Comedu, Serveur Linux de Communication

  [ Accueil ] [ Retour à l'article ]

Désinfecter un réseau Comedu attaqué par le virus AdobeR
http://www.profetice.org/comedu/article.php3?id_article=108

mercredi 20 février 2008, par Benoît Thébaud

Quelques établissements connaissent des attaques virales dues au virus AdobeR (Rjump.A) est qui se propage via les disques amovibles et les lecteurs réseaux.

Vous trouverez sur le site secuser.com une description détaillée de ce virus et de ses différentes variantes.

Ce virus s’introduit généralement via une clé usb sur un poste mal protégé (tous les antivirus à jour bloquent ce programme).

Pour protéger le réseau, il faut bien sur veiller à la mise à jour de l’antivirus mais d’autres précautions sont possibles comme la désactivation de l’autorun (lancement automatique) des clés USB et CDROM, l’installation de programme comme USBDLM qui lance l’antivirus à chaque introduction de clé USB ...etc.

Nous vous proposons d’une part quelques scripts Linux dstinés à lister et/ou supprimer les fichiers "parasites" (adober.exe, autorun.inf, msvcr71.dll) qui se sont "répandus" dans les partages hébergés par le serveur et d’autre part un script batch (Dos/Windows) à lancer sur chaque station Windows (élimination du virus, désactivation de l’autorun, installation du programme USBDLM paramétré pour Officescan et lancement de l’utilitaire de désinfection FxRajump de Symantec ou de l’antivirus Officescan).

-  Télécharger sur le serveur (dans le lecteur public par exemple) le fichier adober.tgz.

-  en console Linux sur le serveur :

  • tar xzvf adober.tgz (décompression du fichier)
  • cd adober
  • sh install.sh
  • sh findadober.sh (pour lister les fichiers infectés, long si le disque dur est important)
  • sh suppadober.sh (pour supprimer les fichiers infectés, long si le disque dur est important)

-  Connecté sous Windows de préférence sous un compte élève qui a peu de droits :

  • via le poste de travail ou l’explorateur Windows, lancer le fichier L :\kill_adober\kill.bat

Il est possible de commenter (saisir un rem devant la ligne concernée) ou décommenter (supprimer un rem) avec wordpad par exemple les instructions de ce fichier (connecté en tant qu’admin). Ainsi, si vous ne voulez pas désactiver l’autorun, il faut mettre un rem devant la ligne "start reg import autorunoff.reg".

Ce script est bien sur à adapter en fonction du virus et de ses actions. Se référer au site secuser.com pour plus de détails.

Le dossier kill_adober qui contient le script batch Dos/Windows kill.bat et différents utilitaires est aussi téléchargeable au format zip (kill_adober.zip).

Documents liés

adober.tgz : Script Linux et Windows (http://www.profetice.org/comedu/IMG/tgz/adober.tgz)
TGZ - 531.2 ko



kill_adober.zip : Script Windows (http://www.profetice.org/comedu/IMG/zip/kill_adober.zip)
Zip - 529.8 ko



[ Accueil ] [ Retour à l'article ] [ Haut ]