Outil Source of Infection Sophos

  • ID de l'article 111505
  • Mis à jour : 10 avr. 2013

Qu'est-ce que l'outil Source Of Infection ?
Il s'agit d'un outil conçu pour aider l'administrateur à trouver la source des fichiers malveillants écrits sur certaines machines du réseau.

Cet article décrit comment utiliser l'outil Source of Infection.

REMARQUE : l'outil n'est pas pris en charge sur des machines avec un autre produit antivirus en cours d'exécution. 

Systèmes d'exploitation pris en charge
La version 2.0 de l'outil prend en charge les versions 32 bits et 64 bits des systèmes d'exploitation Windows suivants :

  • Windows XP SP2+
  • Windows Server 2003 SP1+
  • Windows Vista SP0+
  • Windows 7 SP0+
  • Windows 8
  • Windows 2008 SP0+
  • Windows 2008 R2 SP0+
  • Windows 2012

Regarder la vidéo

Utilisation de l'outil

Où obtenir l'outil
Téléchargez l'outil depuis http://downloads.sophos.com/tools/SourceOfInfection.exe. Assurez-vous que vous utilisez la dernière version.

REMARQUE : l'outil Source of Infection a été mis à jour vers la version 2.0.

Comment exécuter l'outil
L'outil doit être exécuté en tant qu'administrateur. Sous Windows Vista et versions supérieures, avec l'UAC, l'outil doit être exécuté depuis l'invite de commande (élevée) Administrateur. L'outil est pris en charge sur une machine sans produit antivirus en cours d'exécution ou sur une machine avec Sophos Anti-Virus en cours d'exécution.

Options de commande de l'outil
L'outil est exécuté avec les options suivantes :

-process ou -p : enregistrement des processus seulement (n'enregistre pas les écrits distants)
-network ou -n : enregistrement des écrits (réseau) distants (n'enregistre pas les processus)
-area <dossier> ou -a <dossier> : restriction de l'enregistrement aux fichiers accessibles dans le dossier donné
-ext <extension> (répétition possible) : restriction de l'enregistrement aux extensions données (nouveauté dans la version 2.0)
-loglevel <niveau> ou -ll <niveau> : niveau de suivi (1 : tout, 2 : erreurs, 3 : aucun)
-logsize <size> ou -ls <size> : taille maximale du journal (en Mo), 0 - unlimited
-logfolder <dossier> ou -lf <dossier> : réoriente les journaux vers le dossier donné (nouveauté dans la version 2.0)
-timeout <sec> ou -t <sec> : capture timeout (entre 1 et 86400 sec ; 0 - illimité)
-runonly ou -ro : exécution seule, pas d'installation ou de désinstallation du lecteur
-installdriver ou -id : pas d'exécution (installation du pilote pour une exécution au démarrage)
-uninstalldriver ou -ud : pas d'exécution (seulement désinstallation du pilote)
-help ou -h : affiche cette aide

Notes sur les nouvelles options pour la version 2.0.0

L'option -ext vous permet de filtrer sur quelles extensions enregistrer, en cas d'omission sur la ligne de commande, il commencera à enregistrer tous les fichiers déposés. Cette option peut être utilisée plusieurs fois avec un effet cumulatif, vous permettant d'enregistrer plusieurs extensions si besoin est.

L'option -lf vous permet de vous connecter à un autre répertoire, le compte Windows de lancement doit pouvoir écrire dans cet emplacement.

Notes sur les options couvrant toutes les versions

Les options –p et –n sont mutuellement exclusives, l'utilisation du –n sert à suivre à la trace le réseau déposant du malware et –p sert à identifier le malware caché localement. L'utilisation de l'option -a peut être utile pour filtrer les événements indésirables, si l'administrateur connaît le chemin où l'apparition du fichier malveillant est attendue.

Le filtre de zone peut seulement être utilisé une fois par utilisation de l'outil. Les valeurs de niveau de journalisation sont 1 – journalise toutes les informations (détaillé) ; 2 – journalise seulement les informations importantes (par défaut) ; 3 – aucune journalisation. L'option de taille du journal affecte l'écriture dans Soi.log. Si elle est utilisé, la taille du fichier journal augmente jusqu'à une valeur définie maximum (en Mo). Si l'un des fichiers journaux augmente et dépasse la limite spécifiée, il est sauvegardé et recréé (une sauvegarde précédente est préservée). Si elle n'est pas spécifiée ou est égale à 0, cela signifie que la taille du journal est “illimitée” (par défaut).

Les options -h, id et -ud, si elle est présente, doit être seule. Après exécution de l'outil (sauf si l'option était -h), ce dernier recueille des informations jusqu'à ce qu'il soit interrompu par un clic sur Ctrl-C.

