Forums Zebulon.fr: Procédure de fourniture d'aide sur ce sous-forum - Forums Zebulon.fr

Procédure de fourniture d'aide sur ce sous-forum

Bonjour,

Ceci est une procédure indiquant ce qui est permis/souhaitable et ce qui ne l'est pas pour des membres ayant l'intention d'apporter leur l'aide dans ce sous forum "Analyses et éradication malwares" de Zebulon.
Ce premier post est un sommaire reprenant de manière raccourcie ce qui est à savoir et à respecter : les posts suivants fournissent des explications détaillées.
Les lignes de ce premier post seront modifiées de manière à garder ce message clair et complet (sans avoir à parcourir différents posts avec une version initiale et ses additifs)



Intervenir pour nettoyer le système infecté d'un internaute correspond à des modifications techniques importantes et risquées et nécessite :

• un ensemble de connaissances : du système (y compris les duplications, sauvegardes et caches), des malwares (leurs variantes, les fichiers concernés), des outils à employer (système ou antimalware y compris leurs défauts et inconvénients)
  
• de prendre garde à ne pas lui faire courir de danger (fonction de sa maîtrise du système et du détail des instructions fournies)
  
• de ne pas aggraver la situation (certains outils sont très puissants voire dangereux)
  
• le souci de respecter les habitudes de travail (son besoin de conserver certains modules correspondant à un niveau de confort -assistants-)
  
• le souci de répondre à son besoin et pas au nôtre (ne pas prendre la décision d'une "optimisation" qui nous conviendrait à nous seuls)
  
• néanmoins, le besoin de poursuivre le nettoyage par la mise/remise en place des protections et la nécessité d'enseigner les bonnes pratiques et d'informer son entourage pour diffuser au moins les bons réflexes.

On le voit déjà, intervenir sur le système infecté d'un internaute nécessite une bonne expérience et est loin de l'accumulation de scans et nettoyages avec improvisations fantaisistes.

Les lignes et posts ci-dessous tentent d'apporter les éléments destinés à expliquer les points précédents et à justifier les consignes ci-dessous.

Ces lignes, condensé des consignes, sont empruntés à Tom's Guide / IDN-Infos-Du-Net (avec leur autorisation) :

Citation

Version brouillon d'instructions additionnelles qui seront mises en forme :

Citation

Comme évoqué, ce message est complété de manière à être plus clair, plus précis et plus complet en parlant notamment de :

• Les groupes "Equipe Sécurité" et "Junior-Sécu"
  
• En quoi un membre des groupes "Equipe Sécurité" et "Junior-Sécu" est-il plus qualifié, plus apte ?
  
• Pourquoi The Avenger, ComboFix et quelques autres outils sont-ils spéciaux ?
  
• Nos méthodes (en cours de rédaction)
  
• L'organisation de Zeb'Sécu
  
• Un peu de formation pour tous les internautes (Bibliothèque)
  
• L'Espace Sécurité de Zebulon - pourquoi un forum privé ? (à rédiger)
  
• L'Espace Sécurité de Zebulon - comment y accéder ? (à rédiger)

Citation

@ bientôt !

Citation

Si vous examinez les discussions des forums sécurité de Zebulon, vous avez pu remarquer des membres de groupes "Equipe Sécurité" ou "Junior-Sécu" !

Il s'agit de membres d'un forum à accès restreint appelé "Espace Sécurité", dont les "missions" sont :

• Accroître notre niveau de compétence ; tenir notre rang en participant au plus haut niveau et être capable de rendre ce que nous recevons
  
• Nettoyer les systèmes francophones de manière à ne pas polluer le monde entier ; faire diminuer les chiffres désobligeants des infections Fr (dans les 2 sens : les ordinateurs Fr infectés et les infections venant des pays Fr)
  
• Oeuvrer pour une bonne prévention dans la population francophone sans jamais oublier nos cibles : les pirates pour les contrer et les pourchasser, les internautes pour les aider à surfer en sécurité !

