Comment gâcher 1 dimanche avec son antivirus…

Ce week-end, il m’est arrivé une triste histoire… mon antivirus préféré a décrété que nombre de mes fichiers étaient vérolés par un cheval de troie, et les a donc tous déplacés en quarantaine… Malheureusement, après vérification, ce n’était pas vrai, et j’ai du les replacer un par un à leur emplacement d’origine, à la main, après contrôle du MD5/SHA1 à l’aide d’une sauvegarde et/ou du re-téléchargement du ou des fichiers incriminés à partir de leurs sources certifiées.

En fait, ce qui m’a mis la puce à l’oreille, c’est que beaucoup de ces fichiers étaient signalés par ClamAv comme incluant un cheval de troie, toujours le même… Mais comme certains d’entre eux étant des exécutables StongARM (plateforme PocketPC), cela m’a semblé cocasse. De même, venant d’acquérir un outil spécial réservé aux experts en forensics et non disponible sur le Net, qui était mentionné comme comportant ce même cheval de troie, je trouvais cela un peu fort, surtout après vérification du SHA-1auprès de son concepteur… Un coup de VirusTotal sur quelques fichiers au hasard m’a fixé : de chevaux, que nenni !

Reste à comprendre ce qui s’est passé, et pourquoi la dernière version de ClamAv avec les dernières signatures s’est emballé en prenant pour des cadeaux Grecs ce qui n’étaient que de simples exécutables tout à fait légitimes…

Je suppose que le problème est dû à un malware qui se serait déclenché sur ma machine par erreur. Par erreur ? Et oui, cela arrive. En bon professionnel de la sécurité, je conserve de temps à autres quelques échantillons, et suis régulièrement amené à en exécuter dans des environnements confinés (VMware par exemple). Mais il arrive très rarement que ces échantillons me soient remis dans de mauvaises conditions, ou que, par inattention, je me retrouve ennuyé comme ce week-end.

En général, lorsque l’on me confie une clef USB, je suis assez paranoïaque, et lance la machine VMware dédiée aux tests de malware, qui intercepte automatiquement le contenu de la clef lorsque je l’insère dans le PC. Tout cela se passe très bien, et je suis satisfait du mécanisme qui empêche aux éventuelles cochonneries d’atterrir sur mon « vrai » environnement de travail.

Le souci, est que je me suis cette fois-ci retrouvé avec une archive .zip contenant une bonne centaine de fichiers vérolés, que je n’ai pas pris la peine de lancer ma VM pour m’assurer de l’innocuité de la chose, que mon antispyware (pourtant acheté en bundle avec mon pare-feu personnel, mais tout pourri, je ne renouvellerai pas la licence !) n’a rien détecté du tout, et enfin que je n’aurai jamais, mais alors jamais dû prendre pour argent comptant que les fichiers qui m’étaient remis étaient sains…

Une clef USB trimbalée pendant un an par des étudiants, voyez-vous ! Forcément… Mon collègue et associé a bêtement inséré cette clef sur son PC afin de leur remettre les fichiers du cours, mais s’est fait infecter, et m’a refilé à son tour la clef maudite. Comme je croyais que les fichiers venaient de son PC, et qu’ils avaient été vérifiés, je n’ai pas pris la peine de vérifier à mon tour.

Le mal n’a pas été très grand au début. ClamAv n’a d’ailleurs rien vu de bien extraordinaire, juste un mystérieux fichier autorun.inf qui se créait sur tout média amovible ou non. Comme cela m’arrive parfois comme je l’expliquais plus haut, en 5 minutes avec mes outils, l’affaire était réglée et mon PC remis au propre. Reste que je n’avais pas tout nettoyé, je m’en suis rendu compte ce week-end, lorsque j’ai inséré une autre clef USB (personnelle, cette fois-ci) qui avait été touchée par l’infection mais que je n’avais pas pensé à nettoyer. Et donc, rebelotte…

Intéressant, cet effet de bord : Une fois la cochonnerie en mémoire, il en a profité pour corrompre le fonctionnement de ClamAV qui s’est mis à trouver plein de virus partout ! D’où ma détresse. Heureusement, et une fois n’est pas coutume la loi de Murphy ne s’étant pas totalement appliquée, j’avais fait une sauvegarde intégrale de mon disque comme chaque début de mois, donc avant que ma foutue clef USB ne revienne semer la pagaille, ce qui m’a permis de m’y retrouver mieux.

