Il suffit ainsi qu’un seul ordinateur soit infecté pour que des centaines d’autres soient eux aussi contaminés.

Les sites hébergent souvent sur leurs serveurs des partages auxquels les utilisateurs ont un accès illimité. Ces partages sont destinés à fournir un espace universel où tous les utilisateurs peuvent échanger des fichiers ou des données. Dans d’autres cas, certains partages ne sont pas destinés à être utilisés par tous, mais sont en fait complètement accessibles faute de planification et de sécurité.
Quelle qu’en soit la raison, ces partages de fichiers sont très exposés aux virus de type Pinfi et Funlove, qui les ciblent en priorité.

Scénario d’infection d’un partage par un virus :

Le schéma ci?dessus illustre un poste de travail non protégé (IP : 192.168.0.13) autorisé à exécuter un fichier infecté par le virus Pinfi. Le poste de travail infecté propage les partages de fichiers sur les ordinateurs du réseau, recherche les fichiers portant les extensions .exe et .scr sur ces partages et tente de les infecter.

Dans ce cas, tous les serveurs sont protégés à l’aide d’un logiciel antivirus à jour qui analyse le système de fichiers sur les serveurs. Toute tentative d’infection de fichiers sur ces partages est détectée et les fichiers infectés sont immédiatement traités.

En revanche, le poste de travail d’origine reste infecté et il infectera à nouveau les fichiers .exe et .scr peu de temps après le premier passage du logiciel antivirus. Nous sommes donc en présence d’un cycle infection-traitement-infection qui se répétera à l’infini, à moins que le problème ne soit traité à sa source, à savoir au niveau du poste de travail infecté.

Identification de la source du problème 

Le poste de travail infecté peut être particulièrement difficile à repérer sur un réseau comptant des centaines, voire des milliers d’ordinateurs. En règle générale, le message Alerte virus se contente de désigner le fichier sur lequel porte l’attaque, le type de virus détecté et les conséquences sur le fichier en question. Quelques données complémentaires permettraient pourtant de résoudre le problème.

Ce dernier peut être résolu, entre autres, par le biais d’un outil externe qui permet de surveiller un fichier susceptible d’être infecté. Afin d’éviter de trop modifier la configuration de l’un des serveurs d’origine, il est recommandé de configurer un nouvel ordinateur test sur le réseau, d’y créer un partage et d’y placer une copie du fichier .exe. Le virus Pinfi est en effet connu pour s’attaquer principalement aux fichiers .exe. Dans ce cas, le fichier calc.exe a été copié à partir du répertoire Windows sur le nouveau partage de fichiers. Le fichier calc.exe va désormais servir d’« appât » pour le virus.

Avant de se connecter à l’ordinateur-appât, il convient d’installer un « sniffer » (ou « renifleur réseau ») comme Wireshark. D’autres programmes du type Sniffer Pro ou Etherpeek conviennent également, mais Wireshark peut être téléchargé gratuitement. Ethereal comportant de nombreuses fonctionnalités, ce communiqué se limitera aux fonctions utiles pour résoudre ce problème particulier.

Installation de Wireshark

Deux composants sont nécessaires : 

1.  Installez et exécutez le pilote WinPCap (à télécharger à partir du site winpcap.polito.it). 
2. Installez et exécutez Wireshark (à télécharger à partir du site http://www.wireshark.org/).

REMARQUE : bien que notre utilisation du programme Wireshark ait été positive, nous ne pouvons nous porter garant de ce dernier. Vous seul êtes responsable des risques auxquels vous vous exposez. 

Surveillance de l’activité du virus sur le réseau 

Une fois Wireshark installé, assurez-vous que le détecteur de virus On-access (« à l’accès » de NVC est exécuté sur l’ordinateur, lancez le programme NVC Utilities, puis accédez à l’onglet Messages.

Avant d’initier la surveillance du fichier, assurez-vous que ce dernier est infecté en repérant l’icône signalant la présence d’un virus sous l’onglet Messages. Si aucune icône n’apparaît, cela signifie que l’appât n’a pas fonctionné. Vérifiez à nouveau que le répertoire contenant l’appât est effectivement partagé et que tous les utilisateurs peuvent y accéder.

Pinfi infectant l’appât sur le partage test

Si malgré cela aucune icône n’apparaît, installez Wireshark sur l’un des serveurs réellement infectés. Certains virus infectent uniquement les partages qui étaient disponibles au démarrage du programme infecté. Si tel est le cas, trouvez sur le partage concerné un fichier-appât pour le virus.

Maintenant, lancez Wireshark. L’objectif est d’analyser l’activité reçue par l’ordinateur via le réseau, et plus spécifiquement l’activité en rapport avec l’appât (le fichier calc.exe).

Exécution de Wireshark (interface uniquement disponible en anglais)

Dans le champ Filter situé dans l’angle inférieur gauche, saisissez la chaîne suivante : 

smb.file contains “calc.exe"

Sélectionnez la commande Capture/Start, puis cliquez sur OK. La fenêtre correspondante s’affiche. Surveillez à présent l’activité sous l’onglet Messages de NVC Utilities. Fermez la fenêtre de capture Ethereal dès que le fichier-appât est infecté. Le fichier journal s’affiche dans la fenêtre principale. Assurez-vous que le filtre est actif en cliquant sur Apply.

Les adresses IP utilisées lors des manipulations du fichier calc.exe sont désormais visibles dans les colonnes « Source » et « Destination ». Dans le cas traité ici, l’adresse locale de l’ordinateur est 192.168.0.15. L’autre adresse IP impliquée est 192.168.0.13.

L’ordinateur portant l’adresse IP 192.168.0.13 est manifestement à l’origine de la propagation du virus. Vous pouvez dès lors corriger le problème en isolant cet ordinateur et en effectuant une détection complète de virus On-demand (« à la demande ») à l’aide des correctifs appropriés.

Répétez ces opérations afin de vous assurer qu’aucun autre virus n’a infecté votre réseau.