Applies ToWindows Server 2008 Datacenter without Hyper-V Windows Server 2008 Enterprise without Hyper-V Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Standard without Hyper-V Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Service Pack 2 Microsoft Windows XP Home Edition Microsoft Windows XP Professional Microsoft Windows XP Service Pack 3 Microsoft Windows XP Home Edition Microsoft Windows XP Professional

La prise en charge de Windows Vista Service Pack 1 (SP1) a pris fin le 12 juillet 2011. Pour continuer à recevoir des mises à jour de sécurité pour Windows, assurez-vous que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d'informations, reportez-vous à la page Web suivante de Microsoft : Certaines versions de Windows ne seront bientôt plus prises en charge.

Résumé

Les informations présentées dans cet article de la Base de connaissances concernent les environnements professionnels dont les administrateurs système peuvent mettre en œuvre les détails présentés dans cet article. Vous ne devez pas utiliser cet article si votre programme antivirus supprime correctement le virus et si vos systèmes sont à jour. Pour confirmer que le système n'est pas infecté par le virus Conficker, procédez à une analyse rapide à partir de la page Web suivante : http://www.microsoft.com/security/scanner/fr-fr/Pour obtenir des informations détaillées sur le virus Conficker, consultez la page Web de Microsoft à l'adresse suivante :

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Symptômes d'infection

Si votre ordinateur est infecté par ce ver, vous pouvez ne rencontrer aucun problème ou rencontrer un ou plusieurs des problèmes suivants :

  • Les stratégies de verrouillage de comptes ont été activées.

  • Les mises à jour automatiques, le service de transfert intelligent en arrière-plan (BITS, Background Intelligent Transfer Service), Windows Defender et les services de rapport d'erreurs sont désactivés.

  • Les contrôleurs de domaine réagissent lentement aux demandes des clients.

  • Le réseau est congestionné.

  • Divers sites Web liés à la sécurité sont inaccessibles.

  • Différents outils relatifs à la sécurité ne fonctionneront pas. Pour obtenir une liste des outils connus, visitez la page Web de Microsoft suivante, puis cliquez sur l'onglet Analyse pour obtenir des informations sur Win32/Conficker.D. Pour plus d'informations, visitez la page Web suivante de Microsoft :

    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D

Pour plus d'informations sur Win32/Conficker, visitez la page Web suivante du Centre de protection contre les programmes malveillants (Microsoft Malware Protection Center, en anglais) :

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Méthodes de propagation

Win32/Conficker a plusieurs méthodes de propagation. Cela comprend :

  • exploitation de la vulnérabilité corrigée par la mise à jour de sécurité 958644 (MS08-067) ;

  • utilisation de partages réseau ;

  • utilisation de la fonctionnalité de lecture automatique.

Il convient donc d'être prudent lors du nettoyage d'un réseau pour éviter que la menace soit réintroduite sur des systèmes nettoyés précédemment.Remarque Le composant Win32/Conficker.D ne s'étend pas aux lecteurs amovibles ni aux dossiers partagés sur un réseau. Win32/Conficker.D est installé par des composants précédents de Win32/Conficker.

Prévention

  • Utilisez des mots de passe administrateur forts uniques pour tous les ordinateurs.

  • Ne vous connectez pas à des ordinateurs à l'aide d'informations d'identification d'administrateur de domaine ou qui permettent l'accès à tous les ordinateurs.

  • Assurez-vous que tous les systèmes disposent des dernières mises à jour de sécurité.

  • Désactivez les fonctionnalités de lecture automatique. Pour plus d'informations, reportez-vous à l'étape 3 de la section sur la création d'un objet Stratégie de groupe.

  • Supprimez les droits excessifs aux partages. Cela inclut la suppression des autorisations d'écriture à la racine de n'importe quel partage.

Atténuation

Empêcher Win32/Conficker de se répandre en utilisant les paramètres de la stratégie de groupe

Remarques

  • Important Veillez à documenter les paramètres actuels avant de procéder aux modifications suggérées dans cet article.

  • Cette procédure ne supprime pas le programme malveillant Conficker du système. Elle l'empêche seulement de se répandre. Vous devez utiliser un produit antivirus pour supprimer le programme malveillant Conficker du système. Ou, suivez la procédure présentée dans la section « Étapes manuelles pour la suppression du virus Win32/Conficker » de cet article de la Base de connaissances pour supprimer manuellement ce programme malveillant du système.

  • Il se peut que vous ne puissiez pas installer correctement des applications, des Service Packs ou d'autres mises à jour si les modifications d'autorisation recommandées par la procédure suivante sont appliquées. Il s'agit notamment de l'application de mises à jour à l'aide de Windows Update, du serveur Microsoft Windows Server Update Services (WSUS) et de System Center Configuration Manager (Configuration Manager 2007), car ces produits se basent sur des composants des mises à jour automatiques. Assurez-vous de modifier les autorisations pour revenir aux paramètres par défaut après le nettoyage du système.

  • Pour plus d'informations sur les autorisations par défaut pour la clé de Registre SVCHOST et le dossier Tâches mentionnées dans la section « Création d'un objet Stratégie de groupe », consultez le tableau des autorisations par défaut à la fin de cet article.

Création d'un objet Stratégie de groupe

Créez un objet Stratégie de groupe qui s'applique à tous les ordinateurs d'un domaine, d'un site ou d'une unité d'organisation spécifique, si cela est nécessaire dans votre environnement. Pour cela, procédez comme suit :

  1. Définissez la stratégie visant à déplacer les autorisations en écriture vers la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost Cette action empêche le service du programme malveillant nommé de manière aléatoire d'être créé dans la valeur de Registre netsvcs. Pour cela, procédez comme suit :

    1. Ouvrez la console de gestion des stratégies de groupe (GPMC).

    2. Créez un objet Stratégie de groupe. Donnez-lui le nom que vous désirez.

    3. Ouvrez le nouvel objet de stratégie de groupe, puis déplacez-le vers le dossier suivant :

      Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Registre

    4. Cliquez avec le bouton droit sur Registre, puis cliquez sur Ajouter une clé.

    5. Dans la boîte de dialogue Sélection de la clé de Registre, développez Ordinateur, puis accédez au dossier suivant :

      Software\Microsoft\Windows NT\CurrentVersion\Svchost

    6. Cliquez sur OK.

    7. Dans la boîte de dialogue qui s'affiche, désactivez la case à cocher Contrôle total pour Administrateurs et Système.

    8. Cliquez sur OK.

    9. Dans la boîte de dialogue Ajouter un objet, cliquez sur Remplacer les autorisations existantes pour toutes les sous-clés avec des autorisations pouvant être héritées.

    10. Cliquez sur OK.

  2. Définissez la stratégie visant à déplacer les autorisations en écriture vers le dossier %windir%\Tasks. Cette action empêche le programme malveillant Conficker de créer les tâches planifiées qui peuvent réinfecter le système. Pour cela, procédez comme suit :

    1. Dans le même objet de stratégie de groupe que vous avez créé précédemment, accédez au dossier suivant :

      Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Système de fichiers

    2. Cliquez avec le bouton droit sur Système de fichiers, puis cliquez sur Ajouter un fichier.

    3. Dans la boîte de dialogue Ajouter un fichier ou un dossier, accédez au dossier %windir%\Tâches. Assurez-vous que Tâches est activé et répertorié dans la boîte de dialogue Dossier.

    4. Cliquez sur OK.

    5. Dans la boîte de dialogue qui s'affiche, cliquez pour désactiver les cases à cocher Contrôle total, Modifier et Écrire pour les Administrateurs et le Système.

    6. Cliquez sur OK.

    7. Dans la boîte de dialogue Ajouter un objet, cliquez sur Remplacer les autorisations existantes pour toutes les sous-clés avec des autorisations pouvant être héritées.

    8. Cliquez sur OK.

  3. Définissez les fonctions de Lecture automatique (Exécution automatique) à désactiver. Cette action empêche le programme malveillant Conficker de se répandre à l'aide des fonctions de Lecture automatique intégrées dans Windows. Remarque En fonction de la version de Windows que vous utilisez, il existe différentes mises à jour qui doivent être installées pour désactiver correctement la fonction d'exécution automatique :

    • Pour désactiver la fonction d'exécution automatique dans Windows Vista ou dans Windows Server 2008, vous devez installer la mise à jour de sécurité 950582 (décrite dans le bulletin de sécurité MS08-038).

    • Pour désactiver la fonction d'exécution automatique dans Windows XP, Windows Server 2003 ou Windows 2000, vous devez installer les mises à jour de sécurité 950582, 967715 ou 953252.

