Antivirus and Security Software from Sophos

Support en ligne

Maintenance des produits

Contacter le support

Services du support

Sophos Anti-Virus pour Windows 2000+ : suppression de W32/Confick et Mal/Conficker

Cet article décrit comment supprimer Conficker de vos ordinateur si Sophos Anti-Virus est installé.

Vous pouvez télécharger depuis le site Web de Sophos l'outil Sophos de nettoyage de Conficker

Alias
Les variantes de ce malware peuvent avoir d'autres noms notamment : W32/Confick-A, W32/Confick-B, W32/Confick-C, Mal/Conficker-A, W32/CONFICKMEM-A, W32/CONFICKMEM-B, W32/CONFICK-D, WORM_DOWNAD.AD, W32/Conficker.worm, Worm:Win32/Conficker.gen!A, Worm:W32/Downadup, Net-Worm.Win32.Kido

Problème
Cet article décrit les actions des virus de la famille Confick sur vos ordinateurs et explique comment s'en débarrasser.

A noter : suivez impérativement toutes les étapes de cet article afin de supprimer complètement toute irruption du virus Conficker sur votre réseau. Ce virus se réplique très facilement et réinfecte les ordinateurs et les dossiers réseau partagés. Ces instructions, si elles sont suivies scrupuleusement, supprimeront complètement l'irruption du virus.

Produit et version de Sophos
Sophos Anti-Virus pour Windows 2000+ :

Système d'exploitation
Microsoft Windows

A propos du virus

Il existe trois principales méthodes d'infection que Confick peut utiliser :

1. Propagation via la faille MS08-67
Dans la plupart des cas, il s'agit de la façon dont le virus arrive sur le réseau en premier lieu. Le virus profite de la faille Microsoft :

  • Une copie du ver est créée dans le dossier des fichiers Internet temporaires avec une extension JPG ou PNG (il s'agit des premiers fichiers à apparaître sur le système lorsqu'il est infecté).
  • Un fichier dll est créé dans le dossier System32, par exemple C:\Windows\System32\amcophji.dll
  • Un service est créé pour exécuter le fichier dll
  • Il agit comme un descripteur dans l'un des processus svchost.exe, normalement le même exécutant Netsvcs

Vous pouvez arrêter sa propagation grâce à cette méthode en appliquant le correctif et en nettoyant l'ordinateur.


2. Propagation via le partage de fichiers Windows
Une fois sur le réseau, le virus peut se propager à l'aide de la faille Microsoft (ci-dessus) ou en accédant aux partages de fichiers et d'administration sur le réseau.

Lorsqu'il infecte l'ordinateur, il crée un fichier avec un nom et une extension aléatoires dans le dossier System32. Une tâche planifiée (s'exécutant comme SYSTEM) exécute ce fichier à l'aide de rundll32.exe.

  • Un fichier dll est créé avec une extension et un nom aléatoires dans le dossier System32, par exemple C:\Windows\System32\zdtnx.g
  • Une tâche planifiée est créée pour exécuter le fichier nommé aléatoirement ci-dessus à l'aide de rundll32.exe
  • La tâche(s) est appelée AT*.job où * est un numéro séquentiel
  • Il fonctionne au sein d'un processus rundll32.exe
  • Il existe un processus rundll32.exe exécuté pour chaque tâche planifiée qui a été créée

Pour l'empêcher de se propager par cette méthode, le partage de fichiers et d'imprimantes doit être désactivé tant que tous les ordinateurs n'ont pas été intégralement nettoyés.

Le contrôle sur accès Sophos empêche la réinfection car il empêche l'exécution de ces tâches planifiées. Le fichier DLL du ver peut être présent sur disque, mais il n'est pas autorisé à s'exécuter tant que le contrôle sur accès est activé.

3. Propagation via des supports amovibles tels que des lecteurs USB
Lorsqu'un support amovible est connecté à un ordinateur infecté, le ver Conficker

  • crée une copie de lui-même dans le dossier RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx sur ce lecteur (où x est constitué de numéros aléatoires)
  • injecte le fichier autorun.inf dans le répertoire racine du lecteur.

