Forum général.général recuperer des .doc vérolé sous linux... dangereux ?

Posté par (page perso) .
Tags : aucun
2
21
août
2010
Bonjour à tous,
Voilà l'histoire: je suis intervenu sur le poste d'une secrétaire de mairie, sous XP mais sans anti-virus !!! résultat: des centaines de virus /malware/ spymachins choses.
après avoir tenté l'impossible, formatage et re-install du truc qui tient lieu d'OS, sauvegarde préalablement faite des documents vitaux de la commune.
Oui mais voilà ,parmi les fichiers en backup, il y a 350 fichiers infectes et irréparables, tous des .doc atteint par un virus de macro.
Et puis , il m'est venu une idée: ouvrir ces fichiers chez moi sous linux avec OOO, et les convertir en PDF pour limiter la casse.
A votre avis, je prends un risque avec ma machine ? ça vous semble possible ?
merci d'avance
++
  • # un risque potentiel mais limité

    Posté par . Évalué à 5.

    En exécutant openoffice depuis un profil utilisateur non root et n'appartenant à aucun groupe, les risques seront circonscrits par les privilèges limités de l'utilisateur.

    En conséquence, je pense que tu pourrais prendre les précautions suivantes :
    - créer un profil utilisateur provisoire, depuis lequel tu exécuteras openoffice.
    - désactiver l'exécution des macros dans openoffice

    D'autres solutions plus poussées comme la virtualisation sont également envisageables :)
    • [^] # Re: un risque potentiel mais limité

      Posté par (page perso) . Évalué à 1.

      Ah oui, c'est pal mal ça :D
      Merci !
      Pour la virtualisation, j'ai pas de licence MS dispo donc je peux pas tester ;)
      D'ailleurs je me pose aussi ce genre de question; a savoir est qu'un win-truc virtualisé sans anti virus peut choper la vérole? est si oui, quels sont les risques ?
      • [^] # Re: un risque potentiel mais limité

        Posté par . Évalué à 2.

        Dans un système virtualisé, les risques sont les même que dans un système physique.

        Donc ton win-truc virtualisé sans anti-virus sera aussi exposé que le poste de ta secrétaire.

        Par contre si tu fais un snapshot régulier, tu pourras revenir en arrière rapidement en limitant le casse (le temps entre le snapshot et l'incident).

        Cordialement
        • [^] # Re: un risque potentiel mais limité

          Posté par . Évalué à 2.

          euh attention, il y a plus d'un virus/trojan/rootkit/whatever en circulation qui sait détecter une machine virtuelle et en sortir par une faille de celle-ci et s'essayer à diverses conneries.

          genre comme il sait qu'il n'est pas sur une machine de bureau ou domestique mais dans un environnement virtualisé de chercheur en sécurité ou autre personne avertie, il peut très bien essayer de flinguer le disque (les partitions) plutot que juste véroler la machine pour en faire un vecteur d'infection
          • [^] # Re: un risque potentiel mais limité

            Posté par . Évalué à 1.

            euh attention, il y a plus d'un virus/trojan/rootkit/whatever en circulation qui sait détecter une machine virtuelle et en sortir par une faille de celle-ci et s'essayer à diverses conneries.

            Des sources ou un nom concret ? Je suis intéressé par le sujet.
            • [^] # Re: un risque potentiel mais limité

              Posté par (page perso) . Évalué à 2.

              Sur les moyens de détecter si le programme fonctionne en machine virtuelle ou non (spécifique au type de virtualisation utilisé) :

              http://www.codegurus.be/codegurus/Programming/virtualpc&(...)

              Ce n'est pas très récent. Mais en gros il y a deux grands moyens : soit énumérer le matériel virtuel et voir s'il y a identifiant "typique" (genre "VirtualBox Harddisk") ; soit utiliser certaines instructions processeurs dont on sait qu'elles sont émulées et calculer le temps de réponse (l'émulation prenant plus de temps qu'une exécution sur du matériel).

              Il existe aussi un papier d'un équipe de recherche de chez Symantec sur le sujet :

              http://www.symantec.com/avcenter/reference/Virtual_Machine_T(...)

              Par contre je n'ai plus sous la main de référence de virus / rootkit / malware utilisant spécifiquement ces techniques sous la main. Il faudrait parcourir les sites des éditeurs d'antivirus et rechercher dans les descriptifs...
      • [^] # Re: un risque potentiel mais limité

        Posté par . Évalué à 2.

        a savoir est qu'un win-truc virtualisé sans anti virus peut choper la vérole?

        oui mais tu peux faire un snapshot avant, récupérer les fichiers et les sauvegarder en odf, et revenir à la version précédente de la machine. De façon l'OS virtualisé est confiné dans la machine virtuelle.

