La Ressource de bureau des Diffuseurs

Écrit par Paul Litwinovich Publié dans Administration informatique.

Télécharger le PDF

Garder les ordinateurs à l’abri de certaines des mauvaises choses sur Internet nécessite une vigilance constante, peut-être avec un programme anti-malware. Les ordinateurs utilisés par le personnel de la salle de contrôle sont encore plus vulnérables, car les utilisateurs peuvent utiliser moins de soins lorsqu’ils se trouvent sur de tels ordinateurs communs. Si votre installation est « got », Paul Litwinovich a la solution:

Je gère environ 70 ordinateurs ici au groupe de radio publique WSHU et je suis assez doué pour nettoyer le virus occasionnel qui se glisse généralement dans les e-mails de quelqu’un.

Au cours des dernières semaines, il y a eu une éruption de nouvelles infections informatiques causées par le cheval de Troie Vundo et ses variantes virales. C’était exceptionnellement difficile, j’ai donc dû faire pas mal de recherches à ce sujet. Peut–être que ces informations vous alerteront des dangers – et vous aideront si vous les trouvez sur votre ordinateur.

Infection par le cheval de Troie

L’infection peut se produire facilement: le cheval de Troie Vundo commence par une fenêtre contextuelle dans votre navigateur Web indiquant à l’utilisateur que le programme antivirus de l’ordinateur est sur le point d’expirer – ou a expiré. Il vous demande de « cliquer ici pour résoudre le problème. »Il peut offrir un téléchargement gratuit de « Internet Security 2010 » ou d’un autre programme pour « nettoyer votre ordinateur. »

AVERTISSEMENT: si vous ou votre personnel voyez cette fenêtre contextuelle, ne soyez pas tenté de cliquer sur le « X » pour fermer la boîte. Il s’agit d’un seul jpeg et si vous cliquez n’importe où dessus, le processus de téléchargement commencera. Sur certaines variantes, vous pouvez cliquer avec le bouton droit sur l’icône de votre navigateur dans la barre des tâches inférieure en bas de votre écran et fermer le navigateur. Si vous avez de la chance, cela fermera également la fenêtre contextuelle.

Si la fenêtre contextuelle reste sur votre écran à ce stade, la seule issue est de sauvegarder les fichiers ouverts (documents, etc., sur lequel vous travailliez), puis plantez l’ordinateur en maintenant l’interrupteur d’alimentation enfoncé jusqu’à ce qu’il s’arrête. Vous devrez peut-être passer par une vérification du disque lorsque vous redémarrez, mais cela bat l’alternative.

Avertissement: Faire un arrêt normal et propre lui donnera une chance de s’écrire sur votre disque dur.

Ce que fait Vundo

Il existe de nombreuses variantes des chevaux de Troie Vundo, allant du « relativement » bénin au très destructeur. La plupart utilisent l’apparence d’une sorte de publicité contextuelle, puis s’enracinent pour les rendre difficiles à supprimer.

Si vous cliquez sur la fenêtre contextuelle, cela trompera certains programmes antivirus en apparaissant comme un téléchargement intentionnel.

Ensuite, une fois que le virus s’est chargé, il tentera d’éteindre votre véritable programme antivirus et de remplacer son icône dans votre barre d’état système par une pour un faux programme antivirus. Il peut modifier vos paramètres de sécurité pour afficher un avertissement indiquant que votre programme antivirus doit être mis à jour et lorsque vous cliquez sur l’avertissement, il vous mènera à un faux site Web et tentera de vous vendre plus de faux logiciels, ou au moins d’obtenir votre numéro de carte de crédit. Le faux programme antivirus peut apparaître sous un certain nombre de noms.

Le virus désactive souvent les mises à jour automatiques et crée un fichier qui vous empêche de démarrer en mode sans échec. Il écrira souvent protéger une copie de lui-même dans le cache du navigateur qui ne peut pas être supprimée. Si le virus détecte que vous essayez de le supprimer, il peut créer des dizaines de copies de lui-même apparaissant comme des fichiers dll nommés bizarres dans le répertoire system32. Plus de détails sur le fonctionnement de Vundo sont disponibles sur la plupart des sites Web antivirus.

Un point que l’on peut trouver sur presque toutes les descriptions Web de Vundo est qu’il ouvre les portes pour laisser entrer d’autres chevaux de Troie, donc plus votre ordinateur n’est pas traité longtemps, plus vous devrez faire face à des virus. Heureusement, ceux-ci se nettoieront facilement lorsque vous scannerez le lecteur après avoir apporté les modifications pour supprimer Vundo.

De plus, il peut même « inviter » d’autres virus à venir s’installer: Vous recevrez souvent des publicités contextuelles pour d’autres sites Web, produits et porno, en plus des publicités pour le faux programme antivirus.

Analyse

La clé est la façon dont il stocke une copie de lui-même dans le dossier d’informations de volume système caché (qui est utilisé pour stocker les points de restauration), protégé en écriture avec tout sauf l’accès au système refusé – de sorte que votre véritable antivirus (s’il est toujours fonctionnel) ou des analyses en ligne comme Trend Housecall ne peuvent pas toujours le supprimer. Il est également très bon pour empêcher les outils de suppression de se charger et de s’exécuter.

En fait, AVG, Trend et Norton le détecteraient tous et penseraient qu’ils le supprimaient, mais il est resté là. J’ai découvert cela lorsque j’ai essayé de numériser uniquement le dossier SVI et que je n’ai trouvé aucun changement dans sa taille après que l’antivirus ait signalé le nettoyage du virus. J’ai ensuite constaté que les fichiers de virus étaient à peu près verrouillés.

Comment récupérer de Vundo

Il est très difficile – en fait, presque impossible – de se débarrasser de ce virus de la machine infectée elle-même.

Le seul moyen sûr de nettoyer cette infection est d’utiliser l’un de ces adaptateurs qui vous permettent de brancher un disque dur sur un port USB tel que l’Olevia ADA-2020 ou similaire.

Voici comment nettoyer votre ordinateur:

  1. Retirez le lecteur infecté de sa machine.
  2. Connectez-le à l’adaptateur USB branché sur une machine avec un programme antivirus à jour.
  3. Annulez le programme de lecture automatique ennuyeux que Windows ouvre lorsqu’il voit le lecteur.
  4. Ouvrez le lecteur dans Windows. (Ne vous inquiétez pas: ce type de virus ne peut pas infecter l’autre ordinateur en faisant cela, il ne peut fonctionner qu’à partir du lecteur C:)
  5. Une fois que le lecteur est ouvert et que vous pouvez voir son contenu, depuis la barre d’outils de l’explorateur ouverte: outils / options des dossiers / affichez et cochez « afficher les fichiers cachés », puis décochez « masquer les fichiers du système d’exploitation protégés. »
  6. Vous verrez maintenant le dossier d’informations sur le volume système. Faites un clic droit dessus et sous propriétés décochez « lecture seule. » Alors que vous êtes toujours dans propriétés, accédez à l’onglet sécurité et ajoutez l’utilisateur ou l’administrateur actuel comme ayant le « contrôle total » (l’utilisateur système par défaut ne suffit pas). Assurez-vous d’appliquer ce paramètre aux sous-dossiers (c’est-à-dire que si vous vous connectez en tant que « Joe », ajoutez « Joe » aux utilisateurs autorisés pour le lecteur que vous réparez).
  7. Fermez la boîte de propriétés et cliquez maintenant sur le dossier pour voir s’il s’ouvre et vous pouvez voir les fichiers.
  8. Fermez l’explorateur Windows.
  9. Cliquez sur poste de travail, puis faites un clic droit sur le lecteur infecté et sélectionnez « analyser avec (quel que soit) l’antivirus » que vous utilisez. Assurez-vous de dire au programme de supprimer toutes les menaces détectées. (Si vous utilisez AVG Free, assurez-vous que vous êtes à la version 9, car la version 8.5 ne supprimera pas tous ces virus.)
  10. Une fois le lecteur propre, remettez-le dans sa machine d’origine.
  11. Quand il démarre, vous pouvez obtenir le message qu’il ne peut pas trouver tel ou tel fichier ou.dll, etc. Cela n’indique pas que la machine est toujours infectée. Le registre recherche les fichiers créés par le virus qui sont maintenant supprimés. Notez quels sont les fichiers, puis utilisez regedit pour trouver les lignes qui les appellent et supprimer ces entrées de registre.

Si tout se passe bien, vous devriez maintenant pouvoir redémarrer la machine et obtenir un démarrage propre. Vous devrez peut-être réactiver les mises à jour automatiques, mais sinon je n’ai trouvé aucun dommage permanent.

Après avoir modifié les paramètres de propriété comme décrit, j’ai pu nettoyer tout le disque en un seul coup. J’ai depuis utilisé cette méthode pour nettoyer l’infection de plusieurs autres ordinateurs, j’ai donc un haut niveau de confiance dans la méthode.

J’espère que cela vous aidera, si vous vous retrouvez face à cette menace agaçante.

Leave a Reply

Votre adresse e-mail ne sera pas publiée.