Auto réparation des postes de travail
Transcription
Auto réparation des postes de travail
Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Auto réparation des postes de travail Comprendre et déployer les mises à jours de TSC avec OfficeScan Corporate 5.5 QU'EST-CE QUE TSC ? ............................................................................................................... 2 Où récupérer TSC ?..................................................................................................................................................... 2 Techniquement, que fait-t-il ? ............................................................................................................................. 3 La détection................................................................................................................................................................ 3 La réparation .............................................................................................................................................................. 3 Comment le piloter localement ?......................................................................................................................... 4 Les commutateurs disponibles: .................................................................................................................................... 4 PROCEDURES DE DEPLOIEMENT .................................................................................................... 5 La procédure via le serveur OfficeScan HTTP ...................................................................................................... 5 COMMENT FONCTIONNE LA PROCEDURE HOTFIX SUR OFFICESCAN ? .................................................. 6 Du côté serveur OfficeScan ................................................................................................................................. 6 Du côté stations de travail.................................................................................................................................. 7 Comprendre les logs IIS sur le serveur OfficeScan......................................................................................................... 8 L’auto exécution de TSC ...................................................................................................................................... 9 A quel moment le programme TSC est il auto exécuté ? ................................................................................................ 9 Est-il possible de modifier les paramètres de commandes de TSC ?................................................................................ 9 Est-il possible de récupérer automatiquement TSC ? ................................................................................................... 10 Rédacteur David TOUZEAU Trend Micro France 1 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Qu'est-ce que TSC ? Le mot TSC est le diminutif de Trojan System Cleaner, Son concept est de fournir un outil « générique » permettant de réparer une station de travail infectée à un ensemble de virus connus. Il permet de traiter des infections systèmes qui ont mis en échec les opérations traditionnelles de nettoyage des produits OfficeScan et ServerProtect. Lorsque l’attaque du code malicieux a eu lieu avant la mise à jour de l’antivirus, certains Trojans ou vers se font passer pour étant un élément appartenant au système d'exploitation. Ils sont ainsi protégés par celui-ci et ne peuvent être délogés. Or, OfficeScan et ServerProtect, même mis à jour, ne peuvent pas modifier des fichiers chargés par le système. Une alerte de ce type sera donc générée : (Clean Failed, Move Failed) L'ancienne méthode connue de tous consistait à effectuer un scan manuel avec un scanner DOS, système d'exploitation non chargé. Pour les systèmes Windows 95/98/Me il n'y avait pas de problème. Mais avec le nouveau formatage NTFS, cette solution n'est pas applicable. TSC permet donc de pallier cette éventualité. Où récupérer TSC ? L’outil TSC peut être récupéré sur cette