Outil de Microsoft pour le nettoyage des PC infectés
Date : June 17, 2005
Microsoft a proposé ce mois-ci au public un nouvel outil "Malicious Software Removal Tool" (MSRT) permettant de nettoyer les systèmes Windows 2000, 2003 et XP infectés par les "malwares" (et leurs variantes) les plus répandus (selon Microsoft) au moment de sa publication.
Cet outil est disponible via le lien https://www.microsoft.com/fr-fr/download/malicious-software-removal-tool-details.aspx ou via le centre de mise à jour "Windows Update" (pour les utilisateurs Windows XP seulement); il sera mis à jour tous les deuxièmes mardi de chaque mois afin de prendre en compte de nouvelles menaces identifiées par Microsoft.
Chaque version de MSRT est cumulative. Elle prend en compte les nouvelles menaces du mois ainsi que les anciennes précédemment identifiées.
Au mois de janvier, MSRT se proposait de supprimer du système analysé les vers, virus et chevaux de Troie suivants :
- "Berbew" (CERT-IST/AV-2003.229)
- "Blaster" (CERT-IST/AV-2003.257)
- "DoomJuice" (CERT-IST/AV-2004.051)
- "Gaobot" (CERT-IST/AV-2004.094)
- "Mydoom" (CERT-IST/AV-2004.024)
- "Nachi" (CERT-IST/AV-2003.261)
- "Sasser" (CERT-IST/AV-2004.132)
- "Zindos" (CERT-IST/AV-2004.228)
Cet outil ne remplace en aucun cas l'anti-virus car son unique fonction est de nettoyer un système après une infection. Il remplace néanmoins tous les outils de nettoyage préalablement publiés par Microsoft.
Fonctionnement :
L'outil "Malicious Software Removal Tool", se présente sous la forme d'un exécutable, qui doit être lancé à chaque fois que l'on souhaite vérifier l'état d'un système (il ne se comporte pas comme un programme résident).
Cet exécutable, comportant la signature numérique de Microsoft, peut être téléchargé sur le site de Microsoft ou via "Windows Update" pour les utilisateurs de Windows XP. Dans ce dernier cas, l'outil est proposé en tant que mise à jour critique et il est exécuté de manière silencieuse en n'affichant un rapport que si un "malware" ou un problème de fonctionnement a été détecté.
Afin d'être exécuté, MSRT nécessite que l'utilisateur courant appartiennent au groupe des administrateurs du système.
Une fois lancé, il recherche en mémoire les "malwares" identifiés par Microsoft et en arrête les processus actifs. Il supprime également les fichiers et clés de Registre relatifs à ces codes malveillants. Il est à noter que seuls les "malwares" actifs sur le système sont supprimés. Il n'y a pas une analyse de l'intégralité du disque dur.
Une fois l'analyse effectuée, une boite de dialogue (sauf dans le mode silencieux) est affichée. Un rapport est également consigné dans le fichier "Mrt.log" du répertoire "%windir%/debug".
Il est aussi important de noter que lors de la détection d'un "malware" (ou d'un problème de fonctionnement), l'outil envoie à Microsoft un "rapport" concernant la détection. Selon Microsoft, aucune information personnelle n'est envoyée avec ce rapport qui a pour but de suivre le taux d'infections des PC (et de corriger les erreurs de conception).
Le rapport contient :
- Le nom du "malware" détecté,
- Le résultat de la suppression,
- La version du système d'exploitation,
- Les paramètres régionaux du système d'exploitation,
- L'architecture du processeur.
Cependant, il est possible de désactiver le composant qui génère et envoie ce rapport en positionnant la clé de Registre :
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT\DontReportInfectionInformation avec la valeur "1" (type "REG_DWORD").
Nota :
- Si la version de l'outil est périmée depuis plus de 60 jours, un message d'avertissement sera affiché.
- Actuellement, il n'existe pas de moyen pour demander à Microsoft d'inclure la détection d'un nouveau "malware" dans son outil.
Conclusion :
L'outil "Malicious Software Removal Tool" semble principalement dédié à la protection des PC du grand public et des PME/PMI (sources premières des propagations virales et des réseaux de "robots malveillants" - "Botnets").
Pour le monde industriel, il ne propose pas de réelle nouveauté car il n'apporte qu'un support "post-infection" qu'un bon nombre d'éditeurs d'anti-virus proposent également. Il peut cependant être intégré dans le boîte à outils des experts virus pour effectuer des opérations de nettoyage sur des PC suspects.
Pour plus d'information :
- "Malicious Software Removal Tool" : http://www.microsoft.com/security/malwareremove/default.mspx
- Information de la Base de Connaissances de Microsoft : http://support.microsoft.com/?kbid=890830
- Information sur les problèmes d'utilisation de l'outil : http://support.microsoft.com/kb/891717
- Déploiement de l'outil "Malicious Software Removal Tool" en entreprise : http://support.microsoft.com/kb/891716