Désinfection, GRML 2008.11 et test de Dr.Web Live CD
Tuesday, 2. December 2008, 21:51:00
Intro dramatique
Suite à un incident électrique sur l'ordinateur d'un proche (l'insertion d'un périphérique USB fait "instinctivement" griller l'alimentation), et après une réorganisation des disques durs, j'avais remis en cause la nécessité de la présence d'un antivirus sur le système Windows XP car le "passif cyber-viral" de la personne était quasi-inexistant : aucun malware n'avait posé problème durant des années malgré l'utilisation systèmatique d'un compte administrateur.
Le système était tout de même bien (évidemment tout est relatif) protégé avec un AVG 8 Free Edition et un Spybot S&D tous deux chargés en résident avec des scans réguliers.
Le premier protégeait des virus, le second des adwares et demandait confirmation pour chaque modification potentiellement malicieuse de la base de registre. Au final ça rendait le système assez lourd mais mieux protégé.
Après les changements de disque j'ai (tout de même) installé Malwarebytes' Anti-Malware parce que "MAM" elle s'y connait en défense (c'est bien connu
). Le programme était utilisé seulement pour des scans de temps à autre, le version gratuite ne proposant pas un résident...
Finalement les lois de Murphy sont passées par là et il n'a fallu que quelques semaines pour ce qui semble être une variante de Real Antivirus fasse son apparition.
Désinfection
Un exécutable baptisé "SpywareRemove.exe" est trouvable dans WINDOWS\System32\ et différentes dll au nom aléatoire (3 syllabes de la forme consonne-voyelle) sont chargées au démarrage par AppInit_DLL, RunDLL32 et autres BHOs.
Après un "attrib -H -S" pour rendre visible ces fichiers, je lance HijackThis qui se montre malheureusement inefficace pour supprimer ces DLLs (en cours d'utilisation), les résultats ne sont pas meilleurs avec le classique Safe Mode.
J'ai finalement sorti le live CD de F-Secure mais j'ai recontré les même problèmes que les dernières fois, à savoir la mise à jour n'a pas aboutie et le scan n'a détecté aucun des fichiers dangereux.
Heureusement j'avais laissé un GRML 1.1 sur place avec lequel j'ai pu monter disque Windows en écriture et supprimer les fichiers.
Après redémarrage, je me rend compte qu'un nouveau fichier est apparu, sans doute regénéré lors de la fermeture du système... Je prend le nom, j'arrête le système de force, redémarre à nouveau sous GRML : mission réussie
GRML 2008.11
Petite info découverte grace à cet incident : une nouvelle version de GRML est disponible, la version 2008.11, alias "Schluchtenscheisser" (il semblerait que ça veut dire "Autrichien" en allemand...)
C'est avec un grand plaisir que je vais me garder cette version de côté en attendant la prochaine version d'openSUSE (par pur hazard les deux distributions semblent avoir des calendriers assez proche )
Dr.Web Live CD
Dans l'hypothèse de remettre un antivirus, je me suis ensuite rendu sur le site de l'éditeur Dr.Web, découvert par un numéro de MISC.
J'ai alors découvert l'existence d'un live CD officiel, à l'instar de celui de F-Secure, que je me suis empressé d'essayer
L'interface du système est pour le moins classique pour une distribution live : on tombe sur un GRUB avec différents choix de démarrage.
Le système charge assez rapidement et on se retrouve sur un bureau épuré et clair basé sur Openbox, iDesk et fbpanel.
Les Windowsiens ne seront pas dépaysés, même les icones sur le bureau ont été configurées pour se lancer sur doucle-click.
Quelques logiciels supplémentaires sont présents, accessibles sur le bureau, qui permettent de passer le temps durant un scan ou peuvent s'avérer utile : un Firefox, un Sylpheed, un Midnight Commander et enfin un XTerm
Grosse déception : seul le keymap russe est présent, le clavier est en qwerty, difficile de naviguer dans les options de Firefox avec des caractères cyrilliques...
Le système semble avoir été "fait maison", on y trouve aucune trace d'un gestionnaire de paquets que soit soit rpm/deb ou autre...
Les partitions Windows sont montées automatiquement au démarrage par NTFS-3G en lecture + écriture. On les retrouve dans le dossier /win avec un nom correspondant au volume utilisé sous Windows par exemple /win/C:/.
L'interface graphique de Dr.Web (on peut l'utiliser en ligne de commande) est elle aussi très épurée, développée à l'aide de GTK/Glade.
On peut sélectionner directements les partitions à scanner ou spécifier les dossiers que l'on souhaite scanner en particulier (bouton '+')
Point qui mérite d'être noté : la mise à jour de l'antivirus semble fonctionner tout comme le reste de l'auto-configuration réseau (validé par le Firefox )
Le scan en lui-même est assez long, principalement parce que le système tourne à partir du cdrom. Sur la page du live CD on trouve tout de même un manuel [PDF] qui explique notamment comment passer le système sur support USB, ce qui doit être plus efficace
Autre défaut sans grande importance : on a tendance à croire que le bouton rouge sert à stopper le scan en cours alors qu'il quitte complétement l'antivirus (sans avertir). En regardant mieux on apperçoit un bouton "Stop" à droite qui fait ce que l'on souhaite
Le scan a permis de trouver un fichier malicieux suppémentaire que MBAM n'avait pas trouvé.
Ce que j'ai apprécié aussi, c'est que l'antivirus affiche le chemin des fichiers tels qu'ils sont sous Windows et non sous Linux (avec le point de montage) ce qui facilitera la compréhension des néophytes...
