Auteur(s) : Jesses Création : jjmmaaaa Mise à jour : jjmmaaaa

 

Serflog
Alias Bropa, Sumon, Crog, Fasto

C'est un ver qui se propage par les réseaux P2P et MSN Messenger.
Vous risquez d'en être la victime si vous constatez les effets suivants :
- Vous ne pouvez plus lancer les logiciels de sécurité connus, leur fenêtre se ferme aussitôt.
- Vous ne pourrez plus lancer la restauration système, elle est désactivée.
- Vous ne pourrez plus régler l'affichage des fichiers et dossiers (options des dossiers).
- Vous ne pourrez plus charger les mises à jour critiques (WindowsUpdate).
- Votre antivirus et votre pare-feu sont stoppés (leurs processus sont terminés par le nuisible).
- Vous ne pouvez plus vous connecter aux sites de sécurité (scan en ligne par exemple).
Vous vous retrouverez à chaque fois sur un autre site (par exemple celui de la BBC qui n'y est pour rien).
Ce qu'il fait d'autre :
- Supprime des clés relatives à votre antivirus dans la base de registre.
- Abaisse la sécurité de MSN Messenger et envoie des copies de lui-même à tous les contacts MSN.
- Se copie sur votre disque dur dans des dossiers qui sont habituellement utilisés par les logiciels de P2P.
- Va installer des tas de fichiers à différents endroits sur votre disque dur.

Impressionnant non ?
Et pourtant ! Ce nuisible a été élaboré par un tâcheron qui n'a fait qu'accumuler des trucs classiques archi-connus. Il ne mérite même pas le soupçon d'admiration que l'on peut quelques fois éprouver devant une astuce originale. Disons que c'est une compil sans génie.

Les références

Symantec (Norton) reconnait trois variantes A, B et C :

W32.Serflog.A -> http://www.symantec.com/fr/ca/security_response/writeup.jsp?docid=2005-030709-3841-99

W32.Serflog.B -> http://www.symantec.com/fr/ca/security_response/writeup.jsp?docid=2005-030723-2605-99

W32.Serflog.C -> http://www.symantec.com/fr/ca/security_response/writeup.jsp?docid=2005-031500-0556-99

L'outil de suppression Symantec (page d'explication en français) :
http://www.symantec.com/fr/ca/security_response/writeup.jsp?docid=2005-031816-0538-99
Cet outil indique nettoyer les variantes A et C.

Ses alias (dénominations utilisées par différents éditeurs d'antivirus ) :
W32.Serflog.A [Symantec], Win32.Bropia.U [Computer Associates], Sumom.A [F-Secure],
IM-Worm.Win32.Sumom.a [Kaspersky Lab], W32/Crog.worm [McAfee], W32/Sumom-A [Sophos],
WORM_FATSO.A [Trend Micro]

Le nettoyage

Symantec fournit un outil gratuit de nettoyage. Le problème va être de se connecter au site de téléchargement.

1- Placez-vous hors connextion

Fermez toute fenêtre de votre navigateur (Internet Explorer, Firefox,...) et placez-vous hors connexion.

2 - Levez le blocage d'accès aux sites de sécurité.

Le nuisible a trafiqué votre fichier hosts pour interdire l'accès aux sites qui le dérangent.
Utilisez le poste de travail ou l'Explorateur Windows (ce que vous utilisez habituellement pour visiter vos fichiers).

Ouvrez le dossier suivant :

Windows XP -> C:\WINDOWS\system32\drivers\etc\
Windows Me et 98 -> C:\WINDOWS\

Recherchez le fichier dont le nom est "hosts" sans aucune extension.

Ne le confondez pas avec les fichiers "hosts.sam" (extension ".sam"), "hosts.bak" (extension ".bak"), "lmhosts", "lmhosts.sam" qui pourraient se trouver dans le même dossier.
Si vous avez un doute, clic bouton droit sur le fichier -> "Propriétés". Vous ne devez voir indiqué ni "Fichier SAM", ni fichier "BAK" mais seulement "Fichier". Vous l'avez trouvé ? On continue.

Renommez le fichier hosts

Clic bouton droit sur le fichier -> "Renommer"
Tapez son nouveau nom : hosts.txt
Windows risque de vous alerter comme à chaque fois que l'on modifie l'extension d'un fichier. Si c'est le cas, confirmez.
Le fait de renommer ce fichier en hosts.txt va le désactiver puisque Windows s'attend à trouver un fichier "hosts" sans extension.