    Pour définir les fonctionnalités de lecture automatique (exécution automatique) sur désactivé, procédez comme suit :

    1. Dans le même objet de stratégie de groupe que vous avez créé précédemment, accédez à l'un des dossiers suivants :

      • Pour un domaine Windows Server 2003, accédez au dossier suivant :

        Configuration ordinateur\Modèles d'administration\Système

      • Pour un domaine Windows 2008, accédez au dossier suivant :

        Configuration ordinateur\Modèles d'administration\Composants de Windows\Stratégies de lecture automatique

    2. Ouvrez la stratégie Désactiver le lecteur automatique.

    3. Dans la boîte de dialogue Désactiver le lecteur automatique, cliquez sur Activé.

    4. Dans le menu déroulant, cliquez sur Tous les lecteurs.

    5. Cliquez sur OK.

  4. Fermez la console de gestion des stratégies de groupe.

  5. Liez l'objet de stratégie de groupe récemment créé à l'emplacement auquel vous souhaitez qu'il s'applique.

  6. Laissez suffisamment de temps aux paramètres de la stratégie de groupe pour se mettre à jour sur tous les ordinateurs. En général, la réplication de la stratégie de groupe a besoin de 5 minutes pour se répliquer sur chaque contrôleur de domaine, puis de 90 minutes pour se répliquer sur le reste du système. Quelques heures devraient être suffisantes. Cependant, il est possible que cette opération prenne plus de temps, en fonction de l'environnement.

  7. Après la propagation des paramètres de la stratégie de groupe, nettoyez les systèmes de programme malveillant. Pour cela, procédez comme suit :

    1. Exécutez des analyses antivirus complètes sur tous les ordinateurs.

    2. Si votre logiciel antivirus ne détecte pas Conficker, vous pouvez utiliser le Scanner de sécurité Microsoft pour supprimer ce programme. Pour plus d'informations, reportez-vous à la page Web de Microsoft à l'adresse suivante : http://www.microsoft.com/security/scanner/fr-fr/Remarque Vous devrez peut-être effectuer quelques étapes manuellement pour supprimer tous les effets du programme malveillant. Nous vous conseillons de réviser la procédure détaillée dans la section « Étapes manuelles pour la suppression du virus Win32/Conficker » de cet article pour supprimer tous les effets du logiciel malveillant.

Récupération

Exécuter le Scanner de sécurité Microsoft.

Le Centre de protection Microsoft contre les programmes malveillants a mis à jour le Scanner de sécurité Microsoft. Il s'agit d'un fichier binaire autonome pratique pour la suppression de logiciels malveillants répandus et peut faciliter la suppression des vers de la famille Win32/Conficker. Remarque Le Scanner de sécurité Microsoft n'empêche pas toute réinfection, car il n'est pas un programme antivirus en temps réel. Vous pouvez télécharger le Scanner de sécurité Microsoft depuis le site Web de Microsoft à l'adresse suivante :

http://www.microsoft.com/security/scanner/fr-fr/ Remarque Le Nettoyeur système autonome supprime également cette infection. Cet outil est disponible sous la forme d'un composant du Microsoft Desktop Optimization Pack 6.0 ou via les services de Support technique et clientèle. Pour obtenir Microsoft Desktop Optimization Pack, visitez le site Web de Microsoft suivant :

http://www.microsoft.com/fr-fr/windows/enterprise/products-and-technologies/mdop/default.aspx Si Microsoft Security Essentials ou Microsoft Forefront Client Security fonctionne sur le système, ces deux programmes bloquent également la menace avant son installation.

Étapes manuelles pour la suppression du virus Win32/Conficker

Remarques

  • Cette procédure manuelle n'est plus demandée et ne doit être exécutée que si vous ne disposez pas de logiciel antivirus pour supprimer le virus Conficker.

  • En fonction de la variante de Win32/Conficker qui infecte l'ordinateur, certaines des valeurs présentées dans cette section peuvent ne pas avoir été modifiées par le virus.

La procédure détaillée suivante peut vous aider à supprimer manuellement Conficker à partir d'un système :

  1. Ouvrez une session sur le système en utilisant un compte local.Important Dans la mesure du possible, n'ouvrez pas de session sur le système en utilisant un compte de domaine. Veillez tout particulièrement à ne pas utiliser un compte d'administrateur de domaine. Le logiciel malveillant usurpe l'identité de l'utilisateur connecté et accède aux ressources réseau en utilisant les informations d'identification de cet utilisateur. Cela permet au logiciel malveillant de se répandre.