Pour ce faire, quelques moyens :

• constituer un lieu d'échange pour les contributeurs de Zeb' Sécu afin d'apprendre ensemble, nous améliorer, élever le niveau des francophones ; faire de même avec les contributeurs sécurité "aware" d'autres forums Fr
  
• mettre en place un centre de formation, y compris des futurs intervenants
  
• diffuser les notions de sécurité antimalware sur tous les forums publics francophones et à destination de tout internaute francophone
  
• établir et entretenir des contacts avec la communauté antimalware mondiale
  
• faire remonter les informations et fichiers à destination des développeurs et chasseurs mondiaux
  
• faire redescendre (des organismes mondiaux) les informations et documents nécessaires à notre espace
  
• étendre nos compétences et relations aux domaines autres que le nettoyage d'infections ; étendre nos contacts avec les autres organismes de sécurité francophones

Quelques commentaires :
- comme exposé, il y a des membres de différents forums francophones, en concertation avec leurs webmestres et effectuons un travail collaboratif avec tout un ensemble d'organismes de par le monde
- des développeurs francophones dont vous connaissez bien le nom : S!Ri (SmitfraudFix), IL-MAFIOSO (navilog1), !aur3n7 (MSNFix), coolman (Zeb Help Process), bibi26 (BTFix), Eric71 (LOP S&D), A.Rothstein (ToolsCleaner!), etc.
- des experts néerlandais, américains, allemands, etc. que vous pouvez parfois voir au bas de votre écran car ils visitent le forum public mais n'y postent guère : miekiemoes, Tony Klein, sUBs, Ruby, etc.
- des administrateurs ou modérateurs de sites francophones ou étrangers : Qc001, Falkra, Pierre, nickW, Sév, Ruby et autres
- l'Espace Sécurité héberge aussi Zeb'Campus, un centre de formation pour les futurs participants sur Zeb' ou autres forums
- nous sommes en relation et parfois, travaillons avec d'autres organismes aux compétences voisines des nôtres.

Les membres du groupe "Equipe Sécurité" sont des internautes qui animent l'Espace Sécurité et qui sont particulièrement qualifiés pour nettoyer les systèmes infectés ; certains membres de ce groupe ont toutefois une spécialité différente en tant qu'expert système, de la base de registre, de la chasse aux pirates...

Les membres du groupe "Junior-Sécu sont des membres en cours de formation ou des membres récents : leur qualification est moindre que celle des "Equipe Sécurité" mais ils connaissent déjà bien les outils et les méthodes employés (un des critères de sélection).

Citation

Quelques points qui les caractérisent...

• ces membres ont travaillé de nombreuses heures sur divers cas de nettoyage d'infections, depuis plusieurs mois/années
  
• ils se sentent particulièrement concernés par la lutte antimalware
  
• ils ont eu l'occasion de décortiquer, souvent en commun, des cas complexes leur ayant enseigné le calme et l'humilité, les ficelles et les réflexes nécessaires
  
• ils ont discuté avec les développeurs et, parfois, les ont aidé à améliorer les outils
  
• ils demandent des conseils si besoin est et surtout, savent où et comment les obtenir
  
• ils font partie d'une communauté mondiale qui a les mêmes buts, les mêmes méthodes et lui apportera l'aide demandée
  
• la manière de procéder, ils l'ont étudiée, lue et relue et l'appliquent les yeux fermés, de manière naturelle car ils adhèrent aux buts poursuivis
  
• la plupart utilisent une machine virtuelle pour tester les solution, effectuer des recherches sur les malwares !

... les résultats sont :

• ils interprètent correctement les logs : HijackThis, RunScanner, DSS-Deckard's System Scanner, DiagHelp, Clean, SmitfraudFix, navilog1, The Avenger, ComboFix, etc.
  
• ils ne se servent pas du robot hijackthis.de (dangereux lorsqu'on n'en connaît pas les limites) mais ont une panoplie d'outils à leur disposition, qu'ils font utiliser en fonction de ce qu'ils lisent dans les rapports
  
• ils différencient un fichier légitime d'un faux, trient les fichiers homonymes qui trompent les analystes, ne font pas confiance aveuglément à une recherche Google sur nom de fichier aboutissant à un forum qui ne vous donnera pas forcément une information fiable
  
• ils ne succombent pas à la facilité consistant à enchaîner 36 outils dans l'espoir que chacun va enlever quelques fichiers, un peu au hasard, pour qu'à la longue et avec de la chance, les symptômes disparaissent avec - hélas trop souvent - quelques dégâts dans le fonctionnement du système
  
• ils savent en outre qu'ils appartiennent à un groupe et qu'ils doivent participer en faisant remonter des fichiers, des cas de désinfection ardue, etc. aux développeurs pour l'amélioration et la mise à jour des outils
  
• ils distinguent désinfection et optimisation et ne s'amusent pas à éliminer des lignes simplement inutiles (sans être néfastes)
  
• ils recherchent les cas similaires sur les forums les plus efficaces dans le monde entier ; ils savent interroger directement les experts !
  
