XADM : Utilisation de ISSCAN pour supprimer les messages ou les pièces jointes infectées par un virus

Exclusion de responsabilité du contenu obsolète de la base de connaissances

Cet article a été rédigé sur les produits pour lesquels Microsoft n’offre plus aucune prise en charge. Par conséquent, cet article est proposé « en l’état » et ne sera plus mis à jour.

Résumé

Isscan.exe est un nouvel utilitaire qui permet aux administrateurs d'analyser la banque d'informations publique ou privée Exchange Server 5.x et de supprimer les pièces jointes des messages en fonction du nom de la pièce jointe ou de l'objet du message. Cet outil est particulièrement utile pour supprimer de la banque d'informations les pièces jointes infectées par des virus ; par défaut, il recherche le virus Melissa. L'exemple illustré dans cet article supprime le ver informatique Microsoft Visual Basic Scripting Edition (VBScript) ILOVEYOU.


Cet utilitaire est disponible pour les plates-formes Intel et Alpha. Il en existe une version pour les versions d'Exchange Server allant jusqu'à Exchange Server 5.0 Service Pack 3 et Exchange Server 5.5 Service Pack 3 compris, et une version ultérieure à Exchange Server 5.5 Service Pack 3.

Plus d'informations

La syntaxe de la ligne de commande est la suivante :
isscan {-pri|-pub} [-fix] -test {message_incorrect |pièce_jointe_incorrecte | pièce_jointe_incorrecte2} [-c <fichier_critères>]
Le paramètre -fix indique à l'utilitaire Isscan de supprimer les messages ou pièces jointes trouvés. Si le paramètre -fix est omis, l'utilitaire Isscan consigne tous les messages et pièces jointes qu'il trouve dans un fichier journal.


Le paramètre -pri | -pub indique à l'utilitaire Isscan d'analyser soit la banque d'informations publique, soit la banque d'informations privée (fichiers Priv.edb ou Pub.edb).


Le paramètre -test message_incorrect supprime les messages infectés de la table des pièces jointes.


Les paramètres -test pièce_jointe_incorrecte et -test pièce_jointe_incorrecte2 suppriment les pièces jointes associées à un message infecté de la table des pièces jointes.


Le paramètre -c <fichier_critères> permet de créer un fichier de critères utilisé par Isscan pour effectuer une recherche dans les bases de données des messages et des pièces jointes. Si aucun fichier n'est spécifié, le fichier de critères par défaut est le suivant (pour le virus Melissa) :
  • Le paramètre message_incorrect supprime les pièces jointes simples des messages dont le sujet commence par "Important Message From" (Message important de) et dont la date de création est ultérieure au 01/03/99.
  • Les paramètres pièce_jointe_incorrecte et pièce_jointe_incorrecte2 suppriment les pièces jointes avec le nom de fichier "List.doc" et dont la taille est comprise entre 40 Ko et 60 Ko.
  • Si le paramètre fichier_critères est spécifié, Isscan analyse les entrées respectant la casse dans le fichier pour déterminer les critères de recherche.
Les entrées du fichier sont groupées en deux types : pièce jointe ou message.
  • Une entrée de pièce jointe se présente sous la forme suivante : Un espace se trouve entre ATTACH et < nom_fichier>, et une tabulation entre taille_minimale, < nom_fichier> et taille_maximale.
    ATTACH < nom_fichier> < taille_minimale> < taille_maximale >
  • Une entrée de message se présente sous la forme suivante : Il existe un espace entre MSG et < début_objet>, et une tabulation entre < début_objet > et < aaaa/mm/jj >.
    MSG < début_objet > < aaaa/mm/jj >
    REMARQUE : Lorsque vous créez un fichier de critères, utilisez un éditeur différent de l'Éditeur MS-DOS pour garantir le format approprié.
Chaque critère peut s'appliquer à plusieurs entrées. Les noms des fichiers de pièces jointes doivent être au format 8.3. Dans le cas d'un nom de fichier long, appliquez-lui le format 8.3 (par exemple, remplacez "Fichierzippé.exe" par "Fichie~1.exe"). De plus, vous pouvez spécifier jusqu'à 256 critères dans le fichier de critères. Un exemple de fichier est illustré ci-dessous :

ATTACH FirstAttachment.doc4000060000
ATTACH SecondAttachment.vbs4000060000
ATTACH ThirdAttachment.exe2000040000
MSG Important Message From1999/03/01
MSG New version of virus1999/03/28
IMPORTANT : par précaution, le nom du fichier et les valeurs de l'objet doivent comporter AU MOINS cinq caractères.


