[KB2209] Conficker - Comment se protéger ?

NOTE:

Cette page a été traduite par un ordinateur. Cliquez sur English sous Languages sur cette page pour afficher le texte original. Si vous estimez que quelque chose n'est pas clair, veuillez contacter votre support local.

Problème

Le risque d'exposition à la menace Win32/Conficker est dû à une vulnérabilité du système d'exploitation de Microsoft (Microsoft a publié un correctif pour cette vulnérabilité en octobre 2008). Pour éviter les infections causées par les vulnérabilités du système d'exploitation de Microsoft, assurez-vous que votre ordinateur (et tous les ordinateurs de votre réseau) est toujours à jour avec la dernière mise à jour de Microsoft Windows. Vous trouverez les dernières mises à jour à l'adresse suivante : http://update.microsoft.com/.

Pour vous protéger de Conficker, suivez les instructions étape par étape de cet article. Vous pouvez également cliquer sur le lien approprié ci-dessous pour passer à une section spécifique :

Solution

Prévention des infections

A-Télécharger les correctifs de sécurité de Microsoft
Si vous ne souhaitez pas télécharger toutes les mises à jour de Windows mais que vous voulez vous assurer que vous êtes au moins protégé contre les menaces Win32/Conficker, téléchargez et installez les correctifs(KB958644, KB957097 et KB958687) dans les bulletins de sécurité Microsoft suivants :
B - Désactiver l'exécution automatique et la lecture automatique (Windows XP et Windows Vista)

Vous pouvez désactiver les fonctions Autorun et Autoplay de votre système Windows afin d'empêcher les fabricants de logiciels malveillants d'exploiter ces failles de sécurité. Les clés USB et autres supports amovibles, qui sont accessibles par les fonctionnalités Autorun/Autoplay chaque fois (par défaut) que vous les connectez à votre ordinateur, sont les vecteurs de virus les plus fréquemment utilisés de nos jours.

Microsoft Windows Autorun et Autoplay sont des fonctions qui étaient au départ destinées à simplifier l'exécution du contenu d'un CD en :(i) exécutant automatiquement le fichier Autorun.inf (et les éventuelles instructions malveillantes qu'il contient) - vulnérabilité Autorun(ii) ouvrant une fenêtre pop-up avec les actions disponibles (dont certaines peuvent être des déclencheurs hostiles repris d'un Autorun.inf malveillant) - vulnérabilité Autoplay

Certains termes peuvent différer

Certains termes utilisés dans les étapes ci-dessous peuvent différer légèrement en fonction de votre navigateur.

  1. Si vous souhaitez désactiver Autorun et Autoplay, cliquez avec le bouton droit de la souris sur ce lien pour télécharger le fichier DisableAutorun.reg et sélectionnez Enregistrer le lien sous...
  2. Dans la fenêtre Enregistrer sous, assurez-vous que

    (i) le menu déroulant Enregistrer sous est réglé sur Tous les fichiers ou Entrées d'enregistrement (*.reg) (ou similaire, en fonction de votre navigateur)

    (ii) le champ Nom du fichier contient le nom exact du fichier de registre (c.-à-d. DisableAutorun.reg)
  3. Cliquez sur Enregistrer. Confirmez les éventuelles invites à enregistrer le fichier de registre.
  4. Double-cliquez sur le fichier enregistré et confirmez l'ajout de l'entrée de registre en cliquant sur Oui. Cliquez sur OK pour terminer.
Avertissement

Après avoir importé le fichier téléchargé dans votre registre Windows, tout fichier Autorun.inf sera ignoré par votre système. Bien que cela désactive complètement la fonctionnalité Autorun, la fonction Autoplay continuera à s'afficher, mais exclura les options potentiellement dangereuses d'Autorun.inf. Vous devez garder à l'esprit que ces mesures de sécurité préventives n'éradiquent pas les infections potentielles par des logiciels malveillants. Nous vous recommandons la plus grande prudence lorsque vous ouvrez/exécutez/cliquez sur des fichiers inconnus !

Important

Le fichier téléchargé doit être enregistré sous une extension .reg pour fonctionner correctement. Si le fait de double-cliquer sur le fichier ne fait pas apparaître la fenêtre de dialogue de l 'éditeur de registre , cliquez avec le bouton droit de la souris sur l'icône du fichier, sélectionnez Propriétés et modifiez le nom du fichier dans l'onglet Général afin de vous assurer que les quatre dernières chaînes du nom du fichier sont bien .reg. Confirmez toutes les invites pour enregistrer vos modifications.

REMARQUE

Nous vous recommandons de lire l'article suivant pour plus d'informations sur cette solution.

B2 - Comment réactiver l'exécution automatique et la lecture automatique (Windows XP et Windows Vista)

Si vous devez annuler les modifications que vous avez apportées en suivant les instructions de la section B (ci-dessus), cliquez avec le bouton droit de la souris sur ce lien pour télécharger le fichier ReenableAutorun.reg et répétez les instructions de la section B (ci-dessus), mais utilisez cette fois-ci le fichier ReenableAutorun.reg.

Important

Vous devrez redémarrer votre ordinateur pour que les modifications soient prises en compte.

REMARQUE

Outre le téléchargement et l'installation des derniers correctifs de sécurité, vous pouvez prendre d'autres mesures de précaution pour réduire le risque d'infection. Click here for more strategies to minimize the risk of a malware attack. Si vous êtes administrateur de réseau, click here for steps you can take to minimize the rest of an infection on your network.

Étapes de nettoyage (machine unique)

Si vous rencontrez ou avez rencontré le logiciel malveillant Win32/Conficker, une version entièrement mise à jour d'un produit ESET (version 3.0 ou ultérieure) nettoiera l'infection.
Important

Pour éviter de réinfecter le système d'exploitation, celui-ci doit être correctement patché en utilisant tous les liens de la section A ci-dessus.

