Stopper une infection virale via le réseau

Tu copies, copies, copies jusqu'au bout de la nuit !

Lors d'une LAN'Party, de nombreux joueurs s'adonnent à des téléchargements de dizaines de gigaoctets à travers le réseau en profitant d'une vitesse tant rêvée de l'ordre de 100 à 1000 Mbits. Certains achètent même un disque dur exprès pour l'occasion.

Malheureusement dans une LAN on trouve pas mal de profils de joueurs différents en allant de celui le plus honnête qui soit qui achète tous ses jeux à celui qui passe ses soirées entières à pomper comme un porc sur KaZaa & Cie, ce qui donne lieu à des infections virales sur le PC du joueur.

Alerte rouge : nos lignes sont percées camarade !!

Alors justement au niveau des antivirus, ces joueurs utilisent des versions honteusement pompées du net et donc utilisent des clés de licence librement distribuées sur la toile. Le bémol c'est que l'éditeur repère les produits qui se connectent avec plusieurs fois la même clé sur des ordinateurs différents et par conséquent, ajoute ces clés frauduleuses en liste noire afin d'empêcher la mise à jour, voire de bloquer le produit. Je ne vous parle même pas des virus qui sont assez évolués pour désactiver l'antivirus par leurs propres moyens (sous Windows XP suffit de désactiver quelques services et supprimer quelques clés du Registre pour condamner leur exécution au démarrage). Ils ont donc beau dire qu'ils ont un antivirus, mais son efficacité n'est plus garantie.

Vassily !! Ils continuent d'attaquer !!

La transmission du virus sur le réseau est possible de façon active ou passive. Je m'explique :

• Transmission active : le virus recherche lui-même les partages Windows activés en écriture sur le réseau (donc il a les droits d'écriture sur un autre PC, utile pour se copier). Sinon d'autres virus plus évolués scannent le réseau (donc en réseau local c'est très rapide) à la recherche de failles NetBIOS et IPC. Ce sont les 2 failles réseaux que je connaisse qui permettent d'accéder aux partages administratifs en passant outre la protection login/mot de passe. Prenez garde surtout à la faille IPC, la plus dangereuse, car elle laisse l'accès au contrôle du système au lieu d'accéder juste aux données comme dans les partages, donc le virus peut se démarrer à chaque boot du système infecté.
• Transmission passive : ici c'est le virus qui se fait véhiculer par l'action de l'utilisateur en transférant lui-même des fichiers infectés (à son insu). Il peut se cacher dans tous les types de fichiers (suffit de renommer un fichier exécutable en fichier vidéo), donc informez les joueurs du risque encouru.

Ici votre premier réflexe c'est bien sûr de stopper cette propagation .

Dès que vous sentez une agitation autour de quelques PCs et des plaintes concernant l'antivirus qui commence à s'exciter sur chaque PC, vous devez débrancher électriquement les switchs qui relient les joueurs entre eux afin de condamner le réseau et la propagation par la même occasion.

Si vous avez branché les switchs sur le même circuit électrique, coupez carrément le disjoncteur du circuit concerné, ça vous évite de vous énerver avec un câble d'alim qui résiste au débranchement . Mais pour l'amour du ciel, faites que TOUS LES SWITCHS SOIENT DEBRANCHES ! Plus un seul doit être allumé.

Il est totalement inutile de débrancher uniquement la tête de réseau, car le virus peut toujours se propager sur le switch à proximité sans forcément atteindre l'autre bout de la salle, donc il est encore nocif sur les PCs voisins, voyez. Par conséquent faites comme moi : soyez dur et fort et débranchez tous les switchs pour vous assurer que la propagation soit stoppée (sinon un PC fraichement désinfecté peut être recontaminé et vive le cercle vicieux).


Pendant ce temps, chargez un autre organisateur d'afficher un message sur grand écran avec PowerPoint pour les alerter (si vous avez un microphone c'est encore mieux ). Vous devez également les prévenir que des organisateurs vont passer sur TOUS les ordinateurs afin de passer des scans antivirus avec leurs propres outils. Rassurez les que les tournois sont justes suspendus et reprendront dès que le scan sera fini sur TOUS LES POSTES (y compris sur les vôtres et les serveurs).

Maintenant que le réseau est parfaitement coupé, nous pouvons commencer la grande opération de désinfection.

Déblayez le terrain avec Stinger (télécharger)

Stinger est un petit antivirus développé par l'éditeur McAfee. Il est très puissant au niveau de la vitesse de l'analyse des fichiers, donc vous l'aurez compris : c'est un outil très précieux à utiliser durant un accident de LAN . De plus il ne nécessite pas d'installation, donc vous pouvez intervenir très rapidement sur l'ensemble des postes. Bien, maintenant que les présentations sont faites, je vous invite à lancer le logiciel.
Alors Stinger n'est pas un antivirus grand public hein, ça il faut l'avoir à l'esprit. Il est uniquement utilisé en guise d'outil d'analyse afin de désinfecter rapidement un PC contaminé (m'enfin si vous souhaitez installer un antivirus grand public sur chaque PC, faire sa mise à jour et configurer le scan, je ne vous retiens pas mais c'est une grosse perte de temps et donc c'est hyper méga négatif sur votre LAN ). Il peut paraître simpliste, mais il est très puissant et croyez moi ce logiciel m'a maintes fois sauvé la vie .

L'interface de Stinger

Bon première chose : on ne se moque pas de l'interface très ... comment dire ça ... pauvre .



Tout d'abord, vous avez par défaut un lecteur sélectionné pour l'analyse qui est le célèbre C:\ (qui accueille votre système d'exploitation chéri ). Ce serait dommage de scanner que le disque dur primaire alors que le virus pourrait bien se trouver sur d'autres lecteurs vous ne trouvez pas ?


Bah ouaip, c'est pour ça, les virus dans une LAN sont de vrais saloperies (désolé pour ce terme quelque peu vulgaire, mais bon vous n'aimeriez pas en avoir vous ? ), ça se développe partout ces bestioles . Donc autant prendre les devants et scanner tous les lecteurs disponibles sur le PC (vous pouvez voir cela dans le Poste de Travail).

Pour rajouter des lecteurs à la liste, rien de plus simple vous cliquez sur "Add" (Ajouter en anglais) et vous tapez le chemin du lecteur, enfin vous validez votre saisie. Assurez-vous que tous les lecteurs sont présents sur le PC et dirigez-vous vers "Preferences" pour régler notre outil.

Les préférences de Stinger

Maintenant il s'agit de faire un scan très minutieux, alors autant bien régler notre logiciel . Ci-dessus vous avez la fenêtre des préférences avec les choix par défaut. Je vous conseille vivement de cocher également les options entourées en rouge, dont voici l'explication :

• Report applications : active la vérification des applications et si elles sont saines (ou non ).
• Boot sectors : cette option active la vérification de la table de partition ainsi que du secteur de démarrage afin d'être sur que le virus ne se lance pas au démarrage de l'ordinateur (après le BIOS et avant Windows).
• DELETE : supprime purement et simplement les fichiers infectés. Il est préférable de les supprimer directement, car la réparation peut échouer mais le risque est trop grand alors pour que le réseau soit de nouveau réinfecté.

C'est bon, vous avez compris ? Bah il ne vous reste plus qu'à valider, à lancer l'analyse et vous souhaiter bon courage . Je vous conseille de recommencer l'opération sur le poste voisin même si le scan est encore en cours, ça vous fera gagner du temps. De plus il est préférable que d'autres organisateurs vous aident à scanner par rangées soit en commençant de l'autre côté du rectangle .