Alerte concernant le ver Win32/Conficker

Traductions disponibles Traductions disponibles
Numéro d'article: 962007 - Voir les produits auxquels s'applique cet article
La prise en charge de Windows Vista Service Pack 1 (SP1) a pris fin le 12 juillet 2011. Pour continuer à recevoir des mises à jour de sécurité pour Windows, assurez-vous que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d'informations, reportez-vous à la page Web suivante de Microsoft : Certaines versions de Windows ne seront bientôt plus prises en charge.
Agrandir tout | Réduire tout

Sommaire

Résumé

Les informations présentées dans cet article de la Base de connaissances concernent les environnements professionnels dont les administrateurs système peuvent mettre en ?uvre les détails présentés dans cet article. Vous ne devez pas utiliser cet article si votre programme antivirus supprime correctement le virus et si vos systèmes sont à jour. Pour confirmer que le système n'est pas infecté par le virus Conficker, procédez à une analyse rapide à partir de la page Web suivante : http://www.microsoft.com/security/scanner/fr-fr/ Pour obtenir des informations détaillées sur le virus Conficker, consultez la page Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Symptômes d'infection

Si votre ordinateur est infecté par ce ver, vous pouvez ne rencontrer aucun problème ou rencontrer un ou plusieurs des problèmes suivants :
  • Les stratégies de verrouillage de comptes ont été activées.
  • Les mises à jour automatiques, le service de transfert intelligent en arrière-plan (BITS, Background Intelligent Transfer Service), Windows Defender et les services de rapport d'erreurs sont désactivés.
  • Les contrôleurs de domaine réagissent lentement aux demandes des clients.
  • Le réseau est congestionné.
  • Divers sites Web liés à la sécurité sont inaccessibles.
  • Différents outils relatifs à la sécurité ne fonctionneront pas. Pour obtenir une liste des outils connus, visitez la page Web de Microsoft suivante, puis cliquez sur l'onglet Analyse pour obtenir des informations sur Win32/Conficker.D. Pour plus d'informations, visitez la page Web suivante de Microsoft :
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Pour plus d'informations sur Win32/Conficker, visitez la page Web suivante du Centre de protection contre les programmes malveillants (Microsoft Malware Protection Center, en anglais) :
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Méthodes de propagation

Win32/Conficker a plusieurs méthodes de propagation. Cela comprend :
  • exploitation de la vulnérabilité corrigée par la mise à jour de sécurité 958644 (MS08-067) ;
  • utilisation de partages réseau ;
  • utilisation de la fonctionnalité de lecture automatique.
Il convient donc d'être prudent lors du nettoyage d'un réseau pour éviter que la menace soit réintroduite sur des systèmes nettoyés précédemment.

Remarque Le composant Win32/Conficker.D ne s'étend pas aux lecteurs amovibles ni aux dossiers partagés sur un réseau. Win32/Conficker.D est installé par des composants précédents de Win32/Conficker.

Prévention

  • Utilisez des mots de passe administrateur forts uniques pour tous les ordinateurs.
  • Ne vous connectez pas à des ordinateurs à l'aide d'informations d'identification d'administrateur de domaine ou qui permettent l'accès à tous les ordinateurs.
  • Assurez-vous que tous les systèmes disposent des dernières mises à jour de sécurité.
  • Désactivez les fonctionnalités de lecture automatique. Pour plus d'informations, reportez-vous à l'étape 3 de la section sur la création d'un objet Stratégie de groupe.
  • Supprimez les droits excessifs aux partages. Cela inclut la suppression des autorisations d'écriture à la racine de n'importe quel partage.