page Web http://www.trendmicro.com/download/tsc.asp Ou par FTP à cette adresse : ftp://download.trendmicro.com/products/tsc Rédacteur David TOUZEAU Trend Micro France 2 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Techniquement, que fait-t-il ? La détection Les vers et trojans sont référencés dans une signature spécifique nommée tsc.ptn Cette signature indique à TSC.exe quelles sont les opérations à effectuer de manière à détecter un Trojan ou ver. La stratégie adoptée pour détecter un virus est radicalement différente de celle utilisée par un antivirus traditionnel. En effet, TSC a, en plus d’un scanner traditionnel, les capacités de lire dans une base de registres et fichiers INI, dans des espaces mémoire. Sa signature référence des processus mémoire, clefs de registres, fichiers INI… Lorsque vous exécutez ce programme, TSC va alors parcourir tous ces éléments pour vérifier l’éventuelle présence d’un ou voire même de plusieurs virus chargés dans votre système. La réparation Si un virus est découvert, la signature contient aussi des opérations de réparation. Les opérations de réparation de TSC ne diffèrent pas des opérations humaines que vous pouvez effectuer sur un poste de travail. Son originalité est de les effectuer automatiquement sans aucune participation de votre part. TSC est donc capable entre autre de : 9 Tuer un processus mémoire, 9 Supprimer des clefs de registres, 9 Arrêter ou démarrer un service, 9 Supprimer des fichiers 9 Ecrire dans un fichier Ini etc.… Certaines de ces opérations nécessitent sous Windows NT des privilèges particuliers. C’est la raison pour laquelle il est couplé au client OfficeScan. Il est en effet exécuté par le processus OfficeScan qui est compte système. OfficeScan transmet alors à TSC ses privilèges. Rédacteur David TOUZEAU Trend Micro France 3 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Comment le piloter localement ? Décompressez le fichier ZIP dans le répertoire de la station OfficeScan Exécutez le programme TSC.EXE dans le répertoire de travail du client OfficeScan. Si il découvre un virus, il vous demandera de redémarrer le système afin de continuer sa procédure de nettoyage. Les commutateurs disponibles: désactive la réparation des fichiers INI du système désactive la réparation de la base de registres /DBI désactive le backup des fichiers INI du système /DBR désactive le backup de la base de registres /DBF désactive le backup du fichier infecté par le virus /BP= Asssigne le répertoire de backup /DP=Assigne le répertoire de stockage des logs /DN=Assigne le nom du fichier de log /PP=indique le répertoire de la signature "lpt$vpn.xxx" /MN Active un boîte message si aucune infection trouvée /MV Active un boîte message si un virus est trouvé /VL Liste les virus supportés par TSC /DI /DR Si TSC est lancé sans commutateur, voici les commutateurs enregistrés par défaut : Réparation des fichiers INI du système Réparation de la base de registres Backup des fichiers INI du système Backup de la base de registres Backup des fichiers infectés par le virus Répertoire de stockage = répertoire source de l'exécution du programme TSC Répertoire de stockage des logs = répertoire source de l'exécution du programme TSC Nom du log = yyyymmdd.LOG Répertoire de la Signature = répertoire source de l'Exécution du programme TSC Boites messages= Toutes désactivées. Rédacteur David TOUZEAU Trend Micro France 4 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Procédures de déploiement Comme vous l'avez remarqué, TSC (Trojan System Cleaner) subit de nouvelles versions régulièrement,afin de vous proposer une action de réparation la plus simple possible. Pour vous permettre de vous aider dans votre exploitation, Vous trouverez ci-joint une procédure pour déployer TSC sur l’ensemble de votre parc. La procédure via le serveur OfficeScan HTTP 1) Recopiez les fichier TSC.EXE et tsc.ptn 2) Supprimez les fichiers dans le répertoire Hotfixnt.txt et Hotfix95.txt \PCCSRV\Admin situés dans le répertoire \PCCSRV\Download 3) Ouvrez le fichier AP95.ini situé dans le répertoire 4) A la fin de ce fichier ajoutez l'entrée \PCCSRV\Autopcc.cfg ADMIN\TSC.ptn 5) Effectuez la même opération pour le fichier APNT.ini 6) Placez-vous dans le répertoire \PCCSRV\Admin\Utility\Touch et recopiez le fichier TmTouch.exe (Version 5.02 ou Touch.exe situé dans \PCCSRV\Admin\Utility\Touch de la version 3.54) dans le répertoire \PCCSRV\Admin 7) En mode MS-DOS, tapez l'instruction suivante : "tmtouch.exe TSC.