Accueil Contribuer Plan du site Profetice.org


 
Désinfecter un réseau Comedu attaqué par le virus AdobeR


mercredi 20 février 2008, par Benoît Thébaud

Quelques établissements connaissent des attaques virales dues au virus AdobeR (Rjump.A) est qui se propage via les disques amovibles et les lecteurs réseaux.

Vous trouverez sur le site secuser.com une description détaillée de ce virus et de ses différentes variantes.

Ce virus s’introduit généralement via une clé usb sur un poste mal protégé (tous les antivirus à jour bloquent ce programme).

Pour protéger le réseau, il faut bien sur veiller à la mise à jour de l’antivirus mais d’autres précautions sont possibles comme la désactivation de l’autorun (lancement automatique) des clés USB et CDROM, l’installation de programme comme USBDLM qui lance l’antivirus à chaque introduction de clé USB ...etc.

Nous vous proposons d’une part quelques scripts Linux dstinés à lister et/ou supprimer les fichiers "parasites" (adober.exe, autorun.inf, msvcr71.dll) qui se sont "répandus" dans les partages hébergés par le serveur et d’autre part un script batch (Dos/Windows) à lancer sur chaque station Windows (élimination du virus, désactivation de l’autorun, installation du programme USBDLM paramétré pour Officescan et lancement de l’utilitaire de désinfection FxRajump de Symantec ou de l’antivirus Officescan).

-  Télécharger sur le serveur (dans le lecteur public par exemple) le fichier adober.tgz.

-  en console Linux sur le serveur :

  • tar xzvf adober.tgz (décompression du fichier)
  • cd adober
  • sh install.sh
  • sh findadober.sh (pour lister les fichiers infectés, long si le disque dur est important)
  • sh suppadober.sh (pour supprimer les fichiers infectés, long si le disque dur est important)

-  Connecté sous Windows de préférence sous un compte élève qui a peu de droits :

  • via le poste de travail ou l’explorateur Windows, lancer le fichier L :\kill_adober\kill.bat

Il est possible de commenter (saisir un rem devant la ligne concernée) ou décommenter (supprimer un rem) avec wordpad par exemple les instructions de ce fichier (connecté en tant qu’admin). Ainsi, si vous ne voulez pas désactiver l’autorun, il faut mettre un rem devant la ligne "start reg import autorunoff.reg".

Ce script est bien sur à adapter en fonction du virus et de ses actions. Se référer au site secuser.com pour plus de détails.

Le dossier kill_adober qui contient le script batch Dos/Windows kill.bat et différents utilitaires est aussi téléchargeable au format zip (kill_adober.zip).

Documents liés
  adober.tgz : Script Linux et Windows
TGZ - 531.2 ko
  kill_adober.zip : Script Windows
Zip - 529.8 ko
 

[ Imprimer cet article ] [ Haut ] []

Forum de l'article

  • Désinfecter un réseau Comedu attaqué par le virus AdobeR
    22 février 2008, par Alexis Tison

    Dans le fichier kill.bat Pour lancer l’outil de symantec en mode silencieux il faut rajouter "/s" la fin de la ligne.

    De même, il est possible de demander à cet outil de générer un rapport avec un "/log=log.txt".

    Ainsi la ligne peut devenir :

    FxRajump.exe /s /log=k :\%computername%.txt

    Alexis Tison

 

 
  Serveur Linux Comedu Comedu AD (Active Directory)

Comedu 3

Comedu 4

Comedu Réseau

Comedu Ecole

Comedu 5 AD (Bêta)

Liste de diffusion

Documentation

Formations, Animations Informatiques

Entreprises partenaires

 

 
Dans la même rubrique

Autres articles :
Installer ses postes clients en série via le réseau (PXE/TFTP)
Le principe du partage Internet avec un proxy
Partage de fichiers sans authentification sur le serveur Comedu
Installer Comedu 2 sur un Dell Dimension 9150
Ajouter un nouveau disque dur pour la sauvegarde des données
Installer une interface graphique sur Comédu 2
Mettre en place un filtrage global de l’accès Internet
Avoir deux réseaux sur Comedu
Pour restreindre le lecteur Public
Prise de contrôle à distance



[ Haut ]