Ces fichiers et répertoires sont cachés.

Le fichier autorun.inf entraîne l'exécution du ver lorsque le lecteur est connecté à un ordinateur Windows sur lequel la lecture automatique est activée ou lorsque le lecteur est ouvert dans Windows Explorer.

Lorsque le ver fonctionne depuis un lecteur amovible, il se copie dans le répertoire Windows\system32 avec une extension .dll et configure des clés de registre de service de la même manière que les vecteurs d'infection précédents.

Action à mener

Il s'agit d'une opération en quatre étapes que vous devez toutes exécuter

  1. Préparation au contrôle
  2. Mise en quarantaine du réseau pour empêcher la propagation de l'infection
  3. Verrouillage des services pour empêcher la propagation/l'exécution - utilisation de la stratégie de groupe Windows
  4. Nettoyage des infections

Nous vous conseillons par ailleurs de lire l'article suivant de la base de connaissances Sophos Anti-Virus : pistage et découverte des infections Conficker.

Assurez-vous que les paramètres décrits dans la procédure suivante sont appliqués à tous les ordinateurs. Ceci permettra au contrôle sur accès Sophos d'empêcher le chargement du virus, que ce soit sous la forme d'un service ou d'une tâche, sur l'ordinateur .

Reportez-vous également à l'article Principales menaces actuelles : Conficker, Virtumundo

1. Préparation au contrôle

  1. Appliquez un correctif à TOUS les ordinateurs (infectés et non infectés) avec MS08-067 (KB958644)
  2. Paramétrez la stratégie de Contrôle sur accès dans l'Enterprise Console sur :
    • A la lecture
    • A l'écriture
    • Désélectionnez 'Nettoyage automatique'
    • Choisissez 'Ne rien faire' comme action
  3. Assurez-vous que HIPS est paramétré sur :
    • Détecter tout comportement suspect = Vrai
    • Détecter les dépassements de mémoire tampon = Vrai
    • Alerter seulement = Faux
  4. Activez le contrôle de tous les fichiers lors des contrôles à la demande :
    • Ouvrez la ou les stratégie(s) dans l'Enterprise Console
    • Cliquez sur 'Extensions et exclusions'
    • Cochez la case pour effectuer le contrôle de tous les fichiers
    • Appuyez sur OK.
  5. Assurez-vous que la stratégie antivirus a été appliquée à TOUS les ordinateurs
  6. Dans certains cas, l'ordinateur a besoin d'être réinitialisé (voir l'étape 4b ci-dessous).

2. Mise en quarantaine du réseau pour empêcher la propagation de l'infection

Effectuez l'une des opérations suivantes :

  • Déconnectez tous les ordinateurs du réseau en débranchant leurs câbles réseau.
    OU
  • Utilisez des pare-feu côté client pour empêcher l'accès réseau :
    • En cas d'utilisation de Sophos Client Firewall (qui doit être installé sur tous les ordinateurs clients - voir votre licence pour vous assurer que vous pouvez utiliser le produit) :
      1. Ouvrez l'Enterprise Console et modifiez la stratégie de pare-feu
      2. Allez sur l'onglet Réseau local et désélectionnez les options NETBIOS pour toutes les connexions réseau
    • En cas d'utilisation du Pare-feu Windows via la stratégie de groupe :
      1. Modifiez la stratégie de groupe de TOUS les ordinateurs
      2. Le paramètre est disponible sous Configuration ordinateur|Modèles d'administration|Réseau|Connexions réseau |Pare-feu Windows|Profil du domaine|Pare-feu Windows : Autoriser l'exception de partage de fichiers et d'imprimantes
      3. Cliquez deux fois et choisissez de désactiver.

