Virus générant des .lnk

Toutes demandes concernant la sécurité de votre PC

Modérateurs : Administrateurs, Modérateurs

Répondre

Auteur du sujet
Elkis
Nouvel inscrit
Nouvel inscrit
Messages : 2
Enregistré le : 27 juillet 2010

Virus générant des .lnk

Message par Elkis » 27 juil. 2010 11:06

Bonjour à tous,



Je passe aujourd'hui sur ce forum dans l'espoir de trouver un utilisateur windows ayant rencontré ce virus ou un ressemblant.



Impossible d'identifier sa signature, donc pas moyen de le retrouver dans les annuaires ou même de trouver des solutions.



Comment fonctionne le virus?



Il créé un compte sur l'Active Directory (dans mon cas, il l'a appelé "bact"). Ce compte génère de façon permanente des fichier .lnk portant des noms du style: "kate" ; "katrina" , "Kate beckinsake nude photo" ; "Photoalbum" ; "groom" ; "beautiful"...



Même après suppression du compte dans l'Active Directory, les fichiers sont toujours générés avec le SID de ce compte.



Ces fichiers .lnk ont des droits supérieurs à ceux de 80% des profils présents dans l'Active Directory. Donc, au chargement du profil des utilisateurs, il est impossible de charger le dossier du compte, puisque le compte n'a pas les droits pour ouvrir les .lnk (fichiers bloquants).



La solution à laquelle je pense est un batch:

1 - Recherche des fichiers portant les noms cités au dessus.

2 - Enregistrement de la liste des fichiers dans un .txt.

3 - Modification des droits du fichiers puis suppression (si on ne modifie pas les droits du fichier, il est impossible de le supprimer) par rapport à ce .txt.



A partir d'ici je bloque puisque je ne sais pas vraiment comment rédiger mon batch.



Si quelqu'un sait comment le redigé ou a déjà rencontré un batch ressemblant, je suis preneur !



C'est un sujet urgent impliquant un grand nombre d'utilisateur.



Merci d'avance pour votre aide !

Avatar du membre

cosmido
Membre junior
Membre junior
Messages : 29
Enregistré le : 10 juin 2010

Re: Virus générant des .lnk

Message par cosmido » 27 juil. 2010 12:43

Éviter de poster sur plusieurs forums.

Au risque d'endommager votre système, à suivre différents procédés de désinfection.






Si vous avez utiliser un/des scanner.

► Poster leurs rapports.





Produisez un diagnostique du PC.

Y a aucune info. personnelle dans ces rapports.

Que l'ensemble des installations logiciels et infection(lorsqu'il y en a).

Ainsi que quelques info. sur des fonctions sensibles, de la config-regsitre de Windows.



Téléchargez sur votre bureau ZHPDiag sur le bureau.



Avec XP :

• Lancer ZHPDiag..exe par un double-clique



Avec Vista /Win7 :

• Lancer ZHPDiag..exe par un clic-droit -> Exécuter en tant qu'Adm..



...............Un rapport va s'ouvrir..



Au lieu de poster ce rapport "très volumineux" direct sur le forum.



• Aller sur le site CJoint,

• Appuyez sur [Parcourir] et chercher le rapport sur le disque,

• Ensuite appuyez sur [Créer le lien CJoint],

.. Une adresse http//......(bleu, mauve) sera créé.

Postez cette adresse http//.......

Avatar du membre

Steph
Administrateur suppléant
Administrateur suppléant
Messages : 2830
Enregistré le : 07 février 2009

Re: Virus générant des .lnk

Message par Steph » 27 juil. 2010 13:35

Bonjour Elkis et bienvenue,



As-tu tenté un scan antivirus en ligne ?



Voici un assez performant ---> http://quickscan.bitdefender.com/fr/



Pour un résultat optimal d'un scan antivirus je conseils vivement de faire l'analyse en mode sans échec avec, dans le cas d'une désinfection en ligne, prise en charge réseau.

Avatar du membre

cosmido
Membre junior
Membre junior
Messages : 29
Enregistré le : 10 juin 2010

Re: Virus générant des .lnk

Message par cosmido » 27 juil. 2010 13:45

Tant mieux si vos recherches vous ont permis de régler votre problème !

......Pourvu qu'il y est pas autre chose avec ça ?!
Modifié en dernier par cosmido le 27 juil. 2010 15:15, modifié 1 fois.