Il n’empêche que l’anecdote me permet de conclure en affirmant les choses suivantes :

  1. Méfiez-vous des clefs USB,
  2. surtout si elles proviennent d’étudiants/écoles/enseignants,
  3. et même si ce sont des experts en sécurité qui vous les transmettent.
  4. Ne faites pas confiance dans les anti-spywares, surtout celui que je viens de nommer !
  5. Quand vous paramétrez un antivirus pour la mise en quarantaine, assurez-vous que l’on peut revenir en arrière de manière automatique !!!! (presque 1 journée perdue pour reprendre les quelque 250 fichiers un par un, les tester et les replacer au bons endroits, ggrr)
  6. Faites des sauvegardes !

Je ne m’en suis au final pas mal sorti, heureusement ;)

9 Comments »

Bruno Kerouanton on juillet 6th 2008 in IT Security

9 Responses to “Comment gâcher 1 dimanche avec son antivirus…”

  1. ITI responded on 08 juil 2008 at 9:11 #

    Mon avis sur cette (triste) expérience (j’en fais régulièrement au boulot comme à la maison) :
    - les faux positifs existent, j’en ai déjà vu …! :)
    - la VM pour TOUT nouveau média, même considéré comme venant s’une source sûre et fiable, est une bonne technique
    - l’utilisation de plus d’un AV (quitte à lancer le second manuellement pour lever le doute par rapport à l’AV « par défaut ») est indispensable de nos jours. En effet, les éditeurs, si performants soient-ils, sont souvent soit paranos (et trouvent n’importe quoi là où il n’y a rien), soit laxistes dans leurs MAJ (et laissent passer n’importe quoi).
    - un outil de contrôle de checksum pour surveiller l’intégrité des fichiers « sensibles » est un plus dans la recherche de Δώρο δηλητηριασμένο (cadeaux empoisonnés, en grec)
    - un outil de surveillance de spywares est moins utile qu’un logiciel de surveillance de registry et de kernel (genre Scotty ou JV16).
    Bienvenue du coté glauque du Net, Luke… :D

  2. ITI responded on 08 juil 2008 at 9:12 #

    Pis faut jamais, jamais travailler le Dimanche, c’est pô bon…. :D

  3. Bruno Kerouanton responded on 08 juil 2008 at 11:43 #

    On fait ce qu’on peut… héhé !

  4. marc responded on 09 juil 2008 at 9:19 #

    « des cadeaux grecs »… que voilà une belle expression. JME ajouterais sans le moindre doute timeo danao et dona ferentes » :-) ca s’impose !

  5. Bruno Kerouanton responded on 09 juil 2008 at 14:32 #

    Tiens Marc, ça fait plaisir de te relire ;) Il faudra que tu nous donne un nouveau lien vers tes textes… car si ton nom figure bien parmi les liens favoris sur mon site, il ne pointe plus du tout vers tes rubriques… ! Bon été.

  6. ITI responded on 09 juil 2008 at 14:52 #

    génie_des_alpages@genepi&armoises.org ????

    je file loin…….. :)

  7. miib responded on 09 juil 2008 at 14:58 #

    Le virus dont tu ne te débarrasseras jamais est bien celui du travail même si je connais un anti-virus féminin qui essaye régulièrement de te désinfecter ;-)

  8. marc responded on 10 juil 2008 at 13:13 #

    Nous sommes en train de travailler d’arrache-pied (une variété d’arrache clou destinée aux personnes qui adorent casser les pieds de leurs contemporains) sur la partie « hach’chteumeuleu » de la chose… sans oublier quelques sombres turpidudes administratives liées à la création d’entreprise. Nous jurons de crier haut et fort les URL adéquates dès que notre cher Webmestre a achevé son travail et mis le feu aux tuyères de ses serveurs.

    Pour l’heure, nous écrivons pour « alimenter les boites à calibrer les textes »… J’espère que vous avez tous vu la promesse de Joanna pour la prochaine BH… Subverting Xen for fun and profit…

    Nous retournons à nos chères études.
    Marc et la correctrice-des-notes-de-la-correctrice

  9. kirikou responded on 12 juil 2008 at 14:11 #

    Moi j’adore l’image du début. J’en ai vu des co(cho)neries en sécurité, et en univers geekikiques, mais là, ca ma vraiment fais sourire ;-)

    Tres bon blog. Keep the good work up.

Trackback URI | Comments RSS

Laisser un commentaire