communique au serveur la date de la dernière
opération HotFix effectuée.
Cette date est stockée dans la base de registres du client
Par exemple : HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp\CurrentVersion\Misc.\HotFix pour une station NT.
Lorsqu’un poste de travail OfficeScan reçoit sur son port d’écoute la requête du serveur, il va scanner
la date des tous les fichiers installés dans son répertoire et exécuter l’url suivante sur le serveur :
http://[serveur]//officescan/cgi/cgiRqHotFix.exe?ClientType=2&RELEASE=5.5
Le serveur lui affichera alors le contenu du fichier Hotfix en fonction de la version de Windows
indiquée par le client (NT ou 9x pilotée par le champ ClientType).
Le poste de travail recevra ceci :
HotFix=20030418152810
/officescan/hotfix_ADMIN/tmdbg20.dll=20021125080532
/officescan/hotfix_ADMIN/C4DLL.DLL=20000621151424
/officescan/hotfix_ADMIN/DBALLCFG.DLL=20030108090206
/officescan/hotfix_ADMIN/DBALLDAT.DLL=20030108090206
/officescan/hotfix_ADMIN/DBALLLOG.DLL=20030108090208
/officescan/hotfix_PCCNT/NTMONRES.DLL=20030108090214
/officescan/hotfix_PCCNT/NTRTSCAN.EXE=20030108090140
/officescan/hotfix_PCCNT/PCC-NT.HLP=20030114180214
/officescan/hotfix_PCCNT/PCCNTRES.DLL=20030108090214
…
Sur ce, il est nécessaire de ne pas supprimer les fichiers Hotfixnt.txt et Hotfix95.txt juste après avoir effectué un
tmtouch, sinon, le serveur ne pourra appeler les postes OfficeScan ni leur fournir la liste des mises à jour.
Ne reste plus pour le client OfficeScan qu’à comparer la date des fichiers de son répertoire local à celle
des fichiers fournie par le serveur.
La date du serveur devra être supérieure à la date locale pour que la procédure fonctionne.
(C’est une des raisons pour laquelle, l’utilitaire tmtouch est nécessaire.)
Si par exemple, la date de TSC.exe est plus récente sur le serveur, le client téléchargera le fichier à
l’aide du chemin indiqué par les données du fichier Hotfix afin de le mettre à jour
(http://serveur/officescan/hotfix_admin/tsc.exe)
Vous constaterez des fichiers *.tag sur le poste de travail. Ces fichiers tag sont le résultat d’une mise à jour du
fichier local.
7
Vous pouvez visualiser ces opérations en consultant les logs IIS situés dans
Winnt\system32\Logfile\W3SVC1.
Ouvrez le dernier fichier correspondant à la date et heure de l’invocation de la procédure HotFix.
Voici par exemple un log d’une station de travail qui a appliqué la procédure HotFix.
Comprendre les logs IIS sur le serveur OfficeScan
Nous allons essayer de comprendre ce log IIS
2003-04-18 18:01:15 10.14.1.46 - GET /officescan/cgi/cgiOnStart.exe UID=fc876d87-f557-4202b9afdd7d799549b7&DATE=20030418&TIME=200053&COMPUTER=TOUZEAUD&PLATFORM=Windows%20NT%205%2e0%2e2195&
IP=10.14.1.46&PTNFILE=516&PROGRAM=5.5&ENGINE=6.550&ENCY=35&DOMAIN=Trendfr&HOTFIX=2003041815281
0&INSTDATE=20030325&INSTTIME=203006&MOBILE=0&RELEASE=5.5&OPPSTATUS=0 200 TMhtload/1.31.00.1234
Cette ligne indique que la station s’est référencée sur le serveur. Elle effectue cette opération à
chaque démarrage de son service. Notez en rouge, la date HotFix qu’elle envoi à son serveur.
2003-04-18 18:02:20 10.14.1.46 - GET /officescan/cgi/cgiRqHotFix.exe ClientType=2&RELEASE=5.5
200 TMhtload/1.31.00.1234
Cette ligne indique que le poste de travail vient de recevoir l’appel du serveur sur son port d’écoute et
exécute donc le Cgi cgiRqHotFix.exe avec comme type 2 pour NT afin de récupérer la liste des mises
à jour.
2003-04-18 18:02:41 10.14.1.46 - GET /officescan/cgi/cgiRqUpd.exe RELEASE=5.5 200
TMhtload/1.31.00.1234
Par défaut, la station va récupérer les options avancées qui sont enregistrées dans le
ofcupd.ini. Cette requête ne nous intéresse pas pour l’instant dans ce dossier.
fichier PCCSRV\
2003-04-18 18:03:45 10.14.1.46 - GET /officescan/hotfix_ADMIN/TSC.exe - 412
TMhtload/1.31.00.1234
2003-04-18 18:04:06 10.14.1.46 - GET /officescan/hotfix_ADMIN/TSC.ptn - 412
TMhtload/1.31.00.1234
La station vient de récupérer les deux fichiers victimes d’un tmtouch (TSC.exe et TSC.ptn)
2003-04-18 18:05:15 10.14.1.46 - GET /officescan/cgi/cgiOnClose.exe UID=fc876d87-f557-4202b9af-dd7d799549b7&DATE=20030418&TIME=200453&RELEASE=5.5 200 TMhtload/1.31.00.1234
Elle vient de se mettre à jour avec TSC et TSC.ptn et a arrêté son service.
Lors d’un arrêt de son service, un client OfficeScan tente toujours de notifier son serveur par le cgi
CgiOnClose.exe afin que celui-ci n’entreprenne pas de nouvelles opérations réseau.
2003-04-18 18:06:00 10.14.1.46 - GET /officescan/cgi/cgiOnUpdate.exe UID=fc876d87-f557-4202b9afdd7d799549b7&PATTERN=516&ENGINE=6.550&PROGRAM=5.5&HOTFIX=20030418180158&DATE=20030418&TIME=200