Atténuation

Empêcher Win32/Conficker de se répandre en utilisant les paramètres de la stratégie de groupe

Remarques
  • Important Veillez à documenter les paramètres actuels avant de procéder aux modifications suggérées dans cet article.
  • Cette procédure ne supprime pas le programme malveillant Conficker du système. Elle l'empêche seulement de se répandre. Vous devez utiliser un produit antivirus pour supprimer le programme malveillant Conficker du système. Ou, suivez la procédure présentée dans la section « Étapes manuelles pour la suppression du virus Win32/Conficker » de cet article de la Base de connaissances pour supprimer manuellement ce programme malveillant du système.
  • Il se peut que vous ne puissiez pas installer correctement des applications, des Service Packs ou d'autres mises à jour si les modifications d'autorisation recommandées par la procédure suivante sont appliquées. Il s'agit notamment de l'application de mises à jour à l'aide de Windows Update, du serveur Microsoft Windows Server Update Services (WSUS) et de System Center Configuration Manager (Configuration Manager 2007), car ces produits se basent sur des composants des mises à jour automatiques. Assurez-vous de modifier les autorisations pour revenir aux paramètres par défaut après le nettoyage du système.
  • Pour plus d'informations sur les autorisations par défaut pour la clé de Registre SVCHOST et le dossier Tâches mentionnées dans la section « Création d'un objet Stratégie de groupe », consultez le tableau des autorisations par défaut à la fin de cet article.

Création d'un objet Stratégie de groupe

Créez un objet Stratégie de groupe qui s'applique à tous les ordinateurs d'un domaine, d'un site ou d'une unité d'organisation spécifique, si cela est nécessaire dans votre environnement.

Pour cela, procédez comme suit :
  1. Définissez la stratégie visant à déplacer les autorisations en écriture vers la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Cette action empêche le service du programme malveillant nommé de manière aléatoire d'être créé dans la valeur de Registre netsvcs.

    Pour cela, procédez comme suit :
    1. Ouvrez la console de gestion des stratégies de groupe (GPMC).
    2. Créez un objet Stratégie de groupe. Donnez-lui le nom que vous désirez.
    3. Ouvrez le nouvel objet de stratégie de groupe, puis déplacez-le vers le dossier suivant :
      Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Registre
    4. Cliquez avec le bouton droit sur Registre, puis cliquez sur Ajouter une clé.
    5. Dans la boîte de dialogue Sélection de la clé de Registre, développez Ordinateur, puis accédez au dossier suivant :
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Cliquez sur OK.
    7. Dans la boîte de dialogue qui s'affiche, désactivez la case à cocher Contrôle total pour Administrateurs et Système.
    8. Cliquez sur OK.
    9. Dans la boîte de dialogue Ajouter un objet, cliquez sur Remplacer les autorisations existantes pour toutes les sous-clés avec des autorisations pouvant être héritées.
    10. Cliquez sur OK.
  2. Définissez la stratégie visant à déplacer les autorisations en écriture vers le dossier %windir%\Tasks. Cette action empêche le programme malveillant Conficker de créer les tâches planifiées qui peuvent réinfecter le système.

    Pour cela, procédez comme suit :
    1. Dans le même objet de stratégie de groupe que vous avez créé précédemment, accédez au dossier suivant :
      Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Système de fichiers
    2. Cliquez avec le bouton droit sur Système de fichiers, puis cliquez sur Ajouter un fichier.
    3. Dans la boîte de dialogue Ajouter un fichier ou un dossier, accédez au dossier %windir%\Tâches. Assurez-vous que Tâches est activé et répertorié dans la boîte de dialogue Dossier.
    4. Cliquez sur OK.
    5. Dans la boîte de dialogue qui s'affiche, cliquez pour désactiver les cases à cocher Contrôle total, Modifier et Écrire pour les Administrateurs et le Système.
    6. Cliquez sur OK.
    7. Dans la boîte de dialogue Ajouter un objet, cliquez sur Remplacer les autorisations existantes pour toutes les sous-clés avec des autorisations pouvant être héritées.
    8. Cliquez sur OK.
  3. Définissez les fonctions de Lecture automatique (Exécution automatique) à désactiver. Cette action empêche le programme malveillant Conficker de se répandre à l'aide des fonctions de Lecture automatique intégrées dans Windows.