* Cette opération aura pour but de rafraîchir la date de création du fichier TSC.EXE Le serveur OfficeScan déploiera automatiquement (aussi par Autopcc) les fichiers indiqués 8) Afin de vérifier le bon fonctionnement, deux fichiers doivent être créés dans le répertoire \PCCSRV\Download. Il s'agit des fichiers nommés Hotfix95.txt et HotfixNT.txt Cette procédure peut être aussi utilisée pour appliquer les différents patchs que peuvent vous proposer nos supports techniques Rédacteur David TOUZEAU Trend Micro France 5 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Comment Fonctionne la procédure HotFix sur OfficeScan ? Du côté serveur OfficeScan Au démarrage de son service, le serveur OfficeScan place en mémoire la liste fichiers et leur date de création qui sont listées dans les deux fichiers AP95.INI et APNT.INI (situés dans Autopcc.cfg). Il scanne régulièrement ces fichiers afin de vérifier qu’ils n’ont pas évolué. Lorsque vous effectuez un tmtouch.exe sur un fichier, une procédure « HotFix » se met en place. Note : Typiquement, il n’est pas obligatoire de placer TSC.exe et TSC.ptn dans le répertoire ADMIN. Vous pouvez, si vous le souhaitez, créer un répertoire + un répertoire virtuel de votre choix pour ces opérations. Le serveur va créer deux fichiers : Hotfixnt.txt et Hotfix95.txt. Ils seront situés dans le répertoire \PCCSRV\Download Ces deux fichiers ne font que lister les éléments enregistrés dans AP95.INI et APNT.INI avec leur date de création au format « année+mois+jour+heure+minutes+secondes » (yyyymmddhhmmss) Par exemple : HotFix=20030418152810 /officescan/hotfix_ADMIN/tmdbg20.dll=20021125080532 /officescan/hotfix_ADMIN/C4DLL.DLL=20000621151424 /officescan/hotfix_ADMIN/DBALLCFG.DLL=20030108090206 /officescan/hotfix_ADMIN/DBALLDAT.DLL=20030108090206 /officescan/hotfix_ADMIN/DBALLLOG.DLL=20030108090208 Remarquez le chemin donné au fichier cible. Ce chemin que complétera le client OfficeScan. « /officescan/../.. » est un chemin web Si vous visualisez les sites virtuels de IIS, vous verrez ces 3 sites virtuels : Hotfix_admin Hotfix_pcc95 Hotfix_pccnt Hotfix_engine Ces 4 sites virtuels ciblent respectivement les répertoires PCCSRV\ADMIN, PCCSRV\PCC95, PCCSRV\PCCNT, PCCSRV\Engine Il ont été créés afin d’autoriser les stations de travail à récupérer les fichiers nécessaires pour la mise à jour. Note : Si vous désirez créer un répertoire propre à TSC, vous devrez créer un répertoire virtuel « hotfix_[nom de répertoire] » qui ciblera votre nouveau répertoire dans PCCSRV et ajouter dans les fichier APNT.ini, AP95.INI les chemin de TSC.exe et TSC.ptn puis enfin relancer le service « OfficeScan Master Service » Rédacteur David TOUZEAU Trend Micro France 6 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Du côté stations de travail. Cette procédure HotFix va forcer le serveur à appeler l’ensemble de ses postes de travail. Il ne va appeler que les postes de travail dont la date HotFix est inférieure ou égale à celle enregistrée dans les fichiers générés dans le répertoire Download (ex : HotFix=20030418152810). En effet, au démarrage, chaque poste de travail communique au serveur la date de la dernière opération HotFix effectuée. Cette date est stockée dans la base de registres du client Par exemple : HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PCcillinNTCorp\CurrentVersion\Misc.