Recherche sur le blog

mardi 22 avril 2014

[Sécurité] Supprimer le virus Conficker

Conficker est un ver informatique, aussi connu sous les noms de Downup, Downandup ou Kido, apparu aux alentours de novembre 2008. Lorsqu’il est installé sur une machine, il peut faire en sorte de bloquer l’envoi de requêtes DNS,  empêcher l’exécution d’un utilitaire anti-malware ou même de désactiver les mises à jour automatique. Certaines variantes, en particulier B et C, recopient des exécutables sur des supports amovibles pour se propager plus facilement sur d’autres ordinateurs. Les variantes A à E, à l’exception de D, sont susceptibles d’exploiter une faille dans le service “Serveur” de l’ordinateur cible. Microsoft a bien sûr corrigé cette vulnérabilité fin octobre 2008 (bulletin MS08-067).

Les symptômes suivants peuvent être constatés lors d’une infection : congestion du réseau due à de nombreuses requêtes ARP, contrôleur de domaine plus lent à répondre, remise à zéro de certaines stratégies locales de sécurité du compte, services liés à Windows Update désactivés, etc. Le service Spamhaus peut également en arriver à bloquer votre adresse IP et à considérer qu’elle est émettrice de spam, même si aucun e-mail n’est transmis.

Pour détecter ce virus, il existe deux méthodes principales. La première consiste à lancer un utilitaire de scan en ligne, si cela est possible. L’autre consiste à utiliser l’outil “Conficker Detection Tool” développé par l’éditeur “McAfee”. L’utilitaire, qui peut être téléchargé sur le site officiel, est plutôt simple à utiliser : lancé depuis un PC dans le réseau, on va lui préciser les intervalles d’adresses à scanner. En cliquant sur le bouton “Go”, le logiciel interroge chaque machine et indique si elle est infectée ou non. Evidemment, cet outil nécessite que toutes les machines soient actives et connectées.

conficker-detection-tool

Sur chaque machine infectée, on va pouvoir lancer l’utilitaire “Conficker Removal Tool”. Cet outil est fourni par Enigma Software et peut être téléchargé via ce lien plutôt que depuis le site officiel qui essaie de vous refourguer SpyHunter. Alors que ce dernier fait partie des logiciels à éviter, le petit utilitaire “cfremover.exe” de 410 Ko semble fonctionner sans poser le moindre souci. Le fichier téléchargé sur 01.net est sûr et a été vérifié avec Trend Micro ainsi que Bitdefender. Si cela peut vous rassurer, voici le rapport…

scan_bd

Une fois lancé, il exécute quatre étapes et redémarre après chacune d’entre elles. En résumé, il s’occupe d’arrêter les services permettant l’exploitation de la faille – dont le service “Serveur” –, de supprimer les partages réseaux administratifs pour éviter la propagation du virus, et d’enlever les fichiers qui ont été installés lors de l’infection. Tout est entièrement automatique une fois que l’on clique sur le bouton “Start”.

removaltool

Après quelques minutes d’exécution, rien d’anormal n’a été constaté sur l’ordinateur précédemment infecté. Aucun avertissement n’a été émis lors du scan complet de la machine avec l’antivirus mis à jour. Si toutefois vous souhaitez éviter à tout prix d’avoir à télécharger un utilitaire de cet éditeur aux pratiques douteuses, vous pouvez vous diriger vers des solutions proposées par BitDefender, Sophos, Symantec, McAfee, ou encore Eset.

Il est également recommandé d’effectuer une vaccination des supports amovibles, qui pourraient avoir été touchés par le ver, avant d’effectuer des transferts de fichier. Dans ce cas, on peut utiliser l’utilitaire UsbFix dans sa version gratuite. Il faut bien sûr que les différents périphériques soient connectés à l’ordinateur sur lequel on exécute l’outil afin que cela fonctionne. Le fonctionnement est très simple : une fois lancé, il faut tout d’abord réaliser une “Recherche”. Une fois que l’on a analysé le rapport, on peut utiliser l’option “Suppression”.

Si l’utilitaire de désinfection fourni par Sophos indique que Conficker a correctement été supprimé, il est recommandé d’effectuer une nouvelle vérification avec un logiciel comme Malwarebytes Anti-Malware ; cela permettra de supprimer d’autres logiciels malveillants qui auraient éventuellement été installés. On peut aussi effectuer un scan complet de la machine avec l’antivirus installé, à condition qu’il soit à jour, et même avec l’utilitaire MSRT.

Une fois toutes ces opérations réalisées, il est recommandé d’effectuer les différentes mises à jour de sécurité du système. On retrouve régulièrement ce ver sur des machines qui sont restées en Windows XP SP1 ou 2. Pour plus d’informations, vous pouvez également consulter l’alerte de sécurité publiée par Secuser en 2008.

2 commentaires:

Reka a dit…

Comment tu expliques qu'ils fassent en même temps la pub de Spyhunter qui lui-même est un software non clean?

Vincent a dit…

Oui et pourtant... L'outil fonctionne ! J'ai fait plusieurs scans par la suite dont un avec Trend Micro et rien n'a été trouvé... En cherchant sur internet on constate que des utilisateurs (même français) se sont servis de cet outil pour se débarrasser du ver.

Je n'ai constaté aucun problème par la suite ; aucun fichier suspect, aucun processus bizarre. Sauf avis contraire l'outil est safe contrairement à son grand copain SpyHunter :-)

Juste une note : ne pas télécharger l'utilitaire depuis le site officiel, ça télécharge un installateur de SpyHunter à la place. On trouve des liens sur la toile qui renvoient vers le bon fichier "cfremover.exe" (de +- 410k).