ABC de la sécurité: Outils de desinfection

 
 
 

Comment combattre l'infection par le vers de réseau Kido (alias Conficker, Downadup) sur un ordinateur de maison

Retour vers la section "Outils de desinfection"
2014 oct. 08 Article ID: 1956
 
 
 
 
Kaspersky Lab informe ses clients d'une augmentation d'infection des postes de travail et des serveurs équipés par les Système d'Exploitation Windows par le ver réseau Net-Worm.Win32.Kido (aussi connu sous les noms Conficker, Downadup).  

Symptômes d'infection du réseau 
1. Trafic réseau plus important sur les PCs infectés car les attaques de réseau se lancent de ces ordinateurs. 

2. Les Anti-Virus dont le pare-feu a été  activé informent d'une attaque Intrusion.Win.NETAPI.buffer-overflow.exploit.

3. Il est impossible d'accéder aux sites web de la plupart des éditeurs de logiciel anti-virus, p.ex. avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc. 

4. La tentative d'activer Kaspersky Anti-Virus ou Kaspersky Internet Security avec un code d'activation sur les ordinateurs infectés par le ver Net-Worm.Win32.Kido peut se terminer avec l'une des erreurs suivantes: 

  • Activation procedure completed with system error 2.
  • Activation error: Server name cannot be resolved.
  • Activation error. Unable to connect to server.


 

Si votre ordinateur n'est pas infecté par le ver de réseau Net-Worm.Win32.Kido mais vous recevez les messages d'erreur au cours de l'activation de votre Kaspersky Anti-Virus/ Kaspersky Internet Security, on vous invite à consulter les Références utiles où les causes possibles des erreurs d'activation sont décrites

Courte description de la famille Net-Worm.Win32.Kido
1. Le ver crée les fichiers autorun.inf et RECYCLED\{SID<....>}\RANDOM_NAME.vmx sur des lecteurs amovibles (parfois sur des disques de réseau partages). 2. Le ver est sauvegardé dans le système comme un fichier DLL avec un nom choisi au hasard, p.ex. c:\windows\system32\zorizr.dll. 3. Le ver s'enregistre dans les services de système sous un nom choisi au hasard, p.ex. knqdgsm. 4. Le ver essaye d'attaquer les PCs du réseau via le port 445 ou 139 TCP, utilisant la vulnérabilité MS08-067 de MS Windows.

5. Le ver se connecte aux sites suivants pour obtenir les adresses IP externes des PCs infectés (Kaspersky Lab conseille de créer une règle de surveillance de connexion à l'un de ces sites dans le pare-feu):

Méthodes de désinfection 

Il est nécessaire d'utiliser l'outil spécial KK.exe pour supprimer ce ver. Les Systèmes d'exploitation suivants ne peuvent pas être infectés par ce ver de réseau: MS Windows 95/MS Windows 98/MS Windows ME.

Afin d'éviter toute infection de postes de travail et serveurs de fichiers, nous vous conseillons de:

    • Installer le correctif de Microsoft pour éliminer les vulnérabilités MS08-067MS08-068MS09-001 (sur ces pages veuillez de choisir le système d'exploitation du PC infecté, de télécharger le correctif correspondant et de l'installer).
    • Vous assurer que le mot de passe du compte de l'administrateur local ne soit pas évident et qu'il ne puisse pas être deviné facilement - le mot de passe doit être composé de 6 lettres au minimum; utilisez un mixte de majuscules et de minuscules, les chiffres et les caractères non-alphabétique.
    • Désactiver le lancement automatique des fichiers exécutables des drives amovibles en exécutant l'outil KK.exe avec le paramètre -a

      Pour  Windows XP/ServeurDémarrer Exécuter - tapez kk.exe -a - cliquez OK.
      Pour Windows VistaDémarrer Tous les programmesAccessoiresExécuter - tapez kk.exe -a - cliquez OK.
    • Bloquer l'accès aux ports 445 et 139 TCP par le pare-feu. 

      Nous vous invitons à ne bloquer ces ports que pendant la période de désinfection. Dès que la désinfection du réseau sera effectuée, vous pourrez ouvrir ces ports à nouveau.

L'outil  KK.exe peut être exécuté localement sur un PC infecté aussi bien qu'a distance via Kaspersky Administration Kit

Exécution de l'outil via ligne de commande. Tous les paramètres qui peuvent être utilisées au cours de l'exécution de l'outil sont indiqués dans le tableau plus bas dans le texte.

  • Pour lancer la ligne de commande:
    • Windows VistaDémarrer Tous les programmesAccessoires > Ligne de commande > tapez cmd et appuyez sur Entrée.
    • Windows XP/ServerDémarrerExécuter > tapez cmd et appuyez sur Entrée.
  • Pour exécuter l'outil KK.exe:
    • Enregistrez l'outil  KK.exe  sur le disque C par exemple.
    • Pour exécuter l'outil il est nécessaire d'indiquer son emplacement. Par exemple, si vous avez enregistré l'outil sur le disque C, tapez "Ñ:\KK.exe" dans la ligne de commande et appuyez sur Entrée.

Pour supprimer le ver localement: 

1. Télécharger le fichier compresse KK.zip (la version actuelle de l'outil est 3.4.13) et l'extraire dans un dossier sur un PC infecte. 

2. Si l'une des applications suivantes de Kaspersky Lab est installée sur le PC infecté:

- Kaspersky Internet Security 2009;
- Kaspersky Anti-Virus 2009;
- Kaspersky Internet Security 7.0;
- Kaspersky Anti-Virus 7.0;
- Kaspersky Internet Security 6.0;
- Kaspersky Anti-Virus 6.0;  
- Kaspersky Anti-Virus 6.0 for Windows Workstations;
- Kaspersky Anti-Virus 6.0 SOS; 
- Kaspersky Anti-Virus 6.0 for Windows Servers.

Veuillez désactiver  l'Anti-Virus Fichiers de Kaspersky Anti-Virus pendant l'exécution de l'outil.

3. Exécuter le fichier KK.exe.

Si l'outil KK.exe est  exécuté sans clé, il arrête l'infection active (élimine les flux et arrête les écoutes), analyse le mémoire de système et les secteurs vulnérable à l'infection, nettoie la base de registre, analyse les flash-drives.

A la fin de l'analyse, il est possible de voir la fenêtre active de la ligne de commande, appuyez sur une touche afin de fermer cette fenêtre. Pour que la fenêtre de la ligne de commande se ferme automatiquement à la fin de l'analyse, exécutez l'outil KK.exe avec le paramètre -y

4. Attendre la fin de l'analyse. 

Si Agnitum Outpost Firewall est installé sur le PC ou l'outil KK.exe a été exécuté, il est obligatoire de redémarrer l'ordinateur une fois l'exécution terminée.. 

5. Lancer l'analyse complète du PC avec Kaspersky Anti-Virus.

Pour supprimer le ver  via Administration Kit: 

1. Télécharger le fichier compressé KK.zip (la version actuelle de l'outil est 3.4.13) et l'extraire dans un dossier. 

2. Créer un paquet d'installation pour l'application KK.exe dans la Console d'Administration. Dans les configurations du paquet d'installation, à l'étape Application, choisir la variante Make installation package for specified executable file

Dans le champ Executable file command line (optional) définir le paramètre -y pour la fermeture automatique de la fenêtre de console à la fin d'analyse.. 

 

3. A la base de ce paquet d'installation créer une tache de groupe ou une tache globale de l'installation à distance pour tous les PCs infectés ou suspects du réseau. 

Il est possible d'exécuter l'outil KK.exe sur tous les ordinateurs de votre réseau. . 