  2. Arrêtez le service Serveur. Cela supprime les partages Admin du système afin que le logiciel malveillant ne puisse pas se propager par cette méthode.Remarque Le service Serveur ne doit être désactivé que temporairement pendant la suppression du logiciel malveillant de votre environnement. Cela s'applique tout particulièrement aux serveurs de production dans la mesure où cette étape affectera la disponibilité des ressources réseau. Dès que l'environnement est nettoyé, le service Serveur peut être réactivé.Pour arrêter le service Server, utilisez le composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft. Pour cela, procédez comme suit :

    1. Selon votre système, faites ce qui suit :

      • Dans Windows Vista et Windows Server 2008, cliquez sur DémarrerBouton Démarrer, tapez services.msc dans la zone Rechercher, puis cliquez sur services.msc dans la liste Programmes.

      • Dans Windows 2000, Windows XP et Windows Server 2003, cliquez sur Démarrer, sur Exécuter, tapez services.msc, puis cliquez sur OK.

    2. Double-cliquez sur Serveur.

    3. Cliquez sur Arrêter.

    4. Sélectionnez Désactivé dans la zone Type de démarrage.

    5. Cliquez sur Appliquer.

  3. Supprimez toutes les tâches planifiées créees par AT. Pour ce faire, tapez AT/Delete/Yes à une invite de commande.

  4. Arrêtez le service du Planificateur de tâches.

    • Pour arrêter le service du Planificateur de tâches dans Windows 2000, Windows XP et Windows Server 2003, utilisez le composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft ou l'utilitaire SC.exe.

    • Pour arrêter le service du Planificateur de tâches dans Windows Vista ou dans Windows Server 2008, procédez comme suit. Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

      322756Comment faire pour sauvegarder et restaurer le Registre dans Windows

      1. Cliquez sur Démarrer, tapez regedit dans la zone Rechercher, puis cliquez sur regedit.exe dans la liste Programmes.

      2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

      3. Dans le volet Détails, cliquez avec le bouton droit sur l'entrée DWORD Start, puis cliquez sur Modifier.

      4. Dans la zone Données de la valeur, tapez 4, puis cliquez sur OK.

      5. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.Remarque Le service Planificateur de tâches ne doit être désactivé que temporairement pendant la suppression du logiciel malveillant de votre environnement. C'est notamment le cas sur des ordinateurs Windows Vista et Windows Server 2008 car cette étape affectent de nombreuses tâches planifiées intégrées. Dès que l'environnement est nettoyé, réactivez le service Serveur.

  5. Téléchargez et installez manuellement la mise à jour de sécurité 958644 (MS08-067). Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante :

    http://www.microsoft.com/france/technet/security/bulletin/MS08-067.mspxRemarque Ce site est susceptible d'être bloqué par l'infection du logiciel malveillant. Dans ce cas, vous devez télécharger la mise à jour à partir d'un ordinateur non infecté, puis transférer le fichier de la mise à jour sur le système infecté. Nous vous conseillons de graver la mise à jour sur CD dans la mesure où CD gravé ne sera pas inscriptible. Il ne pourra donc pas être infecté. Si aucun graveur de CD n'est disponible, une clé USB amovible peut être le seul moyen de copier la mise à jour sur le système infecté. Si vous utilisez un lecteur amovible, vous devez être conscient que le logiciel malveillant peut infecter le lecteur avec un fichier Autorun.inf. Après avoir copié la mise à jour sur le lecteur amovible, prenez soin de placer le lecteur en mode lecture seule s'il en offre la possibilité. Si le mode lecture seule est disponible, il s'active généralement à l'aide d'un petit commutateur physique sur le périphérique. Ensuite, après avoir copié le fichier de la mise à jour sur l'ordinateur infecté, vérifiez le lecteur amovible pour déterminer si un fichier Autorun.inf y a été écrit. Si c'est le cas, renommez le fichier Autorun.inf. Changez son nom en Autorun.KO, par exemple, de manière à ce qu'il ne s'exécute pas lorsque le lecteur amovible est connecté à un ordinateur.

  6. Réinitialisez les mots de passe d'administration local et du domaine et remplacez-les par un nouveau mot de passe fort. Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante :

    http://technet.microsoft.com/fr-fr/library/cc875814.aspx

  7. Dans l'Éditeur du Registre, recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

  8. Dans le volet Détails, cliquez avec le bouton droit sur l'entrée netsvcs, puis cliquez sur Modifier.

  9. Si l'ordinateur est infecté par le virus Win32/Conficker, un nom de service aléatoire sera affiché.Remarque Avec Win32/Conficker.B, le nom de service a été des lettres aléatoires et en bas de la liste. Avec des variantes plus récentes, le nom du service peut se trouver n'importe où dans la liste et sembler plus légitime. So le nom aléatoire du service ne se trouve pas en bas de la liste, comparez votre système avec le tableau Services de cette procédure pour déterminer le nom du service qui peut être ajouté par Win32/Conficker. Pour vérifier ceci, comparez la liste dans le tableau Services avec celle d'un système similaire qui n'est pas infecté.Notez le nom du service malveillant. Vous aurez besoin de cette information plus loin dans cette procédure.