\HotFix pour une station NT. Lorsqu’un poste de travail OfficeScan reçoit sur son port d’écoute la requête du serveur, il va scanner la date des tous les fichiers installés dans son répertoire et exécuter l’url suivante sur le serveur : http://[serveur]//officescan/cgi/cgiRqHotFix.exe?ClientType=2&RELEASE=5.5 Le serveur lui affichera alors le contenu du fichier Hotfix en fonction de la version de Windows indiquée par le client (NT ou 9x pilotée par le champ ClientType). Le poste de travail recevra ceci : HotFix=20030418152810 /officescan/hotfix_ADMIN/tmdbg20.dll=20021125080532 /officescan/hotfix_ADMIN/C4DLL.DLL=20000621151424 /officescan/hotfix_ADMIN/DBALLCFG.DLL=20030108090206 /officescan/hotfix_ADMIN/DBALLDAT.DLL=20030108090206 /officescan/hotfix_ADMIN/DBALLLOG.DLL=20030108090208 /officescan/hotfix_PCCNT/NTMONRES.DLL=20030108090214 /officescan/hotfix_PCCNT/NTRTSCAN.EXE=20030108090140 /officescan/hotfix_PCCNT/PCC-NT.HLP=20030114180214 /officescan/hotfix_PCCNT/PCCNTRES.DLL=20030108090214 … Sur ce, il est nécessaire de ne pas supprimer les fichiers Hotfixnt.txt et Hotfix95.txt juste après avoir effectué un tmtouch, sinon, le serveur ne pourra appeler les postes OfficeScan ni leur fournir la liste des mises à jour. Ne reste plus pour le client OfficeScan qu’à comparer la date des fichiers de son répertoire local à celle des fichiers fournie par le serveur. La date du serveur devra être supérieure à la date locale pour que la procédure fonctionne. (C’est une des raisons pour laquelle, l’utilitaire tmtouch est nécessaire.) Si par exemple, la date de TSC.exe est plus récente sur le serveur, le client téléchargera le fichier à l’aide du chemin indiqué par les données du fichier Hotfix afin de le mettre à jour (http://serveur/officescan/hotfix_admin/tsc.exe) Vous constaterez des fichiers *.tag sur le poste de travail. Ces fichiers tag sont le résultat d’une mise à jour du fichier local. Rédacteur David TOUZEAU Trend Micro France 7 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Vous pouvez visualiser ces opérations en consultant les logs IIS situés dans Winnt\system32\Logfile\W3SVC1. Ouvrez le dernier fichier correspondant à la date et heure de l’invocation de la procédure HotFix. Voici par exemple un log d’une station de travail qui a appliqué la procédure HotFix. Comprendre les logs IIS sur le serveur OfficeScan Nous allons essayer de comprendre ce log IIS 2003-04-18 18:01:15 10.14.1.46 - GET /officescan/cgi/cgiOnStart.exe UID=fc876d87-f557-4202b9afdd7d799549b7&DATE=20030418&TIME=200053&COMPUTER=TOUZEAUD&PLATFORM=Windows%20NT%205%2e0%2e2195& IP=10.14.1.46&PTNFILE=516&PROGRAM=5.5&ENGINE=6.550&ENCY=35&DOMAIN=Trendfr&HOTFIX=2003041815281 0&INSTDATE=20030325&INSTTIME=203006&MOBILE=0&RELEASE=5.5&OPPSTATUS=0 200 TMhtload/1.31.00.1234 Cette ligne indique que la station s’est référencée sur le serveur. Elle effectue cette opération à chaque démarrage de son service. Notez en rouge, la date HotFix qu’elle envoi à son serveur. 2003-04-18 18:02:20 10.14.1.46 - GET /officescan/cgi/cgiRqHotFix.exe ClientType=2&RELEASE=5.5 200 TMhtload/1.31.00.1234 Cette ligne indique que le poste de travail vient de recevoir l’appel du serveur sur son port d’écoute et exécute donc le Cgi cgiRqHotFix.exe avec comme type 2 pour NT afin de récupérer la liste des mises à jour. 2003-04-18 18:02:41 10.14.1.46 - GET /officescan/cgi/cgiRqUpd.exe RELEASE=5.5 200 TMhtload/1.31.00.1234 Par défaut, la station va récupérer les options avancées qui sont enregistrées dans le ofcupd.ini. Cette requête ne nous intéresse pas pour l’instant dans ce dossier. fichier PCCSRV\ 2003-04-18 18:03:45 10.14.1.46 - GET /officescan/hotfix_ADMIN/TSC.exe - 412 TMhtload/1.31.00.1234 2003-04-18 18:04:06 10.14.1.46 - GET /officescan/hotfix_ADMIN/TSC.ptn - 412 TMhtload/1.31.00.1234 La station vient de récupérer les deux fichiers victimes d’un tmtouch (TSC.exe et TSC.ptn) 2003-04-18 18:05:15 10.14.1.46 - GET /officescan/cgi/cgiOnClose.exe UID=fc876d87-f557-4202b9af-dd7d799549b7&DATE=20030418&TIME=200453&RELEASE=5.5 200 TMhtload/1.31.00.1234 Elle vient de se mettre à jour avec TSC et TSC.ptn et a arrêté son service. Lors d’un arrêt de son service, un client OfficeScan tente toujours de notifier son serveur par le cgi CgiOnClose.exe afin que celui-ci n’entreprenne pas de nouvelles opérations réseau. 2003-04-18 18:06:00 10.14.1.46 - GET /officescan/cgi/cgiOnUpdate.exe UID=fc876d87-f557-4202b9afdd7d799549b7&PATTERN=516&ENGINE=6.550&PROGRAM=5.5&HOTFIX=20030418180158&DATE=20030418&TIME=200 538&RELEASE=5.5 200 TMhtload/1.31.00.1234 L’exécution du cgiOnUpdate permet de confirmer au serveur le succès de sa mise à jour. A ce stade, la date HotFix de la station de travail à été mise à jour sur le serveur OfficeScan. 