3 - Chargez l'outil de nettoyage

Vous devez avoir retrouvé la possibilité de connexion aux sites de sécurité.
Connectez-vous et ouvrez votre navigateur Internet.
Dans la barre d'adresse, tapez (ou cliquez sur ce lien) :
http://securityresponse.symantec.com/avcenter/FixSflog.exe
Ceci vous permet de charger le fichier "FixSflog.exe" sur votre disque dur.

Placez-le dans le dossier de votre choix, sur le bureau si cela vous fait plaisir.
L'essentiel est de savoir le retrouver.

4 - Lancez l'outil en mode sans-échec

Redémarrez en mode sans-échec.
Je sais bien que le nuisible est également actif dans ce mode. Mais cela permet de ne pas être gêné par des processus résidents.

Allez rechercher le fichier "FixSflog.exe" que vous venez de charger et double-cliquez dessus pour le lancer.
Laissez-le travailler.
Soyez patient(e), il va scanner tous vos disques durs.
Vous pouvez suivre l'avancement de son travail.

Quand il a terminé, vous pouvez voir ce qu'il a fait en cliquant sur le bouton "Log".
Il a en effet généré un fichier rapport "FixSflog.log" dans le dossier où se trouve le fichier "FixSflog.exe"
J'ai eu l'occasion de voir le résultat du nettoyage, je n'aurai pas fait mieux à la main.

5 - Redémarrez Windows.

Il se lancera en mode normal sans intervention de votre part.

6 - Réglez l'affichage des extensions.

Cela vous évitera de confondre les fichiers "FixSflog.exe" et "FixSflog.log" ainsi que les fichiers hosts.

Ouvrez le poste de travail ou l'Explorateur Windows.
Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".
Dans le cadre "Paramètres avancés" : décochez "Masquer les extensions des fichiers dont le type est connu". Puis cliquez sur le bouton OK.
Ceci est un bon test, puisque l'accès à ce réglage était interdit par le nuisible.
Conservez ce réglage, il n'y a aucune raison valable pour cacher les extensions de fichiers.

7 - Relancez l'outil de nettoyage.

Double-cliquez simplement sur le fichier "FixSflog.exe"
Si tout se passe bien, il devrait vous afficher en fin de scan :
"W32.Serflog has not been found on your computer." (W32.Serflog n'a pas été trouvé sur votre ordinateur).

8 - Nettoyez le fichier hosts

Si vous vous en souvenez, vous l'aviez renommé en hosts.txt.
Recherchez ce fichier et double-cliquez dessus. Il va s'ouvrir dans le bloc-notes.

Ce que vous allez y voir peut ressembler à ceci :

127.0.0.1 localhost
212.58.240.33 www.symantec.com
212.58.240.33 www.sophos.com
212.58.240.33 www.mcafee.com
212.58.240.33 www.viruslist.com
212.58.240.33 www.f-secure.com
212.58.240.33 www.avp.com
212.58.240.33 www.kaspersky.com

Clic bouton droit dans la fenêtre d'édition -> "Sélectionner tout" ou Menu "Edition" -> "Sélectionner tout"
Une fois que tout est sélectionné (surligné de bleu) :
Clic bouton droit -> "Supprimer" ou touche [Suppr] du clavier ou Menu "Edition" -> "Supprimer"
Votre fichier doit être maintenant vide.

Tapez exactement la ligne (attention à l'espace entre l'adresse IP et "localhost") :
127.0.0.1 localhost
Suivi d'un appui sur la touche [Entrée] du clavier.

Sauvegardez votre fichier : Menu "Fichier" -> "Enregistrer".
Fermez le bloc-notes.

9 - Réactivez votre fichier hosts

Utilisez le poste de travail ou l'Explorateur Windows pour rechercher votre fichier hosts.txt

Clic bouton droit -> "Renommer"
Renommez-le en "hosts" sans extension (et bien sûr sans les guillemets).
Windows va sûrement vous alerter comme à chaque fois que l'on modifie l'extension d'un fichier. Confirmez bien sûr.

10 - Occupez vous de vos logiciels de sécurité.

Essayez de mettre à jour votre antivirus (pour Norton, c'est LiveUpdate).

Testez-le (lancez un scan).

Comme le nuisible a pris un malin plaisir à supprimer des clés et valeurs relatives à votre antivirus dans la base de registre, il se peut que vous soyez obligé de le réinstaller.
Idem pour votre pare-feu.

Une remarque

Vous n'auriez jamais dû attraper cette bestiole si vous avez un antivirus performant et maintenu à jour.
Méfiez-vous de MSN Messenger et du P2P si vous pratiquez.

Assurez-vous que votre antivirus veille et est correctement règlé.

 

Jesses Entraide. Création 03/2005