• leur expérience, leurs connaissances leur apportent une certaine intuition les aidant dans les cas les plus ardus de variantes encore inconnues

Le helpeur a certaines latitudes dans ses méthodes en fonction de ses connaissances, ses aptitudes et son expérience mais si les moyens peuvent être légèrement différents, le résultat et les buts sont les mêmes : respect, convivialité, efficacité, sûreté, nettoyage complet, prise en compte d'une formation minimale de l'utilisateur, etc.
On est loin -reconnaissez-le- de la simple disparition des symptômes, d'un simple nettoyage tant bien que mal...

Citation

Les malwares sont de plus en plus techniques comme les rootkits qui s'installent carrément au sein du noyau de Windows !

• les outils évoqués ci-dessus (ComboFix de sUBs et The Avenger de Swandog46) doivent contrer ces rootkits et pour ce faire, doivent prendre des droits très élevés pour intervenir tôt lors du démarrage du système d'exploitation, bien avant que les protections ne soient mises en place et alors, si l'outil est assez puissant pour détruire un rootkit de type kernel (noyau), il est également assez puissant pour supprimer des fichiers système (qui en temps normal, sous Windows, sont protégés contre l'altération mais pas dans le mode spécial dans lequel travaillent CF et The Avenger)
  
• tout développeur a la hantise que son outil cause des perturbations dans le système d'exploitation : nous avons connu quelques rares cas d'exploitation d'un autre outil pour causer la suppression de tout le contenu de System32 ! Le développeur avait alors immédiatement retiré son outil de l'Internet, quelques jours, jusqu'à rectification
  
• le point précédent explique pourquoi un développeur ne permet pas les "hébergements pirates" qui en plus de diffuser des copies anciennes, lui interdiraient de stopper très rapidement l'utilisation en cas de risque
  
• l'ensemble des points précédents et le grand niveau de rigueur des développeurs expliquent que sUBs et Swandog46, veuillent réserver à des internautes spécialement formés, l'utilisation de leur outil si efficace qu'il en devient dangereux entre des mains non averties !
  
• un module de ComboFix appelé CFScript est encore plus puissant et plus délicat à manipuler
  
• il n'est pas question qu'un apprenti-helpeur utilise ComboFix "au petit-bonheur-la-chance" ; agir sur la machine de quelqu'un à distance est une responsabilité et l'utilisation de ces outils ne doit pas se faire sans qualification
  
• sUBs a écrit un tutorial : How to use ComboFix qui a été traduit en Français par nickW : Comment utiliser ComboFix.
  
• ce tutorial liste, en outre, pour chaque pays, les forums autorisés : Zebulon est l'un de ces forums et nous devons respecter les desiderata de sUBs et, de même, ceux de Swandog46 ! Ils nous chargent de surveiller l'utilisation qui en est faite !
  
• en complément des habilitations évoquées ci-avant, certains membres de l'Espace Sécurité ont des accès et des relations privilégiés auprès des développeurs et ainsi, leur poser des questions, demander des précisions, faire remonter des informations ou faire des commentaires.
  
• La "mesure spéciale" ne touche que ces 2 outils (à la demande des développeurs)
  L'internaute qui a essayé lui-même de nettoyer sa machine pendant des heures et qui est excédé et plutôt découragé, fait confiance à celui qui l'aide : nombre d'outils antimalwares peuvent causer de gros dégâts ! Il est hors de question de faire courir des risques supplémentaires à un système déjà fragilisé.

... en cours de rédaction...

Citation

Ce développement correspond à des explications détaillées sur les instructions données dans le message initial de ce sujet.