    Remarque En fonction de la version de Windows que vous utilisez, il existe différentes mises à jour qui doivent être installées pour désactiver correctement la fonction d'exécution automatique :
    • Pour désactiver la fonction d'exécution automatique dans Windows Vista ou dans Windows Server 2008, vous devez installer la mise à jour de sécurité 950582 (décrite dans le bulletin de sécurité MS08-038).
    • Pour désactiver la fonction d'exécution automatique dans Windows XP, Windows Server 2003 ou Windows 2000, vous devez installer les mises à jour de sécurité 950582, 967715 ou 953252.
    Pour définir les fonctionnalités de lecture automatique (exécution automatique) sur désactivé, procédez comme suit :
    1. Dans le même objet de stratégie de groupe que vous avez créé précédemment, accédez à l'un des dossiers suivants :
      • Pour un domaine Windows Server 2003, accédez au dossier suivant :
        Configuration ordinateur\Modèles d'administration\Système
      • Pour un domaine Windows 2008, accédez au dossier suivant :
        Configuration ordinateur\Modèles d'administration\Composants de Windows\Stratégies de lecture automatique
    2. Ouvrez la stratégie Désactiver le lecteur automatique.
    3. Dans la boîte de dialogue Désactiver le lecteur automatique, cliquez sur Activé.
    4. Dans le menu déroulant, cliquez sur Tous les lecteurs.
    5. Cliquez sur OK.
  4. Fermez la console de gestion des stratégies de groupe.
  5. Liez l'objet de stratégie de groupe récemment créé à l'emplacement auquel vous souhaitez qu'il s'applique.
  6. Laissez suffisamment de temps aux paramètres de la stratégie de groupe pour se mettre à jour sur tous les ordinateurs. En général, la réplication de la stratégie de groupe a besoin de 5 minutes pour se répliquer sur chaque contrôleur de domaine, puis de 90 minutes pour se répliquer sur le reste du système. Quelques heures devraient être suffisantes. Cependant, il est possible que cette opération prenne plus de temps, en fonction de l'environnement.
  7. Après la propagation des paramètres de la stratégie de groupe, nettoyez les systèmes de programme malveillant.

    Pour cela, procédez comme suit :
    1. Exécutez des analyses antivirus complètes sur tous les ordinateurs.
    2. Si votre logiciel antivirus ne détecte pas Conficker, vous pouvez utiliser le Scanner de sécurité Microsoft pour supprimer ce programme. Pour plus d'informations, reportez-vous à la page Web de Microsoft à l'adresse suivante : http://www.microsoft.com/security/scanner/fr-fr/Remarque Vous devrez peut-être effectuer quelques étapes manuellement pour supprimer tous les effets du programme malveillant. Nous vous conseillons de réviser la procédure détaillée dans la section « Étapes manuelles pour la suppression du virus Win32/Conficker » de cet article pour supprimer tous les effets du logiciel malveillant.

Récupération

Exécuter le Scanner de sécurité Microsoft.

Le Centre de protection Microsoft contre les programmes malveillants a mis à jour le Scanner de sécurité Microsoft. Il s'agit d'un fichier binaire autonome pratique pour la suppression de logiciels malveillants répandus et peut faciliter la suppression des vers de la famille Win32/Conficker.

Remarque Le Scanner de sécurité Microsoft n'empêche pas toute réinfection, car il n'est pas un programme antivirus en temps réel.

Vous pouvez télécharger le Scanner de sécurité Microsoft depuis le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/security/scanner/fr-fr/

Remarque Le Nettoyeur système autonome supprime également cette infection. Cet outil est disponible sous la forme d'un composant du Microsoft Desktop Optimization Pack 6.0 ou via les services de Support technique et clientèle. Pour obtenir Microsoft Desktop Optimization Pack, visitez le site Web de Microsoft suivant :
http://www.microsoft.com/fr-fr/windows/enterprise/products-and-technologies/mdop/default.aspx
Si Microsoft Security Essentials ou Microsoft Forefront Client Security fonctionne sur le système, ces deux programmes bloquent également la menace avant son installation.

Étapes manuelles pour la suppression du virus Win32/Conficker

Remarques
  • Cette procédure manuelle n'est plus demandée et ne doit être exécutée que si vous ne disposez pas de logiciel antivirus pour supprimer le virus Conficker.
  • En fonction de la variante de Win32/Conficker qui infecte l'ordinateur, certaines des valeurs présentées dans cette section peuvent ne pas avoir été modifiées par le virus.
La procédure détaillée suivante peut vous aider à supprimer manuellement Conficker à partir d'un système :
  1. Ouvrez une session sur le système en utilisant un compte local.

    Important Dans la mesure du possible, n'ouvrez pas de session sur le système en utilisant un compte de domaine. Veillez tout particulièrement à ne pas utiliser un compte d'administrateur de domaine. Le logiciel malveillant usurpe l'identité de l'utilisateur connecté et accède aux ressources réseau en utilisant les informations d'identification de cet utilisateur. Cela permet au logiciel malveillant de se répandre.
  2. Arrêtez le service Serveur. Cela supprime les partages Admin du système afin que le logiciel malveillant ne puisse pas se propager par cette méthode.

    Remarque Le service Serveur ne doit être désactivé que temporairement pendant la suppression du logiciel malveillant de votre environnement. Cela s'applique tout particulièrement aux serveurs de production dans la mesure où cette étape affectera la disponibilité des ressources réseau. Dès que l'environnement est nettoyé, le service Serveur peut être réactivé.

    Pour arrêter le service Server, utilisez le composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft. Pour cela, procédez comme suit :
    1. Selon votre système, faites ce qui suit :
      • Dans Windows Vista et Windows Server 2008, cliquez sur DémarrerBouton Démarrer, tapez services.msc dans la zone Rechercher, puis cliquez sur services.msc dans la liste Programmes.
      • Dans Windows 2000, Windows XP et Windows Server 2003, cliquez sur Démarrer, sur Exécuter, tapez services.msc, puis cliquez sur OK.
    2. Double-cliquez sur Serveur.
    3. Cliquez sur Arrêter.
    4. Sélectionnez Désactivé dans la zone Type de démarrage.
    5. Cliquez sur Appliquer.
  3. Supprimez toutes les tâches planifiées créees par AT. Pour ce faire, tapez AT/Delete/Yes à une invite de commande.
  4. Arrêtez le service du Planificateur de tâches.
    • Pour arrêter le service du Planificateur de tâches dans Windows 2000, Windows XP et Windows Server 2003, utilisez le composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft ou l'utilitaire SC.exe.
    • Pour arrêter le service du Planificateur de tâches dans Windows Vista ou dans Windows Server 2008, procédez comme suit.

      Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
      322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows
      1. Cliquez sur Démarrer, tapez regedit dans la zone Rechercher, puis cliquez sur regedit.exe dans la liste Programmes.
      2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Dans le volet Détails, cliquez avec le bouton droit sur l'entrée DWORD Start, puis cliquez sur Modifier.
      4. Dans la zone Données de la valeur, tapez 4, puis cliquez sur OK.
      5. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.

        Remarque Le service Planificateur de tâches ne doit être désactivé que temporairement pendant la suppression du logiciel malveillant de votre environnement. C'est notamment le cas sur des ordinateurs Windows Vista et Windows Server 2008 car cette étape affectent de nombreuses tâches planifiées intégrées. Dès que l'environnement est nettoyé, réactivez le service Serveur.
  5. Téléchargez et installez manuellement la mise à jour de sécurité 958644 (MS08-067). Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://www.microsoft.com/france/technet/security/bulletin/MS08-067.mspx
    Remarque Ce site est susceptible d'être bloqué par l'infection du logiciel malveillant. Dans ce cas, vous devez télécharger la mise à jour à partir d'un ordinateur non infecté, puis transférer le fichier de la mise à jour sur le système infecté. Nous vous conseillons de graver la mise à jour sur CD dans la mesure où CD gravé ne sera pas inscriptible. Il ne pourra donc pas être infecté. Si aucun graveur de CD n'est disponible, une clé USB amovible peut être le seul moyen de copier la mise à jour sur le système infecté. Si vous utilisez un lecteur amovible, vous devez être conscient que le logiciel malveillant peut infecter le lecteur avec un fichier Autorun.inf. Après avoir copié la mise à jour sur le lecteur amovible, prenez soin de placer le lecteur en mode lecture seule s'il en offre la possibilité. Si le mode lecture seule est disponible, il s'active généralement à l'aide d'un petit commutateur physique sur le périphérique. Ensuite, après avoir copié le fichier de la mise à jour sur l'ordinateur infecté, vérifiez le lecteur amovible pour déterminer si un fichier Autorun.inf y a été écrit. Si c'est le cas, renommez le fichier Autorun.inf. Changez son nom en Autorun.KO, par exemple, de manière à ce qu'il ne s'exécute pas lorsque le lecteur amovible est connecté à un ordinateur.
  6. Réinitialisez les mots de passe d'administration local et du domaine et remplacez-les par un nouveau mot de passe fort. Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://technet.microsoft.com/fr-fr/library/cc875814.aspx
  7. Dans l'Éditeur du Registre, recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Dans le volet Détails, cliquez avec le bouton droit sur l'entrée netsvcs, puis cliquez sur Modifier.
  9. Si l'ordinateur est infecté par le virus Win32/Conficker, un nom de service aléatoire sera affiché.