Journaux de sortie de l'outil

L'outil génère deux fichiers dans le répertoire temporaire de l'utilisateur connecté par défaut, tel que défini par la variable d'environnement %temp% (Démarrer | Exécuter | Saisissez : %temp% | Appuyez sur Entrée) :

  1. Source of Infection Log.csv: ce fichier contient des enregistrements sur les événements mentionnés ci-dessus. Si un processus a écrit le fichier, il enregistre la date/heure, le chemin intégral du fichier et le chemin complet de l'exécutable du processus. Si le fichier a été écrit à distance, il enregistre la date/heure, le chemin intégral du fichier et le nom de la machine distante (ou son adresse IP, si elle est connue).
  2. Source of Infection Trace.txt : il s'agit du journal de l'outil. Normalement, il journalise le démarrage et l'arrêt de l'outil, ainsi que toutes les erreurs, mais l'outil peut être exécuté de manière à ce que beaucoup d'autres informations puissent être journalisées (ces informations peuvent servir à déboguer l'outil même).

Le fichier .csv peut être importé dans Microsoft Excel et y être analysé si nécessaire.

Exemples d'utilisation

Scénario A : fichier déposé sur un partage réseau ou sur une machine connectée au réseau

Dans ce scénario, le fichier malveillant est déposé depuis une machine source sur une machine en cours d'investigation. À noter qu'un fichier peut seulement être déposé dans un répertoire ou sous-répertoire partagé, par contre, la plupart des machines Windows disposent d'un partage administratif (C$) qui permet l'accès à l'intégralité du lecteur.

Ayant identifié avec Sophos Anti-virus l'emplacement partagé dans lequel le fichier malveillant est déposé, l'outil Source of Infection Sophos peut alors être utilisé pour trouver un hôte infecté. Pour ce faire, utilisez le commutateur de réseau (-n, pour network) et de zone (-a, pour area). Voir les exemples ci-dessous :

SourceofInfection.exe -n -a "c:\sharedfolder"

L'outil Source of Infection va ensuite journaliser tous les fichiers nouveaux ou modifiés dans le dossier partagé (le partage). Ouvrez le fichier journal “Source of Infection Log.csv”, une fois que les fichiers malveillants sont identifiés dans le fichier journal, la journalisation peut être stoppée en appuyant sur Ctrl-C. Voici un exemple de fichier “Source of Infection Log.csv”:

Date/Time,File path,Process/Network,Process path/Machine name
"2010/07/15 12:20:59","C:\sharedfolder\autorun.inf","Network","172.16.100.184"

Ceci signifie que le fichier autorun.inf a été déposé via le réseau depuis l'adresse IP 172.16.100.184 à 12h20 de l'après-midi

REMARQUE : la confirmation de la réinfection locale ou via le réseau d'une machine peut être obtenue en isolant la machine. Si les fichiers malveillants ne reviennent pas pendant que la machine est isolée, ceci confirme que le malware peut se propager via le réseau. Si les fichiers malveillants sont de retour alors que la machine est isolée, veuillez consulter le scénario B ci-dessous.

Scénario B : fichier déposé dans un dossier local ou une machine isolé du réseau

Dans ce scénario, le fichier malveillant est déposé depuis un processus local sur la machine.

Ayant identifié avec Sophos Anti-virus l'emplacement dans lequel le fichier malveillant est déposé, l'outil Source of Infection Sophos peut alors être utilisé pour trouver le processus infectant. Pour ce faire, utilisez le commutateur de processus (-p, pour process) et de zone (-a, pour area). Voir les exemples ci-dessous :

SourceofInfection.exe -p -a "C:\Documents and settings\Administrator\Local Settings\Temp"

L'outil Source of Infection va ensuite journaliser tous les fichiers nouveaux ou modifiés dans le répertoire choisi. Attendez le retour du fichier malveillant, appuyez sur Ctrl-C pour arrêter l'outil, puis ouvrez le fichier journal “Source of Infection Log.csv” pour identifier la source de l'infection. Voici un exemple de fichier “Source of Infection Log.csv” :

Date/Time,File path,Process/Network,Process path/Machine name
"2010/07/15 12:32:55","C:\Documents and Settings\Administrator\Local Settings\Temp\5541syrty.exe","Process","C:\WINDOWS\svvvvhost.exe"

Ceci montre que le fichier 5541syrty.exe a été déposé par un processus appelé svvvvhost.exe dans le répertoire Temp, un échantillon de svvvvhost.exe doit donc être soumis.

Scénario C : emplacement de dépôt inconnu ou changeant constamment

Dans seulement quelques situations où ceci peut s'avérer nécessaire, car le malware est généralement très logique. L'emplacement dans lequel il est écrit peut donc être identifiée.

Si vous devez journaliser tous les fichiers, exécutez simplement l'outil sans commutateurs.

Sachez que dans des conditions de fonctionnement normales, de nombreux fichiers sont créés et modifiés par le système d'exploitation et d'autres applications. Sans emplacement précis, le journal contiendra donc de nombreuses entrées qui n'ont aucun intérêt.

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires