Hello les forumeurs !
Aujourd'hui, je me suis occcupé d'un petit réseau d'entreprise de 4 ordinateurs, placés derrière un serveur. Les utilisateurs ne pouvaient plus utiliser internet depuis plusireurs jours car, leur provider, enfin l'outil de sécurité Sandbox de ce dernier, a automatiquement placé une redirection directe vers une page indiquant que la ligne a été bloquée car une activité "hostile" a été détectée.
Après une analyse virale grâce à Ultimate Boot CD, j'ai trouvé deux traces de W32/Bugbear.b . Sachant que ce virus est largement connu, qu'il est sorti en 2003, n'est-il pas louche qu'il apparaîsse comme ça?
Pour qu'il ai infecté le réseau de la sorte, soit le virus a été placé quelque part en interne, ce qui est peu probable, soit le serveur est une passoire et un boulet a pu introduire le virus sur le réseau.
Ce n'est pas moi qui m'occupe du réseau normalement, donc je n'avais pas accès au serveur faute de log/pass. Le client a préféré attendre que le technicien habituel rentre de vacances.... le 16 août.
J'ai téléphoné au fournissseur d'accès pour essayer d'en savoir plus sur la raison du blocage, eh bien quelle fût ma surprise. Sur une échelle de gravité de 3 niveaux, le 2ème a été atteint. Si la ligne est réactivée et que mon client émet encore de l'activité suspecte, il sera "blacklisté" et n'aura plus jamais la possibilité d'utiliser les services du fournisseur... Ca ne rigole pas, donc.
Le gars au bout du fil était très surpris, il m'a conseillé de remettre chaque PC du réseau à 0, y compris le serveur pour être sûr d'éradiquer toute trace de cette saloperie. Car si on rate quelque chose, genre un petit virus furtif, bah mon client sera légèrement embêté...
J'ai travaillé le technicien pour qu'il m'en dise plus sur la raison du blocage, il était muet comme une carpe à ce sujet, ou en tout cas il disait ne pas avoir accès à ces informations.
Enfin voilà, j'ai un peu résumé et j'ai omis certains détails. Je ne suis pas un spécialiste des virus et j'aurais voulu avoir l'avis de connaisseurs de ce monde.
J'aurais aussi une question, est-ce que quand un antivirus détecte des traces d'un type de virus, est-ce que c'est forcément sa forme originale, ou ça peut aussi être un virus qui utilise des portions du virus détecté, mais avec des modifications apportées pour qu'il ait des d'autres possibilités d'action.
Merci d'avance pour vos contributions !
Edit : ortho, structure.
Message édité par cleanx le 07-08-2007 à 07:42:52