Hello,
Comme j’ai pas de blog, je vais poster ici, les modos vont adorer… Non, sérieusement c’est une information que je pense très utile, et que j’ai eu un mal fou à réunir, je pense que ça pourrait servir à d’autres.
LE PROBLEME
Le virus Bagle.HR est une belle merde, non seulement il n’est détecté que par très peu d’antivirus (j’ai passé le fichier hôte dans VirusTotal, c’était pas la gloire), mais en plus c’est un rootkit (il se cache très bien), il s’attaque direct aux antivirus qu’il trouve (les bute tous, et empêche de les réinstaller), est un downloader (il va chercher d’autres trucs sur internet et vous les installe, moi je n’ai eu droit qu’à des adwares (pub)), et un mailer avec son propre moteur smtp (il se renvoie par mail sans besoin d’infecter un client), et il vous nique le safeboot aussi, et s’intalle comme service NT (caché lui aussi).
Je n’ai trouvé nulle part une méthode qui permette de s’en débarrasser, j’ai dû trouver moi-même à coups de tâtonnement et d’observation (merci SysInternals), je suis vraiment surpuissant.
LA SOLUTION
Grâce à votre CD de XP, vous allez pouvoir booter en mode “Recovery Console”. Malheureusement n°1 le mode RC est très limité par défaut, on n’a accès qu’à certains répertoires, et pas celui dont on a besoin. Malheureusement n°2, vous êtes honnêtes et avez acheté XP Home au lieu de pirater XP pro, donc vous n’avez pas d’accès à un tool de gestion des droits de groupe pour débloquer ça.
Alors, va falloir y aller via “regedit”, tapez cette commande dans “executer” du menu démarrer, ça vous ouvre l’éditeur de base de registre, ça ressemble à un explorer. Ensuite, cherchez le chemin suivant : “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole”. Là-dedans, y’a deux éléments, qui sont par défaut à 0. Il est nécessaire de changer la valeur de “SetCommand”, et de la mettre à 1. Eventuellement, vous pouvez mettre “SecurityLevel” à 1 aussi, ça vous évitera de taper le mot de passe en mode RC (ne faites pas ça si vous pensez que des gens mal intentionnés pourraient avoir un accès physique à votre ordinateur).
Voilà, redémarrez avec le CD de XP dans le lecteur, et réglez votre BIOS pour booter dessus si besoin. Hop le bidule démarre, si vous avez un RAID n’oubliez pas de taper F6 pour charger le driver. Ensuite, choisissez R pour réparer votre XP avec la RC. Tapez le mot de passe admin (ou pas, si vous avez changé le truc dans la registry), et voilà vous avez votre prompt C:\WINDOWS ou n’importe quoi d’équivalent.
Tapez “Set AllowAllPaths = TRUE”, cela vous donnera accès à tout le disque dur (c’est à ça que ça sert de mettre la clé “SetCommand” à 1).
Ensuite, à coups de CD, allez dans le répertoire “C:\Documents and Settings<utilisateur>\Application Data” ou équivalent ( est votre utilisateur principal et/ou celui qui a était loggé quand vous avez chopé Bagle.HR).
Faites un DIR, et constatez qu’il y a un répertoire “hidires” (que vous n’auriez jamais pu voir en temps normal, rootkit powah). Butez-le, càd “delete hidires” et puis “rmdir hidires”. Et voilà, vous pouvez redémarrer en mode normal, le virus est mort.
Une dernière chose, cette saleté vous a buté le mode sans échec (si vous essayez, ça reboot). Pour ça, allez voir sur ce blog, téléchargez et exécuter le petit fichier REG proposé. Ca va restaurer les clés détruites par le virus. Chez moi, ça marche, et plein de gens confirment.
Voilà, il ne vous reste plus qu’à réinstaller vos antivirus, firewall, anti-spywares, etc. qui se sont fait démolir par bagle.