Avatar du membre

Steph
Administrateur suppléant
Administrateur suppléant
Messages : 2830
Enregistré le : 07 février 2009

Re: Virus générant des .lnk

Message par Steph » 27 juil. 2010 14:15

cosmido ne te serais-tu pas trompé de sujet et/ou forum concernant ta réponse ? :roll:

Avatar du membre

cosmido
Membre junior
Membre junior
Messages : 29
Enregistré le : 10 juin 2010

Re: Virus générant des .lnk

Message par cosmido » 27 juil. 2010 15:34

Si vous avez remarqué le ↑ début du 1ier message ↑.
Éviter de poster sur plusieurs forums.

Au risque d'endommager votre système, à suivre différents procédés de désinfection.
L'auteur ayant posté son cas "simultanément" sur d'autre forum ?

Cette réponse, était un suivit de la progression de la situation.
Modifié en dernier par cosmido le 27 juil. 2010 15:58, modifié 1 fois.

Avatar du membre

Steph
Administrateur suppléant
Administrateur suppléant
Messages : 2830
Enregistré le : 07 février 2009

Re: Virus générant des .lnk

Message par Steph » 27 juil. 2010 15:39

Ok je comprend mieux, je ne trouvai plus de rapport envers le début du sujet :-D


jean-claude
V.I.P
V.I.P
Messages : 216
Enregistré le : 31 mars 2009

Re: Virus générant des .lnk

Message par jean-claude » 28 juil. 2010 06:05

C'est du directe. :-D


Auteur du sujet
Elkis
Nouvel inscrit
Nouvel inscrit
Messages : 2
Enregistré le : 27 juillet 2010

Re: Virus générant des .lnk

Message par Elkis » 09 août 2010 09:53

Bonjour à tous,



Tout d'abord, excusez-moi pour le temps de réponse. Nous avons eut tout un tas d'autres choses à régler entre temps.



Concernant le malware, nous avons travaillé longuement et durement afin d'analyser son comportement et la façon la plus adéquate de l'éradiquer.



Pour les informations à savoir:

- Sa signature chez Sophos est CPLink

- Il s'attrape via les clés USB, les partages réseau, les réseaux, internet et ses site web... En gros un peu partout.

- Son comportement: comme dit dans mon premier post, il créé un compte dans l'AD par lequel il génère des milliers de fichiers raccourcis .lnk

- Ces raccourcis .lnk son en accès uniquement (donc pas de suppression, de modification et de déplacement possible). Ils ne bloquent donc pas un petit réseau familial, mais dans le cadre d'un établissement comprenant divers type de profils (dans l'AD toujours), ils bloquent cette fois-ci tous les comptes présents sur les serveurs (et non sur la machine en local).



Jusque présent, ni Windows ni les logiciels antivirus n'ont de correctif ou d'antivirus mais seulement des "rustines" qui ne sont utiles que si vous avez entendu parlé du malware et que vous êtes prévoyant. Ces rustines ne font qu'empêcher le malware de s'infiltrer. Elles ne corrigent ni ne suppriment tous les fichiers .lnk.



Suite à de récentes lectures (datant de la fin de semaine dernière), il s'avère que MicroSoft serait sur la création du correctif, mais je n'ai pas plus d'information.



Nous concernant : après avoir supprimer le compte créé dans l'AD, nous avons mis en place des petits batch possédant un dictionnaire des 52 noms de fichiers générés par le malware (nous les avons récupérés en faisant des recherches par date à partir de la première infection connue). Les batchs fonctionnent à la perfection et la suppression s'est effectuée avec succès.



Depuis la suppression du compte dans l'AD, nous n'avons aucun autre fichier qui a été généré. (EDIT: des fichiers ont continués à se créer après la suppression, certainement que le malware avait déjà prévu la création de ces nouveaux fichiers ; mais j'affirme tout de même qu'il fini par s'arrêter =).



Il nous a bien fallu une grosse semaine pour nous en débarrasser. Alors pour ceux qui seraient dans cette même galère, je leur souhaite bon courage ;)



Merci à tous et bonne continuation !



EDIT: il ne faut pas que penser par des logiciels analyseurs. Ils sont certes utiles, mais quelques fois impossible à utiliser dans le cadre d'une politique d'établissement assez restrictive. Si nous avions eut la possibilité de nous en servir, je ne serais certainement pas passer par les forums :)

Répondre
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Retourner vers « Sécurité »