  10. Supprimez la ligne qui contient la référence au service malveillant. Veillez à laisser un saut de ligne en dessous de la dernière entrée légitime de la liste, puis cliquez sur OK.Remarques relatives au tableau Services

    • Toutes les entrées du tableau Services sont valides, sauf pour les éléments en gras.

    • Les éléments en gras sont des exemples de ce que le virus Win32/Conficker peut ajouter à la valeur netsvcs dans la clé de Registre SVCHOST.

    • Cela peut ne pas être une liste exhaustive des services, en fonction de ce qui est installé sur le système.

    • Le tableau Services provient d'une installation par défaut de Windows.

    • L'entrée que le virus Win32/Conficker ajoute à la liste est une technique d'obscurcissement. La première lettre de l'entrée malveillante mise en avant qui doit ressembler est un « L » minuscule. Toutefois, il s'agit en réalité d'un « I » majuscule. Selon la police utilisée par le système d'exploitation, le I majuscule ressemble à un L minuscule.

    Tableau Services

    Windows Server 2008

    Windows Vista

    Windows Server 2003

    Windows XP

    Windows 2000

    AeLookupSvc

    AeLookupSvc

    AppMgmt

    6to4

    EventSystem

    wercplsupport

    wercplsupport

    AudioSrv

    AppMgmt

    Ias

    Themes

    Themes

    Browser

    AudioSrv

    Iprip

    CertPropSvc

    CertPropSvc

    CryptSvc

    Browser

    Irmon

    SCPolicySvc

    SCPolicySvc

    DMServer

    CryptSvc

    Netman

    lanmanserver

    lanmanserver

    EventSystem

    DMServer

    Nwsapagent

    gpsvc

    gpsvc

    HidServ

    DHCP

    Rasauto

    IKEEXT

    IKEEXT

    Ias

    ERSvc

    Iaslogon

    AudioSrv

    AudioSrv

    Iprip

    EventSystem

    Rasman

    FastUserSwitchingCompatibility

    FastUserSwitchingCompatibility

    Irmon

    FastUserSwitchingCompatibility

    Remoteaccess

    Ias

    Ias

    LanmanServer

    HidServ

    SENS

    Irmon

    Irmon

    LanmanWorkstation

    Ias

    Sharedaccess

    Nla

    Nla

    Messenger

    Iprip

    Ntmssvc

    Ntmssvc

    Ntmssvc

    Netman

    Irmon

    wzcsvc

    NWCWorkstation

    NWCWorkstation

    Nla

    LanmanServer

    Nwsapagent

    Nwsapagent

    Ntmssvc

    LanmanWorkstation

    Rasauto

    Rasauto

    NWCWorkstation

    Messenger

    Rasman

    Rasman

    Nwsapagent

    Netman

    Iaslogon

    Iaslogon

    Iaslogon

    Iaslogon

    Remoteaccess

    Remoteaccess

    Rasauto

    Nla

    SENS

    SENS

    Rasman

    Ntmssvc

    Sharedaccess

    Sharedaccess

    Remoteaccess

    NWCWorkstation

    SRService

    SRService

    Sacsvr

    Nwsapagent

    Tapisrv

    Tapisrv

    Schedule

    Rasauto

    Wmi

    Wmi

    Seclogon

    Rasman

    WmdmPmSp

    WmdmPmSp

    SENS

    Remoteaccess

    TermService

    TermService

    Sharedaccess

    Schedule

    wuauserv

    wuauserv

    Themes

    Seclogon

    BITS

    BITS

    TrkWks

    SENS

    ShellHWDetection

    ShellHWDetection

    TrkSvr

    Sharedaccess

    LogonHours

    LogonHours

    W32Time

    SRService

    PCAudit

    PCAudit

    WZCSVC

    Tapisrv

    helpsvc

    helpsvc

    Wmi

    Themes

    uploadmgr

    uploadmgr

    WmdmPmSp

    TrkWks

    iphlpsvc

    iphlpsvc

    winmgmt

    W32Time

    seclogon

    seclogon

    wuauserv

    WZCSVC

    AppInfo

    AppInfo

    BITS

    Wmi

    msiscsi

    msiscsi

    ShellHWDetection

    WmdmPmSp

    MMCSS

    MMCSS

    uploadmgr

    winmgmt

    browser

    ProfSvc

    WmdmPmSN

    TermService

    winmgmt

    EapHost

    xmlprov

    wuauserv

    SessionEnv

    winmgmt

    AeLookupSvc

    BITS

    ProfSvc

    schedule

    helpsvc

    ShellHWDetection

    EapHost

    SessionEnv

    helpsvc

    hkmsvc

    browser

    xmlprov

    schedule

    hkmsvc

    wscsvc

    AppMgmt

    AppMgmt

    WmdmPmSN

    sacsvr

    hkmsvc

  11. Dans une procédure antérieure, vous avez pris note du nom du service malveillant. Dans notre exemple, le nom de l'entrée malveillante était « Iaslogon ». En utilisant cette information, procédez comme suit :

    1. Dans l'Éditeur de Registre, recherchez la sous-clé de Registre suivante et cliquez dessus (NomServiceIncorrect est le nom du service malveillant :

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName par exemple, recherchez et cliquez sur la sous-clé de Registre suivante :

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. Cliquez avec le bouton droit dans le volet de navigation correspondant au nom du service malveillant, puis cliquez sur Autorisations.

    3. Dans la boîte de dialogue Autorisations pour SvcHost, cliquez sur Paramètres avancés.

    4. Dans la boîte de dialogue Paramètres de sécurité avancés, cliquez pour activer les deux cases à cocher suivantes :

      Hérite de l'objet parent les entrées d'autorisation qui s'appliquent aux objets enfants. Cela inclut les objets dont les entrées sont spécifiquement définies ici.Remplacer les entrées d'autorisations de tous les objets enfants par les entrées affichées ici et qui s'appliquent aux objets enfants.

  12. Appuyez sur F5 pour mettre à jour l'Éditeur de Registre. Dans le volet d'informations, vous pouvez maintenant voir et modifier la DLL malveillante qui se charge comme « ServiceDll ». Pour ce faire, procédez comme suit :

    1. Double-cliquez sur l'entrée ServiceDll.

    2. Prenez note du chemin d'accès de la DLL référencée. Vous aurez besoin de cette information plus loin dans cette procédure. Par exemple, le chemin d'accès de la DLL référencée peut ressembler à ceci : %SystemRoot%\System32\doieuln.dll Renommez la référence pour qu'elle ressemble à ce qui suit : %SystemRoot%\System32\doieuln.old

    3. Cliquez sur OK.

  13. Supprimez l'entrée du service malveillant de la sous-clé Run du Registre.

    1. Dans l'Éditeur du Registre, recherchez les sous-clés de Registre suivantes et cliquez dessus :

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. Dans les deux sous-clés, recherchez une entrée qui commence par « rundll32.exe » et fait également référence à la DLL malveillante qui se charge en tant que « ServiceDll » (identifiée à l'étape 12b). Supprimez l'entrée.

    3. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.

  14. Recherchez les fichiers Autorun.inf sur tous les lecteurs du système. Utilisez le Bloc-notes pour ouvrir chaque fichier et vous assurer qu'il s'agit d'un fichier Autorun.inf valide. L'exemple suivant illustre un fichier Autorun.inf classique valide :

    [autorun]shellexecute=Servers\splash.hta *DVD*icon=Servers\autorun.ico

    Un fichier Autorun.inf valide fait généralement 1 à 2 kilooctets (Ko).

  15. Supprimez tous les fichiers Autorun.inf qui ne semblent pas valides.

  16. Redémarrez votre ordinateur.

  17. Rendez visibles les fichiers masqués. Pour cela, tapez la commande suivante à l'invite de commandes :

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

  18. Activez Afficher les fichiers et dossiers cachés afin de pouvoir voir le fichier. Pour ce faire, procédez comme suit :

    1. À l'étape 12b, vous avez pris note du chemin d'accès du fichier .dll référencé pour le logiciel malveillant. Par exemple, vous avez noté un chemin d'accès semblable au suivant :

      %systemroot%\System32\doieuln.dll Dans l'Explorateur Windows, ouvrez le répertoire %systemroot%\System32 ou au répertoire qui contient le logiciel malveillant.

