Désinfecter un réseau Comedu attaqué par le virus AdobeR
mercredi 20 février 2008, par Benoît Thébaud
Quelques établissements connaissent des attaques virales dues au virus AdobeR (Rjump.A) est qui se propage via les disques amovibles et les lecteurs réseaux.
Vous trouverez sur le site secuser.com une description détaillée de ce virus et de ses différentes variantes.
Ce virus s’introduit généralement via une clé usb sur un poste mal protégé (tous les antivirus à jour bloquent ce programme).
Pour protéger le réseau, il faut bien sur veiller à la mise à jour de l’antivirus mais d’autres précautions sont possibles comme la désactivation de l’autorun (lancement automatique) des clés USB et CDROM, l’installation de programme comme USBDLM qui lance l’antivirus à chaque introduction de clé USB ...etc.
Nous vous proposons d’une part quelques scripts Linux dstinés à lister et/ou supprimer les fichiers "parasites" (adober.exe, autorun.inf, msvcr71.dll) qui se sont "répandus" dans les partages hébergés par le serveur et d’autre part un script batch (Dos/Windows) à lancer sur chaque station Windows (élimination du virus, désactivation de l’autorun, installation du programme USBDLM paramétré pour Officescan et lancement de l’utilitaire de désinfection FxRajump de Symantec ou de l’antivirus Officescan).
 Télécharger sur le serveur (dans le lecteur public par exemple) le fichier adober.tgz.
en console Linux sur le serveur : - tar xzvf adober.tgz (décompression du fichier)
- cd adober
- sh install.sh
- sh findadober.sh (pour lister les fichiers infectés, long si le disque dur est important)
- sh suppadober.sh (pour supprimer les fichiers infectés, long si le disque dur est important)
Connecté sous Windows de préférence sous un compte élève qui a peu de droits : - via le poste de travail ou l’explorateur Windows, lancer le fichier L :\kill_adober\kill.bat
Il est possible de commenter (saisir un rem devant la ligne concernée) ou décommenter (supprimer un rem) avec wordpad par exemple les instructions de ce fichier (connecté en tant qu’admin). Ainsi, si vous ne voulez pas désactiver l’autorun, il faut mettre un rem devant la ligne "start reg import autorunoff.reg".
Ce script est bien sur à adapter en fonction du virus et de ses actions. Se référer au site secuser.com pour plus de détails.
Le dossier kill_adober qui contient le script batch Dos/Windows kill.bat et différents utilitaires est aussi téléchargeable au format zip (kill_adober.zip).
Documents liés
[ Imprimer cet article ] [ Haut ] []
Forum de l'article
-
Désinfecter un réseau Comedu attaqué par le virus AdobeR
22 février 2008, par Alexis Tison
Dans le fichier kill.bat
Pour lancer l’outil de symantec en mode silencieux il faut rajouter "/s" la fin de la ligne.
De même, il est possible de demander à cet outil de générer un rapport avec un "/log=log.txt".
Ainsi la ligne peut devenir :
FxRajump.exe /s /log=k :\%computername%.txt
Alexis Tison
|
Site développé avec 