538&RELEASE=5.5 200 TMhtload/1.31.00.1234
L’exécution du cgiOnUpdate permet de confirmer au serveur le succès de sa mise à jour. A ce stade,
la date HotFix de la station de travail à été mise à jour sur le serveur OfficeScan.
2003-04-18 18:06:27 10.14.1.46 - GET /officescan/cgi/cgiOnStart.exe UID=fc876d87-f557-4202b9afdd7d799549b7&DATE=20030418&TIME=200605&COMPUTER=TOUZEAUD&PLATFORM=Windows%20NT%205%2e0%2e2195&
IP=10.14.1.46&PTNFILE=516&PROGRAM=5.5&ENGINE=6.550&ENCY=35&DOMAIN=Trendfr&HOTFIX=2003041818015
8&INSTDATE=20030325&INSTTIME=203006&MOBILE=0&RELEASE=5.5&OPPSTATUS=0 200 TMhtload/1.31.00.1234
L’exécution du CgiOnstart s’effectue à chaque démarrage du service OfficeScan Client.
Cette opération permet de rafraîchir les données du serveur sur l’état de ses postes et par la même
occasion d’inscrire un nouveau poste dans la base du serveur.
8
L’auto exécution de TSC
Il est inutile de créer un batch qui va forcer l’exécution de TSC car le client OfficeScan exécute
régulièrement ce programme.
Vous constaterez sur un poste de travail la création d’un fichier de traces de TSC dans le répertoire du client
OfficeScan. Un sous répertoire Report est automatiquement créé au lancement de TSC.
Ce répertoire contient un fichier de logs nommé yyyymmddd.log et prouve par ailleurs son exécution.
A quel moment le programme TSC est il auto exécuté ?
9
9
9
9
Lorsque l’utilisateur effectue un Scan manuel à partir de la console du client OfficeScan
Lorsque la station vient de subir une mise à jour HotFix depuis le serveur OfficeScan
Lorsque l’administrateur effectue un Scan immédiat sur un poste à partir de l’interface Web du
serveur.
Lorsque la clef
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OfficeScanNT Monitor.
a été modifiée
Est-il possible de modifier les paramètres de commandes de TSC ?
Ouvrez sur le serveur le fichier
ADMIN\TSC.ini
Vous y trouverez les valeurs par défaut indiquées ci-dessous :
Modifiez-les à votre guise.
Après la modification du fichier INI, la procédure HotFix va démarrer et ce fichier INI sera ainsi poussé
sur l’ensemble de vos stations Officescan.
[message]
MsgTitle=Trend Micro System Cleaner
VirusMsg=Virus détecté :
NoVirusMsg=Aucun virus détecté
Reboot=Veuillez redémarrer votre système afin de supprimer les chevaux de Troie.
Reclean=Veuillez redémarrer votre système et exécuter TSC.exe une nouvelle fois.
VirusAssessMsg=Virus détecté(aucune mesure prise) :
CleanFailedMsg=Échec du nettoyage :
NoPattern=Signature introuvable
NoMemory=Mémoire insuffisante
[options]
RecoverInitial=1
RecoverRegistry=1
BackupInitial=1
BackupRegistry=1
BackupFile=1
PatternDir=
BackupDir=
DebugLogDir=
DebugLogName=
VirusMsgbox=
NoneMsgbox=
[advanced]
ExtraOutputs=OSCETSCLog.dll
DisableConsoleOutput=1
DisableReportOutput=
DebugInfoLevel=
BackupFileNumber=
PatternName=tsc.ptn
ReportDir=
9
Est-il possible de récupérer automatiquement TSC ?
A l’heure où je rédige ce document, le serveur OfficeScan n’inclut pas cette fonctionnalité.
Cette automatisation devra s’effectuer à travers la prochaine version de la console d’administration
centralisée nommée TMCM (Trend Micro Control Manager). En effet, TSC s’applique aussi sur la
protection serveur de Trend Micro nommée Trend ServerProtect.
TUOMS est un freeware tiers intéressant. Il permet de mettre automatiquement
à jour un serveur OfficeScan http avec TSC
En attendant l’arrivée de cette nouvelle version, vous pouvez toutefois récupérer un outil développé
par trendastuces.com.
Cet outil permet de récupérer automatiquement l’outil TSC depuis nos serveurs FTP anonymes à partir
du serveur OfficeScan HTTP.
Vous trouverez cet outil sur cette page web :
http://www.trendastuces.com/cgi-bin/yabb/YaBB.pl?board=TUOMS
Note : Trendastuces est un site indépendant qui ne dispose de relations ni techniques ni commerciales avec
Trend Micro.Par conséquent, le support de ce produit est à la charge de trendastuces.com
10

Auto réparation des postes de travail

Transcription

Documents pareils

TROJAN SYSTEM CLEANER

Installation Trend Officescan 11.0

Trend Micro™ OfficeScan™ 7.0 Client/Server Edition

Dial-a-fix pour corriger les mises à jour de Windows.

Oups ! Blizzard a fait une erreur - FFS

Le Conseil général de Loire Atlantique protège sa

généré par instsrv.exe), ce qui est assez logique d`ailleurs, puisqu

Dans quel répertoire le système enregistre-t

Exemples de répertoire francophone (partiel) Exemples de

SP1 - Guide d`installation et de mise à niveau