▼ Table des matières
ÉRADICATION D'UN VIRUS WINDOWS
Le tutoriel suivant est issu de plusieurs pages web (commentcamarche.net, secuser.com, certa.ssi.gouv.fr, 01net.com). La désinstallation de Sircam, un virus Windows particulièrement retord, qui eut quelques beaux jours sous XP, est un résumé des différentes actions possibles que vous devrez mettre en œuvre pour éradiquer tout programme non sollicité.
Cette approche par l'exemple peut être complétée par la lecture du tutoriel concernant le nettoyage de eoBho, un exécutable tout aussi récalcitrant.
Se documenter
Lors de la détection d'un programme malicieux, il peut être important d'aller à la recherche de documentation qui lui est relative. Ceci n'est pas toujours aisé car les éditeurs des logiciels anti-virus ne normalisent pas nécessairement leurs appellations.
Sircam a été ainsi répertoriés sous différents noms: W32/SirCam@mm, Backdoor.Sircam (lien externe) ou encore W32.Sircam.Worm@mm.
Vérifier les symptômes
Ces éléments en main, il vous faut également vérifier que les symptômes relevés sur votre poste de travail correspondent bien aux descriptions que vous avez trouvées dans les bases de données publiques du web.
Les malwares et autres virus sont conçus de manières à utiliser diverses failles propres à des utilisateurs humains. Parmi celles-ci, l'inattention visuelle, doublée d'une connaissance peu avancée, est très couramment utilisée ; ici, un utilisateur sera facilement trompé par l'usage des extensions jpg et gif qui sont basiquement connues pour être des fichiers d'images.
Une autre faille, comportementale cette fois, est sollicitée par la question Hola como estas ? ou son équivalent encore plus international, Hi! How are you? La curiosité souvent doublée de quelques espérances sexuelles virtuelles prend le pas et entraîne un clic fatal.
Le choix des deux langues n'est pas anodin car l'anglais et l'espagnol sont parmi les langues les plus usitées au monde. Le but premier de ce type d'attaque est toujours de viser le plus grand nombre car cette immensité est gage d'efficacité. Il y aura des milliers de non réponses mais, mathématiquement parlant, il pourra, aussi, y avoir des milliers de réponses. C'est pourquoi les attaques virales sont si fréquentes et massive sous MS Windows. Le nombre d'utilisateurs se compte en plusieurs milliards et augmente d'autant les probabilités de réussite.
En matière de sécurité, Linux est considéré comme plus robuste que Windows mais il est aussi un système peu utilisé par le grand public; il n'est donc guère rentable de tenter un bluff auprès d'un nombre d'utilisateurs, somme toute assez mince, difficile à tromper, car, généralement, assez avancés dans leurs pratiques de l'informatique.
L'ingénierie spécialisée dans l'attaque virale utilise sans scrupule les faiblesses des comportements humains, un béhaviorisme appliqué, cynique, cupide et criminel.
Sircam se manifeste par des mails infectés qui commencent par Hola como estas ? ou Hi! How are you?. Ils ont comme objet et nom du fichier joint (une double extension en .jpg.com, .mpg.pif), le nom d'un document copié sur l'ordinateur récepteur.
- il diffuse par mail des fichiers trouvés sur le disque dur de la machine contaminée puis infectée;
- il supprime des fichiers de manière aléatoire, voire, une suppression complète du contenu du disque dur;
- il sature l'espace restant sur le disque dur par ajout de texte au fichier C:\Recycled\sircam.sys.
Sircam possède son propre service SMTP (lien externe) qui envoie des messages aux correspondants du carnet d'adresses Outlook ainsi qu'aux adresses trouvées dans les fichiers temporaires d'Internet Explorer.
vérifier l'existence de fichiers illicites
Ces fichiers sont installés ou modifiés dans des répertoires clés de Windows :
- C:\RECYCLED\SirC32.exe (Sircam recherche les répertoires partagés sans protection sur le réseau. Lorsqu'il en trouve, il tente de s'installer dans le répertoire Recycled, la corbeille de Windows, sous le nom SirC32.exe puis il renomme rundll32.exe en run32.exe dans le répertoire Windows du disque partagé).
- C:\RECYCLED\sircam.sys.
- C:\Windows\System\SCam32.exe
- Le fichier C:\autoexec.bat (lien externe) est modifié de façon à exécuter Rundll32.exe (lien externe) au démarrage.
Vérifier la base de registre
Plusieurs clés de la base de registre sont créées ou modifiées :
HKEY_CLASS_ROOT\exefile\shell\open\command\Default="C:\recycled\SirC32.exe" "%1" %* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\Driver32=C:\WINDOWS\SYSTEM\SCam32.exe HKEY_LOCAL_MACHINE\Software\Sircam
Toutes ces investigations réalisées et vérifiées il est maintenant possible d'intervenir.
Désinstallation de sircam
Isoler le poste de travail
- Si cela est encore possible, mettez à jour votre antivirus, scannez le/les disques durs internes et externes, les clés USB puis déconnectez la machine du réseau
Rétablir les fichiers originaux
- vérifiez que l'explorateur affiche tous les fichiers.
- supprimez tous les fichiers détectés par l'antivirus.
Si l'anti-virus n'a pu être mis à jour, ou si ces fichiers n'ont pas été décelés par l'anti-virus
- supprimez les fichiers C:\windows\SirC32.exe et Scam32.exe s'ils existent ;
- si run32.exe existe, supprimez rundll32.exe et renommez run32.exe en rundll32.exe.
- supprimez, si elle existe, la ligne @Win \recycled\SirC32.exe du fichier autoexec.bat.
- supprimez le fichier C:\recycled\Sircam.sys s'il existe
Nettoyer la base de registre
- Ouvrez la base de registre, supprimez les clés
HKEY_LOCAL_MACHINE\Software\Sircam HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesirCam
- changez la valeur "%1" de la clé HKEY_CLASSES_ROOT\exefile\shell\open\command par "%*".
- Outil Symantec pour rétablir la clé shell\open\command registry keys (lien externe)
- Aide et support Microsoft, Sircam (lien externe)
- Changements opérés par des malewares sur la clé HKEY_CLASSES_ROOT\(type de fichier exécutable)\shell\open\command (lien externe)
- 1. Base de données d'applications Windows licites au démarrage (lien externe)
- 2. Base de données d'applications Windows licites au démarrage (lien externe)
Les utilitaires spécifiques
Lors de vos recherches documentaires vous aurez peut-être la chance de trouver un utilitaire spécialement conçu par un éditeur d'anti-virus; cet utilitaire est une suite de commandes automatisées qui mèneront à bien le nettoyage complet de votre machine sans autre intervention de votre part que de le télécharger et de le lancer. Dans le cas de sircam, il vous faut télécharger et lancer l'utilitaire de Symantec, FIXSIRC (lien externe)