    Remarque Avec Win32/Conficker.B, le nom de service a été des lettres aléatoires et en bas de la liste. Avec des variantes plus récentes, le nom du service peut se trouver n'importe où dans la liste et sembler plus légitime. So le nom aléatoire du service ne se trouve pas en bas de la liste, comparez votre système avec le tableau Services de cette procédure pour déterminer le nom du service qui peut être ajouté par Win32/Conficker. Pour vérifier ceci, comparez la liste dans le tableau Services avec celle d'un système similaire qui n'est pas infecté.

    Notez le nom du service malveillant. Vous aurez besoin de cette information plus loin dans cette procédure.
  10. Supprimez la ligne qui contient la référence au service malveillant. Veillez à laisser un saut de ligne en dessous de la dernière entrée légitime de la liste, puis cliquez sur OK.

    Remarques relatives au tableau Services
    • Toutes les entrées du tableau Services sont valides, sauf pour les éléments en gras.
    • Les éléments en gras sont des exemples de ce que le virus Win32/Conficker peut ajouter à la valeur netsvcs dans la clé de Registre SVCHOST.
    • Cela peut ne pas être une liste exhaustive des services, en fonction de ce qui est installé sur le système.
    • Le tableau Services provient d'une installation par défaut de Windows.
    • L'entrée que le virus Win32/Conficker ajoute à la liste est une technique d'obscurcissement. La première lettre de l'entrée malveillante mise en avant qui doit ressembler est un « L » minuscule. Toutefois, il s'agit en réalité d'un « I » majuscule. Selon la police utilisée par le système d'exploitation, le I majuscule ressemble à un L minuscule.

    Tableau Services

    Réduire ce tableauAgrandir ce tableau
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Dans une procédure antérieure, vous avez pris note du nom du service malveillant. Dans notre exemple, le nom de l'entrée malveillante était « Iaslogon ». En utilisant cette information, procédez comme suit :
    1. Dans l'Éditeur de Registre, recherchez la sous-clé de Registre suivante et cliquez dessus (NomServiceIncorrect est le nom du service malveillant :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      par exemple, recherchez et cliquez sur la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Cliquez avec le bouton droit dans le volet de navigation correspondant au nom du service malveillant, puis cliquez sur Autorisations.
    3. Dans la boîte de dialogue Autorisations pour SvcHost, cliquez sur Paramètres avancés.
    4. Dans la boîte de dialogue Paramètres de sécurité avancés, cliquez pour activer les deux cases à cocher suivantes :
      Hérite de l'objet parent les entrées d'autorisation qui s'appliquent aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici.