Ces lignes, condensé des consignes, sont empruntés à Tom's Guide / IDN-Infos-Du-Net (avec leur autorisation) :

Citation

Version brouillon d'instructions additionnelles qui seront mises en forme :

Citation

- possibilité d'intervention de tout membre de Zebulon qui se sent capable de nettoyer ou commencer à nettoyer le système (ne pas faire prendre de risque !)

Citation

- il n'est pas permis à un membre non qualifié de traiter un cas de nettoyage avec les outils spéciaux The Avenger (Swandog46) ou ComboFix (sUBs) et a fortiori CFScript !

Citation

- intervention d'aide d'un seul membre sinon l'internaute infecté ne sait plus que faire et s'il écoute chacun, ça va être pire !

Citation

- aucun commentaire public des autres membres sauf en cas de danger ; les aides et commentaires se font par messagerie privée

Citation

- si un membre commence à traiter une infection, il doit la mener au bout sans laisser l'internaute en plan ; s'il atteint ses limites (c'est excellent qu'il s'en aperçoive), il doit faire appel à un membre plus qualifié

Citation

- priorité à un membre plus qualifié même en cours de nettoyage

Citation

Les forums sécurité publics de Zebulon se composent des sections suivantes :

Citation

Ces forums sont dirigés par Falkra, Gof, ipl_001, Qc001 (ordre alphabétique - ipl_001 en est l'administrateur et la personne à critiquer en priorité).

Les forums sécurité de Zebulon comportent également une partie privée à voir dans les posts suivants.

Citation

Citation

Les internautes ont, chacun leur caractère et leurs besoins.

Certains aspirent à comprendre comment fonctionne leur ordinateur, ce qui a fait qu'ils se sont retrouvés avec une infection des plus pénalisantes (avec une lenteur incroyable, des fenêtres de publicité en grand nombre avec insistance pour l'acquisition de programmes commerciaux, une navigation Internet déroutée vers des pages indésirables, etc. un vrai calvaire) ! Parmi ceux-ci, certains ont besoin d'une structure bien organisée quand d'autres veulent s'informer et se former par eux-mêmes...



~~ "Bibliothèque" est une section qui contient une série d'articles orientée vers la sécurité antimalware mais allant de documents de base comme un "Glossaire" expliquant les termes rencontrés au fil des forums, aux documents sophistiqués ou spécialisés comme "10 questions courantes sur la sécurité Internet" ou la référence à la Newsletter (lettre de nouvelles) d'un forum américain des plus en vue et sa traduction : "Nouvelles de la communauté SWI - décembre 2007".

Un "Index des sujets" aide à consulter les documents mis à disposition.

Dans notre monde mouvant, la collecte et rédaction de tels documents est une chose incessante... nous travaillons à parfaire ce moyen d'information/formation.



Le but de Bibliothèque est de procurer un maximum de documents ou de liens vers des sites Web pour tous nos internautes, quels qu'en soient le niveau et l'implication !
Merci de nos faire part de vos remarques et desiderata !

Bonne formation !



Le centre de formation à la carte évoqué ci-dessus accompagne les premiers pas d'un membre impliqué ; il peut déjà répandre la bonne parole autour de lui pour éviter que son entourage ne tombe dans les pièges nombreux tendus aux internautes novices ; s'il désire poursuivre sa spécialisation...



~~ Parallèlement, les équipe sécurité de Zebulon prépareront et tiendront à jour des Dossiers pratiques qui seront rapportés périodiquement par la Newsletter de Zebulon pour une diffusion générale au grand public !



~~ Les internautes les plus impliqués, passionnés par la lutte anti-malware et l'aide à procurer à nos membres infectés peuvent nous contacter pour intégrer la structure Espace Sécurité, qui assure une formation poussée en relation avec tous les acteurs de la communauté francophone et de la communauté mondiale (ceci se passe dans une partie à accès restreint qui demeure invisible au public) !

@ bientôt !

Citation

... à rédiger...

Citation

... à rédiger...

... à rédiger...

Divers sujets à ajouter :

- un piège de pirate : le ver MySpace/FaceBook
- pourquoi on ne doit pas nettoyer la zone de restauration système tant que le système n'est pas propre ?
- défragmenter après avoir supprimé les fichiers inutiles
- le cas spécial d'un ordinateur professionnel (je veux dire un ordi qui sert à travailler/étudier)

Bonjour à Mérillym en train de lire