3. Verrouillage des services pour empêcher la propagation/l'exécution - utilisation de la stratégie de groupe Windows

  1. Désactivez le Service Planificateur de tâches - (à noter, les contrôles planifiés ne fonctionnent pas après cela, vous pouvez toujours utiliser 'Contrôle intégral du système' en cliquant avec le bouton droit de la souris depuis l'Enterprise Console.)
    • Configuration de l'ordinateur|Paramètres Windows|Paramètres de sécurité|Services système
    • Recherchez le service 'Planificateur de tâches'
    • Définissez cette stratégie.
    • Choisissez 'Désactivé'
  2. Désactivez USB Autoplay. comme le décrit la base de connaissances Microsoft ici : http://support.microsoft.com/kb/953252, Ceci doit être fait correctement. Si ceci n'est pas fait correctement, le ver peut s'exécuter si le lecteur USB est ouvert dans Explorer ou fait l'objet d'un double-clic depuis Poste de travail (Bureau).

Tous les éléments ci-dessus peuvent être de nouveau activés lorsque vous êtes sûr que l'intégralité de votre système est sain et qu'ils ont tous fait l'objet d'un correctif par rapport à MS08-67.

4. Nettoyage des infections

En fonction de l'action que vous avez prise à l'étape 2 ci-dessus, effectuez l'une des opérations suivantes :

  • Les ordinateurs ont été déconnectés :
    1. Connectez-vous avec les droits de l'administrateur local. N'ouvrez pas de session en tant qu'administrateur de domaine.
    2. Ouvrez le Gestionnaire de quarantaine, sélectionnez tous les éléments et cliquez sur 'Effacer de la liste'.
    3. Exécutez un contrôle intégral du système. L'un des messages suivants apparaît :
      1. Si le contrôle intégral a signalé une instance de W32/ConfickMEM-A ou de W32/ConfickMEM-B, nettoyez cet élément du Gestionnaire de quarantaine, exécutez immédiatement un autre contrôle intégral, puis effectuez un autre nettoyage.
        W32/ConfickMEM-A ou W32/ConfickMEM-B indique une infection Conficker active sur cet ordinateur, il doit donc être nettoyé en priorité par rapport aux autres infections par Conficker. Ce nettoyage élimine le ver en mémoire et permet au deuxième contrôle intégral de détecter les fichiers du ver sur disque.
      2. Si le contrôle intégral a signalé qu'un ou plusieurs fichiers dans le répertoire Windows\system32 n'ont pas pu être contrôlés (texte d'erreur : '<nomfichier> a renvoyé l'erreur 0xa0040210 de SAV Interface : impossible d'accéder au fichier') et qu'aucune instance de W32/ConfickMEM-A ou de W32/ConfickMEM-B n'a été signalée dans le contrôle, assurez-vous que le contrôle sur accès est activé comme cela est décrit ci-dessus, puis redémarrez l'ordinateur et exécutez un autre contrôle intégral.
        Cet ordinateur peut avoir une infection active de Conficker qui empêche le contrôle du fichier sur disque. Une réinitialisation permet au contrôle sur accès d'empêcher le chargement du ver et permet le contrôle du fichier.
    4. Exécutez un nettoyage depuis le gestionnaire de quarantaine une fois que le contrôle est terminé.
    5. Afin de supprimer tous les composants, le nettoyage peut inviter à effectuer une réinitialisation.
    6. Effectuez un nouveau contrôle de la machine pour vous assurer qu'elle est saine.
  • Les pare-feu côté client ont été utilisés pour empêcher le partage de fichiers :

    Dans l'Enterprise Console :
    1. Approuvez les alertes et les erreurs dans l'Enterprise Console.
    2. Effectuez un contrôle de tous les ordinateurs en même temps en cliquant avec le bouton droit de la souris sur ceux-ci dans la console et en sélectionnant 'Contrôle intégral du système'.
    3. Exécutez un nettoyage de tous les ordinateurs en cliquant avec le bouton droit de la souris et en sélectionnant 'Nettoyer les menaces'.
    4. Afin de supprimer tous les composants, le nettoyage peut inviter à effectuer une réinitialisation.
    5. Effectuez un nouveau contrôle des ordinateurs.
    6. Si nécessaire, effectuez un autre nettoyage.