      Remplacer les entrées d'autorisations de tous les objets enfants par les entrées affichées ici et qui s'appliquent aux objets enfants.
  12. Appuyez sur F5 pour mettre à jour l'Éditeur de Registre. Dans le volet d'informations, vous pouvez maintenant voir et modifier la DLL malveillante qui se charge comme « ServiceDll ». Pour ce faire, procédez comme suit :
    1. Double-cliquez sur l'entrée ServiceDll.
    2. Prenez note du chemin d'accès de la DLL référencée. Vous aurez besoin de cette information plus loin dans cette procédure. Par exemple, le chemin d'accès de la DLL référencée peut ressembler à ceci :
       %SystemRoot%\System32\doieuln.dll
      Renommez la référence pour qu'elle ressemble à ce qui suit :
       %SystemRoot%\System32\doieuln.old
    3. Cliquez sur OK.
  13. Supprimez l'entrée du service malveillant de la sous-clé Run du Registre.
    1. Dans l'Éditeur du Registre, recherchez les sous-clés de Registre suivantes et cliquez dessus :
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Dans les deux sous-clés, recherchez une entrée qui commence par « rundll32.exe » et fait également référence à la DLL malveillante qui se charge en tant que « ServiceDll » (identifiée à l'étape 12b). Supprimez l'entrée.
    3. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.
  14. Recherchez les fichiers Autorun.inf sur tous les lecteurs du système. Utilisez le Bloc-notes pour ouvrir chaque fichier et vous assurer qu'il s'agit d'un fichier Autorun.inf valide. L'exemple suivant illustre un fichier Autorun.inf classique valide :
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Un fichier Autorun.inf valide fait généralement 1 à 2 kilooctets (Ko).
  15. Supprimez tous les fichiers Autorun.inf qui ne semblent pas valides.
  16. Redémarrez votre ordinateur.
  17. Rendez visibles les fichiers masqués. Pour cela, tapez la commande suivante à l'invite de commandes :
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Activez Afficher les fichiers et dossiers cachés afin de pouvoir voir le fichier. Pour ce faire, procédez comme suit :
    1. À l'étape 12b, vous avez pris note du chemin d'accès du fichier .dll référencé pour le logiciel malveillant. Par exemple, vous avez noté un chemin d'accès semblable au suivant :
      %systemroot%\System32\doieuln.dll
      Dans l'Explorateur Windows, ouvrez le répertoire %systemroot%\System32 ou au répertoire qui contient le logiciel malveillant.
    2. Cliquez sur Outils, puis sur Options des dossiers.
    3. Cliquez sur l'onglet Affichage.
    4. Activez la case à cocher Afficher les fichiers et dossiers cachés.
    5. Cliquez sur OK.
  19. Sélectionnez le fichier .dll.
  20. Modifiez les autorisations du fichier pour ajouter le Contrôle total pour Tout le monde. Pour cela, procédez comme suit :
    1. Cliquez avec le bouton droit sur le fichier .dll, puis cliquez sur Propriétés.
    2. Cliquez sur l'onglet Sécurité.
    3. Cliquez sur Tout le monde, puis activez la case à cocher Contrôle total dans la colonne Autoriser.
    4. Cliquez sur OK.
  21. Supprimez le fichier .dll référencé correspondant au logiciel malveillant. Par exemple, supprimez le fichier %systemroot%\System32\doieuln.dll.
  22. Activez le service de transfert intelligent en arrière-plan (BITS, Background Intelligent Transfer Service), les mises à jour automatiques, les services de rapport d'erreurs et Windows Defender à l'aide du composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft.
  23. Désactivez l'exécution automatique pour réduire l'effet de toute réinfection. Pour cela, procédez comme suit :
    1. Selon votre système, installez l'une des mises à jour suivantes :
      • Si vous utilisez Windows 2000, Windows XP ou Windows Server 2003, installez la mise à jour 967715. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
        967715 Procédure de désactivation de la fonction d'exécution automatique dans Windows
      • Si vous utilisez Windows Vista ou Windows Server 2008, installez la mise à jour de sécurité 950582. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
        950582 MS08-038 : Une vulnérabilité dans l'Explorateur Windows risque de permettre l'exécution de code à distance
      Remarque La mise à jour 967715 et la mise à jour de sécurité 950582 ne concernent pas ce problème de logiciel malveillant. Ces mises à jour doivent être installées pour permettre la fonction de Registre de l'étape 23b.
    2. À l'invite de commandes, tapez la commande suivante :
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f
  24. Si le système utilise Windows Defender, réactivez l'emplacement de démarrage automatique de Windows Defender. Pour cela, tapez la commande suivante à l'invite de commandes :
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide"/f
  25. Dans le cas de Windows Vista et des systèmes d'exploitation plus récents, le logiciel malveillant désactive le paramètre global de réglage automatique de la fenêtre de réception TCP. Pour le réactiver, tapez la commande suivante à une invite de commande :
    netsh interface tcp set global autotuning=normal
Après cette procédure, si l'ordinateur semble réinfecté, une des conditions suivantes est peut-être vraie :
  • Un des emplacements de démarrage automatique n'a pas été supprimé. Par exemple, la tâche AT n'a pas été supprimée ou un fichier Autorun.inf n'a pas été supprimé.
  • La mise à jour de sécurité pour MS08-067 a été installée de manière incorrecte
Ce logiciel malveillant peut modifier d'autres paramètres non repris dans cet article. Visitez la page Web suivante du Centre de protection contre les programmes malveillants (Microsoft Malware Protection Center, en anglais) pour obtenir les détails les plus récents sur Win32/Conficker :
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Assurez-vous que le système n'est pas infecté