Il existe deux types d'interface MAPI (Messaging Application Programming Interface) pour les pièces jointes dans Exchange Server : PR_ATTACH_FILENAME et/ou PR_ATTACH_LONG_FILENAME. Par exemple :
ATTACH Fichiers_zippés.exe15000500000

ATTACH Fichie~1.exe15000500000
PR_ATTACH_FILENAME est le nom de fichier au format 8.3 utilisé par compatibilité ascendante avec les clients 16 bits.


Vous pouvez utiliser le fichier Mdbvu32.exe du CD-ROM d'Exchange Server 5.5 pour afficher les pièces jointes dans une boîte aux lettres de l'utilisateur.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

214816 PROCÉDURE : Utiliser Mdbvu32.exe pour définir/créer une propriété d'un dossier
L'utilitaire Isscan crée un rapport intitulé Isscan.pri ou Isscan.pub selon que vous analysez une banque d'informations publique ou privée. Ce rapport comprend les informations suivantes :
  • Lorsqu'il est généré avec le paramètre -test message_incorrect, ce rapport comprend l'expéditeur et le destinataire du message à supprimer.
  • Lorsqu'il est généré avec le paramètre -test pièce_jointe_incorrecte, ce rapport comprend le nom de fichier de la pièce jointe à supprimer.
  • Lorsqu'il est généré avec le paramètre -test pièce_jointe_incorrecte2, ce rapport comprend le nom de fichier de la pièce jointe à supprimer ainsi que l'expéditeur et le destinataire du message correspondant.
Lorsque vous l'exécutez avec le paramètre -test message_incorrect, l'utilitaire Isscan examine la table des dossiers de messages selon les critères de messages spécifiés. Lorsque vous l'exécutez avec le paramètre -test pièce_jointe_incorrecte, l'utilitaire Isscan examine la table des pièces jointes selon les critères de pièces jointes spécifiés. La recherche dans la table des pièces jointes est plus rapide, mais elle empêche l'utilitaire Isscan d'obtenir des informations sur l'expéditeur et le destinataire du message.


Lorsque vous l'exécutez avec le paramètre -test pièce_jointe_incorrecte2, l'utilitaire Isscan utilise les critères de pièces jointes spécifiés, mais il vérifie les pièces jointes par l'intermédiaire de la table des dossiers de messages au lieu de la table des pièces jointes. Ceci ralentit la recherche, mais permet à l'utilitaire Isscan d'obtenir des informations sur l'expéditeur et le destinataire du message. Cela peut s'avérer utile pour les messages infectés dont le champ Objet n'est jamais le même, ce qui empêche l'exécution d'une recherche basée sur des critères du message. Le paramètre -test pièce_jointe_incorrecte2 permet par contre d'exécuter une recherche basée sur des critères des pièces jointes et d'obtenir des informations sur l'expéditeur et le destinataire du message.


Exemple

Dans l'exemple suivant, toutes les références aux pièces jointes sont supprimées de la banque d'informations PRIVÉE contenant l'infection initiale par le ver informatique ILOVEYOU.


