Enquête sur une infection...

Résolu/Fermé
jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 - 19 janv. 2010 à 23:15
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 - 28 janv. 2010 à 09:34
Bonjour,

Un de mes clients suspecte des employés d'avoir introduit des virus dans son système informatique en connaissance de cause.

Ils envisage d'ailleurs de porter plainte, mais il me demande de lui indiquer à quelle période les virus ont été introduits dans la machine.

Existe-t-il un programme permettant effectivement de trouver ce genre d'information ?
Est-ce possible ?

Je sais comment récupérer des fichiers supprimés, comment récupérer au moins partiellement un disque dur formaté, mais là, je ne vois pas trop, à moins de trouver le ou les fichiers exécutables du virus et d'être capable de les dater, mais je ne fais pas d'illusion.

Et encore, que penser d'un fichier dont la date affichée serait totalement fausse...


Bien cordialement.
Merci pour vos réponses éventuelles.

4 réponses

jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 301
20 janv. 2010 à 04:24
Rebonjour,
En démarrant sur la machine avec un Live-CD Linux, j'ai trouvé plein de petits fichier .exe avec des noms apparemment aléatoires sur la racine.
Je les ai supprimés tout en notant leur date (ls -l redirigé vers un fichier pour avoir une capture d'écran).
-rwxrwxrwx 1 root root 114071 2009-11-19 18:15 0qw6vege.exe
-rwxrwxrwx 1 root root 115016 2009-11-13 18:28 6ruaqx.exe
-rwxrwxrwx 1 root root 116090 2009-11-24 18:39 8xcrbho6.exe
-rwxrwxrwx 1 root root 114180 2009-11-18 18:12 9g86.exe
-rwxrwxrwx 1 root root 57 2010-01-20 01:46 autorun.inf
-rwxrwxrwx 1 root root 114469 2009-11-20 18:35 lphfa.exe
-rwxrwxrwx 1 root root 116090 2009-11-24 18:39 ngp8l.exe
-rwxrwxrwx 1 root root 113508 2009-11-23 18:09 wu1n.exe
-rwxrwxrwx 1 root root 116812 2009-11-12 18:06 yudald.bat
(J'ai retiré de la liste tout ce qui était système, pour info, c'est du Windows XP)

Le fichier .bat de la fin n'est pas un fichier texte, c'est un fichier binaire compilé, donc je suis quasiment certain que c'est un virus également.

Je vais installer un antivirus, mais mon problème n'est pas là.

Mon client voudrait garder des traces de ces infections pour éventuellement qu'elles soient utilisées devant un tribunal.

C'est déliquat, car je ne peux pas mettre les virus dans une éprouvette :-)
Est-ce que le fait de les lister va suffire ?
Je ne suis pas OPJ, donc je ne suis pas sur que ce que je fais aura une valeur...
De plus il n'y a pas mort d'homme, donc je ne sais pas jusqu'où la justice va dans ce type d'affaire.

Si quelqu'un a une expérience dans le domaine.
Merci.
A bientôt.
Jonas


0
fabul Messages postés 35069 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 28 mars 2023 4 835
20 janv. 2010 à 04:28
Salut,si tu peux commencer pas faire une image de la partition avec un logiciel de type Acronis true image ou autre,pour ensuite désinfecter le vrai système et garder le backup comme preuve.

(Backup qui pourrait ètre restauré sur un autre DD) poue faire la preuve.

dans une éprouvette :-)
0
jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 301
20 janv. 2010 à 07:57
Mais oui mais c'est bien sur...
Puisque je boot sur ce système avec un liveCD ou une clé Linux, je vais faire une image disque avec dd.
C'est tellement que je n'y avais pas pensé.

Ensuite, si plainte il y a, que la justice se débrouille avec ça et une petite procédure.

A plus.
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
20 janv. 2010 à 07:59
Salut,
Oui ces exécutables sont bien des virus qui se transmettent pas disques amovibles (clés UBS, disques durs externes, ...)
0
jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 301
28 janv. 2010 à 04:51
Bonjour,
Merci pour vos réponses.
Je vais passer le problème en "résolu".

Bonne journée à tous.
Jonas.
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
28 janv. 2010 à 09:34
A ton service.
Pour info, l'outil qui éradique ce genre d'infection : USBFix.
A+.
0