Assurez-vous que les services suivants ont démarré :
  • Mises à jour automatiques (wuauserv)
  • Service de transfert intelligent en arrière-plan (BITS)
  • Windows Defender (windefend) (si applicable)
  • Service de rapport d'erreurs de Windows
Pour ce faire, tapez les commandes suivantes à l'invite de commandes. Appuyez sur ENTRÉE après chaque commande :

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Après l'exécution de chaque commande, un message semblable à ce qui suit s'affiche :
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Dans cet exemple, « STATE : 4 RUNNING » indique que le service est actif.

Pour vérifier l'état de la sous-clé de Registre SvcHost, procédez comme suit :
  1. Dans l'Éditeur du Registre, recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Dans le volet des Détails, double-cliquez sur netsvcs, puis passez en revue les noms de service de la liste. Faites défiler la liste vers le bas. Si l'ordinateur est réinfecté avec Conficker, un nom de service aléatoire sera affiché. Par exemple, dans cette procédure, le nom de service du logiciel malveillant est « Iaslogon ».
Si cette procédure ne corrige pas le problème, contactez le fournisseur de votre logiciel antivirus. Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
49500 Liste des fournisseurs d'antivirus
Si vous n'avez pas de fournisseur de logiciel antivirus ou si votre fournisseur ne peut pas vous aider, contactez les services de Support technique Microsoft pour obtenir une aide complémentaire.

Une fois l'environnement totalement nettoyé

Une fois l'environnement totalement nettoyé, procédez comme suit :
  1. Réactivez le service Serveur et le service Planificateur de tâches.
  2. Restaurez les autorisations par défaut sur la clé de Registre SVCHOST et le dossier Tâches. Les paramètres par défaut doivent être restaurés à l'aide des paramètres de Stratégie de groupe. Si une stratégie est supprimée uniquement, les autorisations par défaut ne peuvent pas être modifiées à nouveau. Consultez le tableau des autorisations par défaut dans la section « Atténuation » pour plus d'informations.
  3. Mettez l'ordinateur à jour en installant toutes les mises à jour de sécurité disponibles. Pour ce faire, utilisez Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) ou votre produit tiers de gestion des mises à jour. Si vous utilisez SMS ou Configuration Manager 2007, vous devez commencer par réactiver le service Serveur. Sinon, SMS ou Configuration Manager 2007 risque de ne pas pouvoir mettre à jour le système.

Identification des systèmes infectés

Si vous avez des difficultés à identifier des systèmes infectés par Conficker, les détails fournis sur le blog TechNet suivant peuvent vous aider :
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tableau des autorisations par défaut