  1. Utilisez le Bloc-notes pour créer un fichier intitulé Critfile.txt contenant les lignes suivantes.

    ATTACH LOVE-L~1.VBS1000050000
    ATTACH LOVE-LETTER-FOR-YOU.txt.vbs1000050000
    REMARQUE : une nouvelle variante du virus ILOVEYOU a vu le jour le 12/02/2001. La pièce jointe s'appelle :
    Annakournikova.jpg.vbs.
    Pour supprimer ce fichier, utilisez la syntaxe suivante dans le fichier de critères :
    ATTACH Annako~1.vbs 1500000
  2. : une nouvelle variante du virus ILOVEYOU a vu le jour le 12/02/2001. La pièce jointe s'appelle : Utilisez le Bloc-notes pour créer un fichier de commandes intitulé IsscanFixPri.bat et tapez le texte suivant sur la première ligne du fichier.
    isscan -fix -pri -c lovecrit.txt -test pièce_jointe_incorrecte
  3. : une nouvelle variante du virus ILOVEYOU a vu le jour le 12/02/2001. La pièce jointe s'appelle : Copiez Isscan.exe, Critfile.txt et Delove.bat dans le dossier lecteur\Exchsrvr\Bin.
  4. : une nouvelle variante du virus ILOVEYOU a vu le jour le 12/02/2001. La pièce jointe s'appelle : Arrêtez la banque d'informations Exchange Server.
  5. : une nouvelle variante du virus ILOVEYOU a vu le jour le 12/02/2001. La pièce jointe s'appelle : À l'invite, placez-vous dans le dossier Exchsrvr\Bin et exécutez le fichier de commandes.
  6. : une nouvelle variante du virus ILOVEYOU a vu le jour le 12/02/2001. La pièce jointe s'appelle : Lorsque Isscan a terminé, exécutez la commande suivante depuis la ligne de commande.
    isinteg -fix -pri -test message
Pour vérifier le contenu de la banque d'informations PUBLIQUE, remplacez "-pri" par "-pub" et répétez la procédure.


Vous pouvez télécharger un fichier d'archives .zip contenant les instructions, l'utilitaire Isscan.exe et des fichiers de commandes pour supprimer les VERS INFORMATIQUES et réparer les banques d'informations publique et privée depuis le Centre de téléchargement Microsoft.


Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :
Utilitaire mis à jour pour Exchange Server 5.5 en vue de la suppression de vers informatiques (Intel) :


Téléchargement Télécharger Wormhelpi.zip maintenant

Utilitaire mis à jour pour Exchange Server 5.5 en vue de la suppression de vers informatiques (DEC Alpha) :


Téléchargement Télécharger Wormhelpa.zip maintenant
Pour plus d'informations sur le téléchargement des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

119591 Procédure pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication pour détecter la présence de virus dans ce fichier. Une fois publié, le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.




REMARQUE : les fichiers Wormhelp sont des versions mises à jour des fichiers iloveyouhlp.

Remarques importantes

  • Cette méthode s'utilise exclusivement pour nettoyer un fichier de base de données Exchange Server déjà infecté. Ceci n'empêche en aucun cas le virus de s'introduire dans le système de messagerie.
  • Pour empêcher la propagation du virus, mettez en place une stratégie bien planifiée au niveau de tous les pare-feu Internet et de tous les postes de travail.
  • Vous pouvez exécuter la commande isinteg -fix -pri -test message pour supprimer la référence à la pièce jointe, sinon le message "Impossible d'ouvrir une ou plusieurs pièces jointes" s'affiche. Le message n'est pas supprimé avec le commutateur message_incorrect ou pièce_jointe_incorrecte. Seule la pièce jointe est supprimée avec l'une ou l'autre option.


    Cependant, aucun test ne supprime l'icône Trombone elle-même.
  • Isscan n'effectue pas de recherches comportant des caractères génériques dans les pièces jointes et les messages. L'utilisateur doit indiquer un nom de fichier comportant au moins cinq caractères. Par exemple, il est impossible de rechercher des messages ou des pièces jointes en spécifiant "*.doc" (sans guillemets).
  • Les entrées du fichier de critères respectent la casse. Les entrées suivantes, par exemple, suppriment différentes versions du virus ILOVEYOU :

    ATTACH LOVE-LETTER-FOR-YOU.TXT.vbs 10000 50000
    ATTACH LOVE-LETTER-FOR-YOU.txt.vbs 10000 50000
La version anglaise de cette fonctionnalité doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure :


Composant : ISSCAN


Nom de fichier
Version
Isscan.exe
5.5.2648.0

Propriétés

ID d'article : 224493 - Dernière mise à jour : 11 août 2004 - Révision : 1

Commentaires