Bref un live CD à préférer de loin à celui de F-Secure car plus agréable et plus efficace même si quelques erreurs sont encore à régler
Suite à un incident électrique sur l'ordinateur d'un proche (l'insertion d'un périphérique USB fait "instinctivement" griller l'alimentation), et après une réorganisation des disques durs, j'avais remis en cause la nécessité de la présence d'un antivirus sur le système Windows XP car le "passif cyber-viral" de la personne était quasi-inexistant : aucun malware n'avait posé problème durant des années malgré l'utilisation systèmatique d'un compte administrateur.
Le système était tout de même bien (évidemment tout est relatif) protégé avec un AVG 8 Free Edition et un Spybot S&D tous deux chargés en résident avec des scans réguliers.
Le premier protégeait des virus, le second des adwares et demandait confirmation pour chaque modification potentiellement malicieuse de la base de registre. Au final ça rendait le système assez lourd mais mieux protégé.
Après les changements de disque j'ai (tout de même) installé Malwarebytes' Anti-Malware parce que "MAM" elle s'y connait en défense (c'est bien connu
). Le programme était utilisé seulement pour des scans de temps à autre, le version gratuite ne proposant pas un résident...Finalement les lois de Murphy sont passées par là et il n'a fallu que quelques semaines pour ce qui semble être une variante de Real Antivirus fasse son apparition.
Désinfection
Un exécutable baptisé "SpywareRemove.exe" est trouvable dans WINDOWS\System32\ et différentes dll au nom aléatoire (3 syllabes de la forme consonne-voyelle) sont chargées au démarrage par AppInit_DLL, RunDLL32 et autres BHOs.
Après un "attrib -H -S" pour rendre visible ces fichiers, je lance HijackThis qui se montre malheureusement inefficace pour supprimer ces DLLs (en cours d'utilisation), les résultats ne sont pas meilleurs avec le classique Safe Mode.
J'ai finalement sorti le live CD de F-Secure mais j'ai recontré les même problèmes que les dernières fois, à savoir la mise à jour n'a pas aboutie et le scan n'a détecté aucun des fichiers dangereux.
Heureusement j'avais laissé un GRML 1.1 sur place avec lequel j'ai pu monter disque Windows en écriture et supprimer les fichiers.
Après redémarrage, je me rend compte qu'un nouveau fichier est apparu, sans doute regénéré lors de la fermeture du système... Je prend le nom, j'arrête le système de force, redémarre à nouveau sous GRML : mission réussie
GRML 2008.11
Petite info découverte grace à cet incident : une nouvelle version de GRML est disponible, la version 2008.11, alias "Schluchtenscheisser" (il semblerait que ça veut dire "Autrichien" en allemand...)
C'est avec un grand plaisir que je vais me garder cette version de côté en attendant la prochaine version d'openSUSE (par pur hazard les deux distributions semblent avoir des calendriers assez proche
)Dr.Web Live CD
Dans l'hypothèse de remettre un antivirus, je me suis ensuite rendu sur le site de l'éditeur Dr.Web, découvert par un numéro de MISC.
J'ai alors découvert l'existence d'un live CD officiel, à l'instar de celui de F-Secure, que je me suis empressé d'essayer
L'interface du système est pour le moins classique pour une distribution live : on tombe sur un GRUB avec différents choix de démarrage.
Le système charge assez rapidement et on se retrouve sur un bureau épuré et clair basé sur Openbox, iDesk et fbpanel.
Les Windowsiens ne seront pas dépaysés, même les icones sur le bureau ont été configurées pour se lancer sur doucle-click.
Quelques logiciels supplémentaires sont présents, accessibles sur le bureau, qui permettent de passer le temps durant un scan ou peuvent s'avérer utile : un Firefox, un Sylpheed, un Midnight Commander et enfin un XTerm
Grosse déception : seul le keymap russe est présent, le clavier est en qwerty, difficile de naviguer dans les options de Firefox avec des caractères cyrilliques...
Le système semble avoir été "fait maison", on y trouve aucune trace d'un gestionnaire de paquets que soit soit rpm/deb ou autre...
Les partitions Windows sont montées automatiquement au démarrage par NTFS-3G en lecture + écriture. On les retrouve dans le dossier /win avec un nom correspondant au volume utilisé sous Windows par exemple /win/C:/.
L'interface graphique de Dr.Web (on peut l'utiliser en ligne de commande) est elle aussi très épurée, développée à l'aide de GTK/Glade.
On peut sélectionner directements les partitions à scanner ou spécifier les dossiers que l'on souhaite scanner en particulier (bouton '+')
Point qui mérite d'être noté : la mise à jour de l'antivirus semble fonctionner tout comme le reste de l'auto-configuration réseau (validé par le Firefox
)Le scan en lui-même est assez long, principalement parce que le système tourne à partir du cdrom. Sur la page du live CD on trouve tout de même un manuel [PDF] qui explique notamment comment passer le système sur support USB, ce qui doit être plus efficace
Autre défaut sans grande importance : on a tendance à croire que le bouton rouge sert à stopper le scan en cours alors qu'il quitte complétement l'antivirus (sans avertir). En regardant mieux on apperçoit un bouton "Stop" à droite qui fait ce que l'on souhaite
Le scan a permis de trouver un fichier malicieux suppémentaire que MBAM n'avait pas trouvé.
Ce que j'ai apprécié aussi, c'est que l'antivirus affiche le chemin des fichiers tels qu'ils sont sous Windows et non sous Linux (avec le point de montage) ce qui facilitera la compréhension des néophytes...
Bref un live CD à préférer de loin à celui de F-Secure car plus agréable et plus efficace même si quelques erreurs sont encore à régler
)
WIDGETIZE