Le tableau suivant répertorie les autorisations par défaut pour chaque système d'exploitation. Ces autorisations sont en place avant que vous n'appliquiez les modifications que nous vous recommandons de cet article. Ces autorisations peuvent différer des autorisations définies dans votre environnement. Par conséquent, vous devez noter vos paramètres avant d'apporter des modifications. Vous devez le faire pour que vous puissiez restaurer vos paramètres après avoir nettoyé le système.
Réduire ce tableauAgrandir ce tableau
Système d'exploitation Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
ParamètreRegistre SvchostDossier TâchesRegistre SvchostDossier TâchesRegistre SvchostDossier TâchesRegistre SvchostDossier TâchesRegistre SvchostDossier Tâches
Compte
Administrateurs (groupe local)Contrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle total
SystèmeContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle totalContrôle total
Utilisateurs avec pouvoir (groupe local)Non applicableNon applicableNon applicableNon applicableLectureNon applicableLectureNon applicableLectureNon applicable
Utilisateurs (groupe local)Spécial Non applicableSpécialNon applicableLectureNon applicableLectureNon applicableLectureNon applicable
Produits concernés : Cette clé et les sous-clésProduits concernés : Cette clé et les sous-clés
Retrouver la valeurRetrouver la valeur
Énumérer les sous-clésÉnumérer les sous-clés
NotifierNotifier
Contrôle en lectureContrôle en lecture
Utilisateurs authentifiésNon applicableSpécialNon applicableSpécialNon applicableNon applicableNon applicableNon applicableNon applicableNon applicable
Produits concernés : Ce dossier uniquementProduits concernés : Ce dossier uniquement
Parcourir le dossierParcourir le dossier
Lister le dossierLister le dossier
Lire les attributsLire les attributs
Lecture des attributs étendusLecture des attributs étendus
Créer des fichiersCréer des fichiers
Autorisations de lectureAutorisations de lecture
Opérateurs de sauvegarde (groupe local)Non applicableNon applicableNon applicableNon applicableNon applicableSpécialNon applicableSpécial
Produits concernés : Ce dossier uniquementProduits concernés : Ce dossier uniquement
Parcourir le dossierParcourir le dossier
Lister le dossierLister le dossier
Lire les attributsLire les attributs
Lecture des attributs étendusLecture des attributs étendus
Créer des fichiersCréer des fichiers
Autorisations de lectureAutorisations de lecture
Tout le mondeNon applicableNon applicableNon applicableNon applicableNon applicableNon applicableNon applicableNon applicableNon applicableSpécial
Produits concernés : Ce dossier, ces sous-dossiers et fichiers
Parcourir le dossier
Lister le dossier
Lire les attributs
Lecture des attributs étendus
Créer des fichiers
Créer des dossiers
Écrire des attributs
Écrire des attributs étendus
Autorisations de lecture

Aide supplémentaire

  Pour obtenir davantage d'aide sur ce problème, si vous vous situez aux États-Unis, vous pouvez entrer en conversation en ligne avec une personne de chez Answer Desk : 
Answer Desk
Remarque Il s'agit d'un article de « PUBLICATION RAPIDE » rédigé directement au sein du service de support technique Microsoft. Les informations qui y sont contenues sont fournies en l'état, en réponse à des problèmes émergents. En raison du délai rapide de mise à disposition, les informations peuvent contenir des erreurs typographiques et, à tout moment et sans préavis, faire l'objet de révisions. Pour d'autres considérations, consultez les Conditions d'utilisation.

Propriétés

Numéro d'article: 962007 - Dernière mise à jour: mardi 15 janvier 2013 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 sur le système suivant
    • Windows Vista Professionnel
    • Windows Vista Entreprise
    • Windows Vista Édition Familiale Basique
    • Windows Vista Édition Familiale Premium
    • Windows Vista Starter
    • Windows Vista Édition Intégrale
    • Windows Vista Entreprise 64 bits
    • Windows Vista Édition Familiale Basique 64 bits
    • Windows Vista Édition Familiale Premium 64 bits
    • Windows Vista Édition Intégrale 64 bits
    • Windows Vista Professionnel 64 bits
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Starter
  • Windows Vista Édition Intégrale
  • Windows Vista Entreprise 64 bits
  • Windows Vista Édition Familiale Basique 64 bits
  • Windows Vista Édition Familiale Premium 64 bits
  • Windows Vista Édition Intégrale 64 bits
  • Windows Vista Professionnel 64 bits
  • Microsoft Windows Server 2003 Service Pack 1 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 sur le système suivant
    • Microsoft Windows XP Édition familiale
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 sur le système suivant
    • Microsoft Windows XP Édition familiale
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 sur le système suivant
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professionnel
    • Microsoft Windows 2000 Server
Mots-clés : 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com