TL; DR
Je suis sûr que notre petit réseau a été infecté par une sorte de ver / virus. Cependant, cela ne semble affecter que nos machines Windows XP. Les machines Windows 7 et les ordinateurs Linux (enfin, oui) ne semblent pas être affectés. Les analyses antivirus ne montrent rien, mais notre serveur de domaine a enregistré des milliers de tentatives de connexion infructueuses sur divers comptes d'utilisateurs valides et invalides, en particulier l'administrateur. Comment puis-je empêcher ce ver non identifié de se propager?
Symptômes
Quelques-uns de nos utilisateurs de Windows XP ont signalé des problèmes similaires, mais pas entièrement identiques. Ils subissent tous des arrêts / redémarrages aléatoires initiés par logiciel. Sur l'un des ordinateurs, une boîte de dialogue s'affiche avec un compte à rebours jusqu'au redémarrage du système, apparemment démarré par NT-AUTHORITY \ SYSTEM et concerne un appel RPC. Cette boîte de dialogue en particulier est exactement la même que celles décrites dans les articles détaillant les vers d'exploitation RPC plus anciens.
Lorsque deux des ordinateurs ont redémarré, ils sont revenus à l'invite de connexion (ce sont des ordinateurs de domaine) mais le nom d'utilisateur répertorié était «admin», même s'ils ne s'étaient pas connectés en tant qu'administrateur.
Sur notre machine Windows Server 2003 exécutant le domaine, j'ai remarqué plusieurs milliers de tentatives de connexion provenant de diverses sources. Ils ont essayé tous les différents noms de connexion, notamment administrateur, administrateur, utilisateur, serveur, propriétaire et autres.
Certains journaux ont répertorié les adresses IP, d'autres non. Parmi ceux qui avaient une adresse IP source (pour les connexions ayant échoué), deux d'entre eux correspondent aux deux machines Windows XP qui subissent des redémarrages. Pas plus tard qu'hier, j'ai remarqué un tas de tentatives de connexion infructueuses à partir d'une adresse IP extérieure. Un traceroute a montré que l'adresse IP extérieure provenait d'un FAI canadien. Nous ne devrions jamais avoir de connexions à partir de là (nous avons cependant des utilisateurs VPN). Je ne suis donc toujours pas sûr de ce qui se passe avec les tentatives de connexion provenant d'une adresse IP foriegn.
Il semble évident qu'une sorte de malware se trouve sur ces ordinateurs, et une partie de ce qu'il fait est d'essayer d'énumérer les mots de passe sur les comptes de domaine pour y accéder.
Ce que j'ai fait jusqu'à présent
Après avoir réalisé ce qui se passait, ma première étape a été de m'assurer que tout le monde exécutait un antivirus à jour et effectuait une analyse. Parmi les ordinateurs concernés, l'un d'eux avait un client antivirus expiré, mais les deux autres étaient des versions actuelles de Norton et les analyses complètes des deux systèmes n'ont rien révélé.
Le serveur lui-même exécute régulièrement un antivirus à jour et n'a montré aucune infection.
Donc, 3/4 des ordinateurs Windows NT ont un antivirus à jour, mais il n'a rien détecté. Cependant, je suis convaincu que quelque chose se passe, principalement mis en évidence par les milliers de tentatives de connexion infructueuses pour divers comptes.
J'ai également remarqué que la racine de notre partage de fichiers principal avait des autorisations assez ouvertes, je l'ai donc restreint à lire + exécuter pour les utilisateurs normaux. L'administrateur a bien sûr un accès complet. Je suis également sur le point de demander aux utilisateurs de mettre à jour leurs mots de passe (avec des mots forts), et je vais renommer Administrateur sur le serveur et changer son mot de passe.
J'ai déjà retiré les machines du réseau, une est remplacée par une nouvelle, mais je sais que ces choses peuvent se propager à travers les réseaux, je dois donc aller au fond des choses.
De plus, le serveur a une configuration NAT / pare-feu avec seulement certains ports ouverts. Je n'ai pas encore étudié tous les services liés à Windows avec les ports ouverts, car je suis issu de Linux.
Maintenant quoi?
Donc, tous les antivirus modernes et à jour n'ont rien détecté, mais je suis absolument convaincu que ces ordinateurs ont une sorte de virus. Je base cela sur les redémarrages / instabilités aléatoires des machines XP combinés aux milliers de tentatives de connexion provenant de ces machines.
Ce que je prévois de faire, c'est de sauvegarder les fichiers utilisateur sur les machines concernées, puis de réinstaller Windows et de formater les disques. Je prends également quelques mesures pour sécuriser les partages de fichiers communs qui ont pu être utilisés pour se propager à d'autres machines.
Sachant tout cela, que puis-je faire pour m'assurer que ce ver ne se trouve pas ailleurs sur le réseau et comment puis-je l'empêcher de se propager?
Je sais que c'est une question longue, mais je suis hors de mes profondeurs ici et je pourrais utiliser quelques pointeurs.
Merci d'avoir regardé!