Procédure à suivre en cas d'infection virale d'une machine

Service disponible pour les étudiants, extérieurs, personnels
Découvrez quels sont les premiers gestes à faire, ainsi que le diagnostic à réaliser pour protéger nos données lorsque l'on est victime d'une infection virale sur un ordinateur.

Les gestes qui sauvent

Débranchez le câble réseau ou coupez l'accès Wi-Fi sans arrêter la machine, sauf dans le cas de rançongiciel (ransomware : personne qui prend votre ordinateur en otage) où une mise en veille de la machine s'impose.

Cette opération est nécessaire pour stopper le phénomène constaté (propagation de ver, backdoor, serveur warez, etc.) et pour analyser les données volatiles (ports et fichiers ouverts, processus lancés, etc.).

Diagnostics

  • Lorsque votre machine appartient au parc de l'Université Grenoble Alpes, les opérations décrites ci-après seront mises en œuvre par un technicien UGA spécialement mandaté pour résoudre l'incident.
  • Si vous travaillez sur un équipement personnel, vous pouvez déployer la même stratégie vous-même pour effectuer un diagnostic.

Toutes les opérations qui suivent se feront sans support réseau.

1. Vérifiez que l'antivirus est à jour.

  • S'il n'est pas à jour, récupérez les dernières données sur un poste qui n'est pas contaminé.

2. Lancer un scan complet de la machine.

  • Il est préférable de garder les résultats du scan, pour remplir la fiche d'incident.
  • Certains virus attaquent l'antivirus, le rendant inopérant ou altérant sa base de signatures, ce qui ne permet plus de détecter les codes malveillants présents sur la machine infectée.
  • Dans ce cas, deux solutions :
  1. Faites un scan en ligne de la machine. Ce qui permet généralement d'identifier le virus en question sans l'éliminer. De nombreux éditeurs d'antivirus proposent cette technique (scan en ligne) et des méthodes pour éradiquer de tels virus. Cette méthode nécessite de reconnecter la machine au réseau risquant d'entraîner la propagation du virus à travers le réseau, il convient d'effectuer cette opération sur un VLAN isolé.
  2. Récupérez un antivirus sur une machine saine, mettez à jour sa base de signatures et installez-le sur un support amovible (clé usb). Ainsi l'analyse de la machine infectée peut se faire avec l'antivirus depuis le support amovible. De nombreux antivirus gratuits (ou non) possèdent des versions portables.

3. Rechercher les logiciels espions (spywares)

Certains de ces logiciels échappent encore aux anti-virus.

L'outil SpyBot - Search & Destroy (1) permet de les détecter et de les supprimer de votre machine.

Lancez SpyBot en mode avancé. Après l'analyse, vous pourrez sélectionner et supprimer les espions. En cas de mauvaise manipulation, il est possible de restaurer les programmes supprimés. Outre l'élimination, SpyBot permet également de prévenir lors d'un éventuel téléchargement des espions sur le net.

Plus d'infos et téléchargement sur le site de safer-networking.org
Mis à jour le  9 novembre 2018