Réinfection

Si le partage de fichiers Windows ne peut pas être désactivé ou si un ordinateur infecté ou une clé de stockage USB est introduit sur le réseau, une réinfection des ordinateurs qui ont déjà été nettoyés est possible. Dans ce cas, les ordinateurs utilisant le contrôle sur accès Sophos sont protégés contre la réinfection mais recevront quand même une copie de la DLL du ver via le partage de fichiers depuis l'ordinateur infecté.

Ces instances seront signalées dans le Gestionnaire de quarantaine comme des détections sur accès et doivent être traitées comme un problème secondaire ; la priorité doit être donnée au nettoyage des ordinateurs avec une détection active de Conficker comme cela est décrit ci-dessus.

Une fois que tous les ordinateurs avec une infection active de Conficker (c'est-à-dire W32/ConfickMEM-A ou W32/ConfickMEM-B, comme le décrit la Section 4, étape 3.1) ont été nettoyés, les DLL du ver sur les ordinateurs non infectés peuvent être supprimées via un contrôle intégral et un nettoyage, pour ne pas réapparaître.

Informations générales supplémentaires

Pour plus d'informations sur cette famille de virus, reportez-vous aux pages web de sécurité Sophos.

Les virus Confick se propagent via la faille MS08-067.

Microsoft a publié un correctif de sécurité critique pour cette faille en octobre 2008 : http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

  • Pour vérifier si le correctif est installé, choisissez Ajout\Suppression de programmes et recherchez KB958644 (assurez-vous que la case 'Afficher les mises à jour' est cochée en haut).
  • Activez HIPS et BOPs et assurez-vous que "Alerter seulement" est inactif. Ceci devrait empêcher la réinfection, par contre HIPS ne bloque pas l'exécution du virus.
  • Cette infection se propage aussi via les partages réseau. Il tente de craquer des mots de passe de comptes utilisateur à l'aide d'un dictionnaire de termes grossiers. Si un compte ne peut pas être déchiffré, il peut finir par être 'fermé en dehors' à cause des tentatives incorrectes de mots de passe (en fonction de la configuration d'Active Directory).
  • Le virus semble copier dans le dossier c:\windows\system32 un nom et une extension de fichier aléatoire. Il crée par ailleurs une tâche planifiée nommée ATx.job - où x est un numéro. La tâche planifiée semble exécuter le fichier dans le dossier system32.
  • Le virus peut essayer de contacter un certain nombre de sites Web, certains d'entre eux étant légitimes
  • Il tente d'obtenir des mises à jour pour lui-même à partir de différents domaines. L'utilisation de pare-feu clients aidera grandement à arrêter la propagation du virus.
  • Le virus se propage aussi via des clés USB et autres périphériques amovibles, veuillez vous assurer qu'ils font l'objet d'un contrôle et d'un nettoyage avant de les réutiliser.
  • Vous pouvez empêcher la création de nouvelles tâches planifiées via une stratégie de groupe à l'aide de l'article suivant : http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/92819.mspx?mfr=true
  • L'utilisation des méthodes de pare-feu ci-dessus empêche les mises à jour Sophos de fonctionner. Il existe deux solutions pour cela :
    • Dans la stratégie de mise à jour de l'Enterprise Console, paramétrez les informations du serveur secondaire de manière à ce que les ordinateurs puissent se mettre à jour depuis Sophos - voir l'article suivant : http://www.sophos.fr/support/knowledgebase/article/12354.html
    • Ajoutez une exception aux stratégies de pare-feu pour autoriser les connexions de partage de fichiers et d'imprimantes sur le ou les serveur(s) EM Console/EM Library. Ceci peut entraîner l'infection du ou des serveur(s) car les ordinateurs clients peuvent y accéder.
  • Les fichiers qui sont injectés sur les ordinateurs sont associés au nom de l'ordinateur. Ceci signifie que pour une variante donnée de Conficker, le nom de fichier de la DLL injectée sur un certain ordinateur aura le même nom aléatoire.

Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.