Saturday, December 13, 2008

A propos d'antivirus

Hier soir, en passant sur un site web, j'ai attrapé un ou des virus/malware ou autre, et j'ai stupidement perdu des heures pour m'en débarrasser au lieu d'aller me coucher et de résoudre le problème en 10 minutes le lendemain.

Résumé des enseignements de la mésaventure:
  • Ne pas oublier que Linux permet de facilement effacer/renommer des fichiers que Windows ne peut pas. J'ai bêtement commencé par des recherches web qui menaient tous à des forums suggérant l'nstallation d'utilitaires comme MoveOnReboot ou autres. Outre que le programme a lamentablement échoué dans sa tâche, il y a l'absurdité d'installer un nouveau programme pour juste effacer quelques fichiers. De plus, comment savoir que celui-là est OK, parmi l'avalanche de pop-ups causés par l'infection (qui me proposent tous d'installer des pseudo-antivirus gratuits depuis leurs généreux sites web infestés de malware).
  • Ne pas oublier la recherche de fichiers par date et heure. Une fois qu'on a l'un des fichiers coupables, ça permet facilement de retrouver tous les autres. Total Commander a ça dans la page "Advanced" de sa fenêtre de recherche (Alt-F7).
  • Actuellement, parmi les antivirus gratuits que j'avais, Avira Antivir est celui qui a le mieux reconnu le problème (sans pouvoir le résoudre). Il est le plus énervant avec son pop-up géant et quotidien, mais au moins, il voit les virus. (Ceux qui ont été inutiles étaient Moon Antivirus qui ne voyait rien, ClamWin qui ne voyait pas grand chose et qui est d'une lenteur incroyable, et Avast qui ne voyait rien, peut-être parce qu'il ne met plus à jour ses définitions depuis 2-3 mois, parce que je n'ai pas renouvelé la clé d'enregistrement)
  • Au lieu de l'habituel Run (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\), les virus actuels tendent à se cacher dans le mécanisme de Winlogon de Windows (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\).
  • StartupMonitor est vraiment indispensable. C'est lui qui m'a immédiatement fait réaliser qu'il y avait un problème. (Dommage que ni lui ni son compagnon StartupCPL n'incluent Notify dans les parties de "registry" qu'ils gèrent)
Bref, la procédure rapide et efficace est:
  1. Examiner Run et Notify pour identifier les suspects.
  2. Examiner les dates et heure de création des fichiers suspects pour identifier les vrais coupables, puis rechercher d'autres fichiers avec ces dates et heures.
  3. Démarrer Linux pour effacer ou renommer les coupables
  4. De retour dans Windows, nettoyer le registry.
Hélas, dans 6 mois ça ne suffira sans doute plus. Il y aura des virus plus malins...

Mise à jour: un ami me fait remarquer que les vendeurs d'antivirus proposent des CD bootables dont il y a un rapport de test ici (le meilleur semble être celui de Kaspersky pour le moment). Si on n'a pas déjà un LiveCD Linux comme Knoppix ou Ubuntu, ou si on ne sait pas exactement quels fichiers il faut effacer, c'est sûrement la solution la plus simple.

Labels: , , , ,

0 Comments:

Post a Comment

Links to this post:

Create a Link

<< Home