Détecter et nettoyer des profils infectés par un ver VBS

, par Laurent Joëts, Michel Suquet

Une commande indispensable pour lister les profils infectés

L’utilisation de clés USB sur les clients peut être vecteur de virus et autres vers. Ils procèdent parfois, comme par exemple Jenxcus, en remplaçant des fichiers de la clé par un raccourci pointant vers un fichier VBS caché, qui est alors exécuté sur la machine, puis ouvre toutefois ensuite le fichier désiré, caché lui aussi.

L’ouverture d’un raccourci présent sur la clé installe dans le cas de ce ver un fichier VBS dans le Menu Démarrer -> Programmes -> Démarrage du profil connecté. Ce ver se propage donc sur les clients à chaque fois qu’un profil infecté ouvre une session.

L’antivirus Trend n’a pas su détecter immédiatement ce ver. Des antivirus comme MSE ou MSS nettoient bien le poste, mais doivent être lancés en tant qu’admin, et ne nettoient donc pas le profil infecté.

Il semble également que Clamav installé sur le serveur ne détecte pas non plus tous les vers de ce genre.

Par conséquent, voici une commande qui permet de lister les profils infectés par ce type de ver, afin de pouvoir, par la suite, supprimer les fichiers concernés.

  1. find /home -path /home/netlogon -prune -o -name "*.vbs" -print

Cette commande recherche tous les fichiers présents dans le répertoire /home en combinant, par l’opérateur -o (la 2ème action n’est pas examinée si la 1ère est vraie), les deux actions suivantes :
- on exclut ceux qui sont dans le répertoire /home/netlogon qui contient lui de nombreux fichiers .vbs nécessaires au bon fonctionnement du réseau se3
- on recherche les fichiers qui ont l’extension vbs et on les affiche

On peut affiner cette commande pour créer un script qui supprimera les fichiers repérés :

  1. find /home -path /home/netlogon -prune -o -name "*.vbs" -exec echo rm -f \"{}\" \;> supprime_vbs.bash

ensuite, on regarde le contenu du script :

  1. nano supprime_vbs.bash

et enfin, on lance le script pour supprimer les fichiers :

  1. bash supprime_vbs.bash

Si on a un répertoire du compte admin qui contient des fichiers vbs perso, on peut aussi les exclure de la recherche :

  1. find /home \( -path /home/netlogon -o -path /home/admin/dossier_des_vbs \) -prune -o -name "*.vbs" -exec echo rm -f \"{}\" \;> supprime_vbs.bash

Remarques :
- si on veut lister les fichiers vbs et VBS, on peut utiliser iname à la place de name.
- il semble que des variantes installant des fichiers .vbe ont fait leur apparition. On pourra adapter la commande en conséquence.

Partager

Imprimer cette page (impression du contenu de la page)