Nombre d'entre vous me contacte pour me demander conseils de nettoyage pour ce botnet.

Je vous propose donc d'effectuer les procédures suivantes qu'il vous faut suivre scrupuleusement.

1. L'installation du patch est obligatoire sur tous les postes clients et serveurs du réseaux windows (OBLIGATOIRE).

Installer le patch Microsoft ( KB958644 ) disponible sur le lien ci-dessous:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx

2. Il vous faut bloquer temporairement les accès aux périphériques usb de votre réseaux afin d'éviter aux utilisateur de se faire réinfecter en connectant un périphérique disque usb.

Allez dans BitDefender management console, "créer un script WMI" Sélectionner "désactivez la mémoire de masse usb"

3. Modifier la politique "paramètres antivirus", et basculez le niveau de protection par défault en mode PERSONALISE en cochant toutes les options sauf analyse reseau et analyse des archives

Il faut, pour toutes les options en cas de detection malware, passer les actions que BitDefender doit entreprendre en cas de détection, METTRE EN QUARANTAINE

Assurez vous également que les mise à jour antivirus soient à jour la plus récente en appliquant la politique de "demande de mise à jour"

4. Modifier la politique "Politique d'Analyse",

5. Basculez le niveau de protection par défault en mode PERSONNALISE en verifiant si toutes les options sont cochées.

6. Vérifier que dans l'option Analyse sur fichier que l'Analyse tous les fichiers soit cochée .

7. Dans Action d'analyse, positionner toutes les premieres et secondes actions soit programmées en Mise en 40aine

8. Lancer une analyse sur chacun des postes du reseau

9. Si vous avez des OS Microsoft NT ou Windows Seven, même protégés, deconnectez PHYSIQUEMENT ces ordinateurs du réseau, ils sont vulnérables à ce jour, et Microsoft n'a pas encore sorti de hotfix sur la faille décrite sur le KB958644.

10. Si l'infection continue, prendre quelques postes remontés dans la console comme infecté.

10.1 Deconnecter ce poste physiquement du réseau local (retirer la prise réseau)

10.2 Lancer une analyse manuelle sur tout le disque

Si ce poste est contaminé offline, verifiez si le patch Microsoft ( KB958644 ) a ete installe par le biais d'ajout et Suppression de programmes

Si il n'est pas contaminé, refaire la procédure du point 10 sur quelques postes et / ou serveur. Cela implique qu'un des postes ou serveurs de votre réseau est encore contaminé et ne possède pas le patch Microsoft.

Si il est contaminé (offline), il vous faudra alors IMPERATIVEMENT le déconnecter physiquement (retirer la prise RJ45)

Il faut le patcher et l'eradiquer avec BitDefender.

Nota : Tant que ce poste n'est pas patché et que l'antivirus n'a pas fini son analyse, ne pas le reconnecter sur le réseau.

Si l'infection continue, cela implique qu'un des postes ou serveurs de votre réseau est encore contaminé et ne possède pas le patch Microsoft.

Il vous faudra le(s) trouver et appliquer la procédure à partir du point 10

CONCLUSION : Ce type d'infection représente un travail fastidieux à la désinfection. Appliquez les procédures à la lettre, et vous gangnerez votre temps.

Bon courage