  1. Déconnectez l'ordinateur infecté du réseau et de l'internet.

  2. Utilisez un PC non infecté pour télécharger les correctifs Windows respectifs de la section A ci-dessus. Installez tous les correctifs.

  3. Réinitialisez les mots de passe de votre système pour les comptes administrateurs en utilisant des mots de passe plus sophistiqués. Notez que l'infiltration peut se propager par le biais de dossiers partagés.

    (i.) Appuyez sur CTRL+ALT+DELETE, puis cliquez sur Change password... (Modifier le mot de passe).

    (ii.) Tapez votre ancien mot de passe, tapez votre nouveau mot de passe, tapez à nouveau votre nouveau mot de passe pour le confirmer, puis appuyez sur ENTRÉE.

  4. Téléchargez une application ESET unique (toujours sur un PC non infecté) qui supprimera le ver. Si vous n'avez pas installé de produit ESET (3.0 ou version ultérieure), vous pouvez télécharger (en utilisant un PC non infecté) et exécuter notre nettoyeur autonome gratuit :

  5. Téléchargez et installez la dernière version de votre logiciel ESET.

  6. Update your virus signature database.

Pour vérifier que le nettoyeur autonome a supprimé la menace Conficker, exécutez à nouveau le nettoyeur autonome, puis lancez une analyse avec votre produit ESET.

Après avoir exécuté avec succès le nettoyeur autonome ESET, nous vous recommandons de lire l'article Microsoft suivant pour obtenir des informations sur les correctifs de sécurité importants et les changements de groupe recommandés :

REMARQUE

Si le nettoyeur autonome ESET ne supprime pas complètement la menace Conficker, l'article Microsoft ci-dessus contient également des instructions de suppression manuelle de Conficker.

Pour une protection maximale contre les menaces futures, assurez-vous que votre système d'exploitation est patché conformément aux recommandations de Microsoft et que votre produit ESET est à jour.

Important

Pour plus d'informations sur la protection contre le ver Conficker, veuillez vous référer à nos articles de blog ESET.

Étapes de nettoyage (réseau)

Utiliser NMap pour localiser les machines infectées

Si vous soupçonnez une infection par Conficker sur des ordinateurs de votre réseau, vous pouvez utiliser l'utilitaire gratuit NMap pour détecter les clients infectés à l'aide des commandes suivantes :

  • Pour analyser votre réseau: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [réseaux cibles]
  • Pour un scan plus rapide: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [réseaux cibles]
  • Pour une analyse approfondie: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [réseaux cibles]
  1. Si vous ne souhaitez pas télécharger toutes les mises à jour de Windows, mais que vous voulez vous assurer que vous êtes au moins protégé contre les menaces Win32/Conficker, téléchargez et installez les correctifs(KB958644, KB957097 et KB958687) dans les bulletins de sécurité Microsoft suivants sur toutes les machines de votre réseau :
    Les correctifs ne sont pas nécessaires pour Windows 7 et Server 2008

    Les correctifs ci-dessous ne sont pas nécessaires pour Windows 7 ou Server 2008 r2, car l'exploit utilisé par Conficker n'existe pas sur ces systèmes d'exploitation. Cependant, Microsoft Windows Server 2008 nécessite les correctifs ci-dessous .



  2. Installer et mettre à jour une solution de sécurité ESET sur toutes les machines
  3. Modifiez tous les mots de passe du réseau car Conficker utilisera tous les mots de passe qu'il a déjà enregistrés ou qu'il a obtenus par force brute.

  4. Exécutez l'outil ESET Conficker Removal Tool sur chaque machine :

  5. Supprimez toutes les tâches planifiées créées par Win32/Conficker en utilisant la commande suivante sur les clients :

    at /delete /yes

Si les étapes ci-dessus ne permettent pas de résoudre le problème, réinitialisez tous les mots de passe, puis effectuez les étapes suivantes pour identifier les machines qui tentent encore de propager l'infection :

  1. Activez l'audit des événements d'ouverture de session qui ont échoué :

      1. Sur vos contrôleurs de domaine, cliquez sur DémarrerOutils d'administrationStratégie de sécurité du contrôle de domaine.

      1. Naviguez jusqu'à Paramètres de sécuritéStratégies localesPolitique d'auditAudit des événements de connexion.

      1. Assurez-vous que l'option Audit Logon Events est définie pour enregistrer tous les événements de réussite et d'échec.

  2. Surveillez le journal des événements de sécurité sur votre (vos) contrôleur(s) de domaine pour les ID d'événements de 529 (si aucun événement 529 ne se produit, Win32/Conficker utilise des mots de passe administratifs corrects - vos mots de passe devront donc être changés).
  3. Lorsque vous affichez les propriétés de l'événement, vous voyez apparaître un "Nom du poste de travail". Il s'agit du coupable, ou de l'un des coupables, qui tente d'infecter d'autres ordinateurs.
  4. Rendez-vous sur le(s) client(s) identifié(s) et répétez les étapes 1 à 5 ci-dessus.

Après avoir effectué les étapes de nettoyage (réseau) ci-dessus, il convient de modifier à nouveau tous les mots de passe administratifs afin de s'assurer que Conficker ne dispose d'aucun de ces mots de passe. Si Conficker continue d'afficher des menaces après que toutes les machines ont été patchées, il reste une machine non patchée ou ESET n'est pas installé et mis à jour sur une machine.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Dernière mise à jour: 24 févr. 2026

Ressources supplémentaires:

Aide en ligne

Forum ESET

Vidéos de la base de connaissances
ESET Status Portal ESET Technical Support

Client existant?