    2. Cliquez sur Outils, puis sur Options des dossiers.

    3. Cliquez sur l'onglet Affichage.

    4. Activez la case à cocher Afficher les fichiers et dossiers cachés.

    5. Cliquez sur OK.

  19. Sélectionnez le fichier .dll.

  20. Modifiez les autorisations du fichier pour ajouter le Contrôle total pour Tout le monde. Pour cela, procédez comme suit :

    1. Cliquez avec le bouton droit sur le fichier .dll, puis cliquez sur Propriétés.

    2. Cliquez sur l'onglet Sécurité.

    3. Cliquez sur Tout le monde, puis activez la case à cocher Contrôle total dans la colonne Autoriser.

    4. Cliquez sur OK.

  21. Supprimez le fichier .dll référencé correspondant au logiciel malveillant. Par exemple, supprimez le fichier %systemroot%\System32\doieuln.dll.

  22. Activez le service de transfert intelligent en arrière-plan (BITS, Background Intelligent Transfer Service), les mises à jour automatiques, les services de rapport d'erreurs et Windows Defender à l'aide du composant logiciel enfichable Services (services.msc) de la console de gestion Microsoft.

  23. Désactivez l'exécution automatique pour réduire l'effet de toute réinfection. Pour cela, procédez comme suit :

    1. Selon votre système, installez l'une des mises à jour suivantes :

      • Si vous utilisez Windows 2000, Windows XP ou Windows Server 2003, installez la mise à jour 967715.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

        967715 Procédure de désactivation de la fonction d'exécution automatique dans Windows

      • Si vous utilisez Windows Vista ou Windows Server 2008, installez la mise à jour de sécurité 950582.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

        950582MS08-038 : Une vulnérabilité dans l'Explorateur Windows risque de permettre l'exécution de code à distance

      Remarque La mise à jour 967715 et la mise à jour de sécurité 950582 ne concernent pas ce problème de logiciel malveillant. Ces mises à jour doivent être installées pour permettre la fonction de Registre de l'étape 23b.

    2. À l'invite de commandes, tapez la commande suivante :

      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f

  24. Si le système utilise Windows Defender, réactivez l'emplacement de démarrage automatique de Windows Defender. Pour cela, tapez la commande suivante à l'invite de commandes :

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide"/f

  25. Dans le cas de Windows Vista et des systèmes d'exploitation plus récents, le logiciel malveillant désactive le paramètre global de réglage automatique de la fenêtre de réception TCP. Pour le réactiver, tapez la commande suivante à une invite de commande :

    netsh interface tcp set global autotuning=normal

Après cette procédure, si l'ordinateur semble réinfecté, une des conditions suivantes est peut-être vraie :

  • Un des emplacements de démarrage automatique n'a pas été supprimé. Par exemple, la tâche AT n'a pas été supprimée ou un fichier Autorun.inf n'a pas été supprimé.

  • La mise à jour de sécurité pour MS08-067 a été installée de manière incorrecte

Ce logiciel malveillant peut modifier d'autres paramètres non repris dans cet article. Visitez la page Web suivante du Centre de protection contre les programmes malveillants (Microsoft Malware Protection Center, en anglais) pour obtenir les détails les plus récents sur Win32/Conficker :

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Assurez-vous que le système n'est pas infecté

Assurez-vous que les services suivants ont démarré :

  • Mises à jour automatiques (wuauserv)

  • Service de transfert intelligent en arrière-plan (BITS)

  • Windows Defender (windefend) (si applicable)

  • Service de rapport d'erreurs de Windows

Pour ce faire, tapez les commandes suivantes à l'invite de commandes. Appuyez sur ENTRÉE après chaque commande :Sc.exe query wuauservSc.exe query bitsSc.exe query windefendSc.exe query ersvcAprès l'exécution de chaque commande, un message semblable à ce qui suit s'affiche :

SERVICE_NAME: wuauservTYPE : 20 WIN32_SHARE_PROCESSSTATE : 4 RUNNING(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)WIN32_EXIT_CODE : 0 (0x0)SERVICE_EXIT_CODE : 0 (0x0)CHECKPOINT : 0x0WAIT_HINT : 0x0Dans cet exemple, « STATE : 4 RUNNING » indique que le service est actif. Pour vérifier l'état de la sous-clé de Registre SvcHost, procédez comme suit :

  1. Dans l'Éditeur du Registre, recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

  2. Dans le volet des Détails, double-cliquez sur netsvcs, puis passez en revue les noms de service de la liste. Faites défiler la liste vers le bas. Si l'ordinateur est réinfecté avec Conficker, un nom de service aléatoire sera affiché. Par exemple, dans cette procédure, le nom de service du logiciel malveillant est « Iaslogon ».