2003-04-18 18:06:27 10.14.1.46 - GET /officescan/cgi/cgiOnStart.exe UID=fc876d87-f557-4202b9afdd7d799549b7&DATE=20030418&TIME=200605&COMPUTER=TOUZEAUD&PLATFORM=Windows%20NT%205%2e0%2e2195& IP=10.14.1.46&PTNFILE=516&PROGRAM=5.5&ENGINE=6.550&ENCY=35&DOMAIN=Trendfr&HOTFIX=2003041818015 8&INSTDATE=20030325&INSTTIME=203006&MOBILE=0&RELEASE=5.5&OPPSTATUS=0 200 TMhtload/1.31.00.1234 L’exécution du CgiOnstart s’effectue à chaque démarrage du service OfficeScan Client. Cette opération permet de rafraîchir les données du serveur sur l’état de ses postes et par la même occasion d’inscrire un nouveau poste dans la base du serveur. Rédacteur David TOUZEAU Trend Micro France 8 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 L’auto exécution de TSC Il est inutile de créer un batch qui va forcer l’exécution de TSC car le client OfficeScan exécute régulièrement ce programme. Vous constaterez sur un poste de travail la création d’un fichier de traces de TSC dans le répertoire du client OfficeScan. Un sous répertoire Report est automatiquement créé au lancement de TSC. Ce répertoire contient un fichier de logs nommé yyyymmddd.log et prouve par ailleurs son exécution. A quel moment le programme TSC est il auto exécuté ? 9 9 9 9 Lorsque l’utilisateur effectue un Scan manuel à partir de la console du client OfficeScan Lorsque la station vient de subir une mise à jour HotFix depuis le serveur OfficeScan Lorsque l’administrateur effectue un Scan immédiat sur un poste à partir de l’interface Web du serveur. Lorsque la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OfficeScanNT Monitor. a été modifiée Est-il possible de modifier les paramètres de commandes de TSC ? Ouvrez sur le serveur le fichier ADMIN\TSC.ini Vous y trouverez les valeurs par défaut indiquées ci-dessous : Modifiez-les à votre guise. Après la modification du fichier INI, la procédure HotFix va démarrer et ce fichier INI sera ainsi poussé sur l’ensemble de vos stations Officescan. [message] MsgTitle=Trend Micro System Cleaner VirusMsg=Virus détecté : NoVirusMsg=Aucun virus détecté Reboot=Veuillez redémarrer votre système afin de supprimer les chevaux de Troie. Reclean=Veuillez redémarrer votre système et exécuter TSC.exe une nouvelle fois. VirusAssessMsg=Virus détecté(aucune mesure prise) : CleanFailedMsg=Échec du nettoyage : NoPattern=Signature introuvable NoMemory=Mémoire insuffisante [options] RecoverInitial=1 RecoverRegistry=1 BackupInitial=1 BackupRegistry=1 BackupFile=1 PatternDir= BackupDir= DebugLogDir= DebugLogName= VirusMsgbox= NoneMsgbox= [advanced] ExtraOutputs=OSCETSCLog.dll DisableConsoleOutput=1 DisableReportOutput= DebugInfoLevel= BackupFileNumber= PatternName=tsc.ptn ReportDir= Rédacteur David TOUZEAU Trend Micro France 9 Auto réparation des postes de travail avec TSC – comprendre et déployer avec OfficeScan 5.5 Est-il possible de récupérer automatiquement TSC ? A l’heure où je rédige ce document, le serveur OfficeScan n’inclut pas cette fonctionnalité. Cette automatisation devra s’effectuer à travers la prochaine version de la console d’administration centralisée nommée TMCM (Trend Micro Control Manager). En effet, TSC s’applique aussi sur la protection serveur de Trend Micro nommée Trend ServerProtect. TUOMS est un freeware tiers intéressant. Il permet de mettre automatiquement à jour un serveur OfficeScan http avec TSC En attendant l’arrivée de cette nouvelle version, vous pouvez toutefois récupérer un outil développé par trendastuces.com. Cet outil permet de récupérer automatiquement l’outil TSC depuis nos serveurs FTP anonymes à partir du serveur OfficeScan HTTP. Vous trouverez cet outil sur cette page web : http://www.trendastuces.com/cgi-bin/yabb/YaBB.pl?board=TUOMS Note : Trendastuces est un site indépendant qui ne dispose de relations ni techniques ni commerciales avec Trend Micro.Par conséquent, le support de ce produit est à la charge de trendastuces.com Rédacteur David TOUZEAU Trend Micro France 10