4. Veuillez désactiver  Anti-Virus Fichiers de Kaspersky Anti-Virus sur les PCs  pendant le travail de l'outil.

5. Exécuter la tache.


Si l'outil est exécuté via Administration Kit il est donc lancé avec les droits SYSTEM, il s'ensuit qu'il n'a pas d'accès aux lecteurs réseau ni aux dossiers partagés. Si vous souhaitez que l'outil crée les rapports dans un dossier partagé ou sur un lecteur réseau, il doit être exécuté avec la commande 'Exécuter en tant que:'.

6. Dès que l'exécution de l'outil est terminé, lancer l'analyse complète de tous les PCs du réseau avec Kaspersky Anti-Virus.

Si Agnitum Outpost Firewall est installé sur le PC ou l'outil KK.exe a été exécuté, il est obligatoire de redémarrer l'ordinateur une fois l'exécution terminée. 
Afin d'obtenir des informations complémentaires sur l'outil, exécutez KK.exe avec le paramètre  -help.

To get additional information about the utility, run KK.exe with an additional parameter -help.

Dans un domaine, il est important de désinfecter en premier les contrôleurs du domaine et les ordinateurs où les utilisateurs du domaine avec les droits 'Administrateurs' et ' Administrateurs du domaine' travaillent. Autrement, la désinfection sera inutile et tous les PCs du domaine seront infectes à nouveau toutes les 15 minutes.

Paramètres avec lesquels l'outil KK.exe peut être exécuté via la ligne de commande

Switch

Description

-p <direction vers l'objet à analyser>

Analyse un dossier défini.

-f

Analyse les disques durs.

-n

Analyse les disques réseau.

-r

Analyse les clés USB, les disques durs amovibles branchés via USB et Fire Wire.

-y

Termine l'analyse sans appuyer sur une touche.

-s

Mode silencieux (sans fenêtre noire de console).

-l <nom de fichier> 

Enregistrement d'information dans un fichier .log.

-v

 

Enregistrement d'un fichier .log détaillé (le paramètre -v est possible à condition que le paramètre -l  soit exécuté via la ligne de commande).

-z

Restitution des services suivants:

  • Background Intelligent Transfer Service (BITS),
  • Windows Automatic Update Service (wuauserv), 
  • Error Reporting Service (ERSvc/WerSvc),
  • Windows Defender (WinDefend),
  • Windows Security Center Service (wscsvc).

Affichage des fichiers protégés du système d'exploitation.

-a

Désactivation du démarrage automatique de tous les lecteurs.

-m

Mode de surveillance contre l'infection du système d'exploitation. 
Avec ce paramètre, l'outil reste constante ment en mémoire et effectue des analyses périodiques. Si une infection est détectée l'outil désinfectera l'ordinateur et poursuivra sa surveillance. 

-t

Suppression des services dans la base de registre toujours présent après la suppression du ver par nos produits.

-j

Restauration  de l'arborescence du registre SafeBoot (si cette arborescence est supprimée, il est impossible de démarrer l'ordinateur en mode sans échecs).

-help

Affiche des informations supplémentaires sur l'outil.


  Par exemple, pour analyser une clé USB et enregistrer un rapport détaillé dans le fichier report.txt (qui sera crée dans le dossier avec l'outil KK.exe), utilisez la commande suivante: in order to scan a flash-drive and to generate and write a detailed report into a file report.txt (which will be created in the setup folder of the utility KK.exe), use the following command:

KK.exe -r -y -l report.txt -v


pour analyser une autre partition du disque, p.ex. D, veuillez exécuter la commande: 

kk.exe -p D:\

A partir de la version 3.4.6 l'outil KK.exe contient les codes de retour suivants  (%errorlevel%): 

3 - Des flux malveillants ont été détectés et supprimés (le ver était actif).
2 - Des fichiers malveillants ont été détectés et supprimés (le ver était inactif).
1 - Les taches malveillantes du planificateur ou des fonctions de ' hooks ' ont été détectées (ce PCs n'est pas infecté mais le réseau contient des ordinateurs infectés - l'administrateur de système doit y prêter son attention).
0 - Rien n'a été détecté. 

 
 
 
 
Cet article vous a-t-il été utile ?
Oui Non