Si cette procédure ne corrige pas le problème, contactez le fournisseur de votre logiciel antivirus.Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

49500Liste des fournisseurs d'antivirusSi vous n'avez pas de fournisseur de logiciel antivirus ou si votre fournisseur ne peut pas vous aider, contactez les services de Support technique Microsoft pour obtenir une aide complémentaire.

Une fois l'environnement totalement nettoyé

Une fois l'environnement totalement nettoyé, procédez comme suit :

  1. Réactivez le service Serveur et le service Planificateur de tâches.

  2. Restaurez les autorisations par défaut sur la clé de Registre SVCHOST et le dossier Tâches. Les paramètres par défaut doivent être restaurés à l'aide des paramètres de Stratégie de groupe. Si une stratégie est supprimée uniquement, les autorisations par défaut ne peuvent pas être modifiées à nouveau. Consultez le tableau des autorisations par défaut dans la section « Atténuation » pour plus d'informations.

  3. Mettez l'ordinateur à jour en installant toutes les mises à jour de sécurité disponibles. Pour ce faire, utilisez Windows Update, Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) ou votre produit tiers de gestion des mises à jour. Si vous utilisez SMS ou Configuration Manager 2007, vous devez commencer par réactiver le service Serveur. Sinon, SMS ou Configuration Manager 2007 risque de ne pas pouvoir mettre à jour le système.

Identification des systèmes infectés

Si vous avez des difficultés à identifier des systèmes infectés par Conficker, les détails fournis sur le blog TechNet suivant peuvent vous aider :

http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tableau des autorisations par défaut

Le tableau suivant répertorie les autorisations par défaut pour chaque système d'exploitation. Ces autorisations sont en place avant que vous n'appliquiez les modifications que nous vous recommandons de cet article. Ces autorisations peuvent différer des autorisations définies dans votre environnement. Par conséquent, vous devez noter vos paramètres avant d'apporter des modifications. Vous devez le faire pour que vous puissiez restaurer vos paramètres après avoir nettoyé le système.

Système d'exploitation

Windows Server 2008

Windows Vista

Windows Server 2003

Windows XP

Windows 2000

Paramètre

Registre Svchost

Dossier Tâches

Registre Svchost

Dossier Tâches

Registre Svchost

Dossier Tâches

Registre Svchost

Dossier Tâches

Registre Svchost

Dossier Tâches

Compte

Administrateurs (groupe local)

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Système

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Contrôle total

Utilisateurs avec pouvoir (groupe local)

Non applicable

Non applicable

Non applicable

Non applicable

Lecture

Non applicable

Lecture

Non applicable

Lecture

Non applicable

Utilisateurs (groupe local)

Spécial

Non applicable

Spécial

Non applicable

Lecture

Non applicable

Lecture

Non applicable

Lecture

Non applicable

Produits concernés : Cette clé et les sous-clés

Produits concernés : Cette clé et les sous-clés

Retrouver la valeur

Retrouver la valeur

Énumérer les sous-clés

Énumérer les sous-clés

Notifier

Notifier

Contrôle en lecture

Contrôle en lecture

Utilisateurs authentifiés

Non applicable

Spécial

Non applicable

Spécial

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Produits concernés : Ce dossier uniquement

Produits concernés : Ce dossier uniquement

Parcourir le dossier

Parcourir le dossier

Lister le dossier

Lister le dossier

Lire les attributs

Lire les attributs

Lecture des attributs étendus

Lecture des attributs étendus

Créer des fichiers

Créer des fichiers

Autorisations de lecture

Autorisations de lecture

Opérateurs de sauvegarde (groupe local)

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Spécial

Non applicable

Spécial

Produits concernés : Ce dossier uniquement

Produits concernés : Ce dossier uniquement

Parcourir le dossier

Parcourir le dossier

Lister le dossier

Lister le dossier

Lire les attributs

Lire les attributs

Lecture des attributs étendus

Lecture des attributs étendus

Créer des fichiers

Créer des fichiers

Autorisations de lecture

Autorisations de lecture

Tout le monde

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Non applicable

Spécial

Produits concernés : Ce dossier, ces sous-dossiers et fichiers

Parcourir le dossier

Lister le dossier

Lire les attributs

Lecture des attributs étendus

Créer des fichiers

Créer des dossiers

Écrire des attributs

Écrire des attributs étendus

Autorisations de lecture

Aide supplémentaire

Pour obtenir davantage d'aide sur ce problème, si vous vous situez aux États-Unis, vous pouvez entrer en conversation en ligne avec une personne de chez Answer Desk :

Answer Desk

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.