        D'autre part, vu qu'openoffice ne peut pas utiliser VBasic, je doute qu'il y ait bcp de risque à ouvrir les fichiers et les convertir en odf. Tu peux même faire un script pour le faire automatiquement pour que ça soit moins fastidieux.

        regarde ça :
        http://leapon.net/en/mso2ooo-batch-convert-microsoft-office-(...)

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: un risque potentiel mais limité

          Posté par . Évalué à 4.

          il y a aussi unoconv pour convertir de façon automatisée :
          http://dag.wieers.com/home-made/unoconv/

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: un risque potentiel mais limité

          Posté par (page perso) . Évalué à 1.

          vu qu'openoffice ne peut pas utiliser VBasic, je doute qu'il y ait bcp de risque
          C'est ce point qui m'a inspiré l'idée de la récup sous Ooo , mais via linux parce que l''anti virus me laissera pas ouvrir le fichier , ou alors je le désactive ... mais là le virus se propage .... !:
          ++
        • [^] # Re: un risque potentiel mais limité

          Posté par (page perso) . Évalué à 4.

          De façon l'OS virtualisé est confiné dans la machine virtuelle.

          Une petite remarque à ce sujet : Si la VM a été configurée pour que l'OS invité accède au réseau, les virus qui tournent dessus peuvent attaquer le réseau local (gare alors aux partages SMB), ou accéder à Internet (attention alors aux risque de prise en main à distance).

          La solution est toute bête:
          - ne pas activer la couche réseau de la virtualisation
          - ou, si on a à tout pris besoin de partager des données réseaux entre le host et le guest, on configure le Windows virtualisé avec une adresse IP fixe, sans passerelle, et on désactive les services DNS et DHCP. Le virus alors ne pourra que attaquer le host, dont on aura au préalable verrouiller tout ce qu'il faut (exemple : l'éventuel serveur SMB).
      • [^] # Re: un risque potentiel mais limité

        Posté par (page perso) . Évalué à 3.

        Pour la virtualisation, j'ai pas de licence MS dispo donc je peux pas tester
        J'ai bien compris que c'était un faux prétexte mais Microsoft "offre" au téléchargement une version de Windows 7 parfaitement légale et gratuite. Utilisable pendant 60 jours.

        Je l'utilise pas mal justement pour des tests de virtualisation.
  • # live cd ou combo

    Posté par . Évalué à 4.

    utilise un livecd , ne monte aucun disque ou bien verouille tout en ecriture

    et ouvre avec OpenOffice , sinon si tu veux vraiment etre sur , debranche la nappe de donnée de ton disque dur :)

    tu peux aussi faire une belle combinaison ..

    tu compile toi meme un livecd , a partir de LFS , dont tu auras au préalable bien sur lu le code source du compilateur avec beaucoup de rigueur (rappelez vous la preuve du Ken Thompson Hack http://www.c2.com/cgi/wiki?TheKenThompsonHack ) , puis tu chroot , puis tu ouvre la machine virtuel dans le chroot , dont tu auras pris soin de ne pas ouvrir réseaux et partage de fichier , meme si activé ca ne marche pas parce que tu auras déja debrancher ton disque dur ) , puis tu ouvres ton OpenOffice sans activation des macros , et puis tu joues avec ton document :)

    :)
  • # Tres simple

    Posté par . Évalué à 3.

    Tu peux parametrer Word pour qu'il n'execute pas les macros contenues dans le fichier, suffit de faire ca, ouvrire les fichiers et les nettoyer.
    • [^] # Re: Tres simple

      Posté par . Évalué à 1.

      Clair
      - ooo n'exécutera pas les macros,
      - msoffice ne les exécutera que si tu l'y autorise.
      • [^] # Re: Tres simple

        Posté par . Évalué à 3.

        Bah tu sais, entre cocher une case et faire le boulot ou se coltiner la conversion potentiellement desastreuse des documents avec OOo c'est vite vu hein...
        • [^] # Re: Tres simple

          Posté par . Évalué à 5.

          Des fois, OOo est le seul logiciel sous Windows capable d'ouvrir les .docx que certains collaborateurs m'envoient. La version la plus désastreuse dans ce cas c'est celle qui ne s'ouvre pas. (Ou qui ne s'imprime pas, parce que j'ai aussi le bug de Word qui n'imprime pas les .docx.) Certes un workaround est de convaincre mon chef de re-payer pour une version qui lave plus blanc de word pour avoir le droit d'ouvrir les documents tous simples que je reçois... mais je vais peut-être continuer avec la solution libre, gratuite et dépourvue ces bugs gênants.
    • [^] # Re: Tres simple

      Posté par (page perso) . Évalué à 1.

      Sauf que les 2 antivirus utilisés refusent obstinément de réparer les fichiers, j'ai juste le choix de la suppression ou de la mise en quarantaine...
      J'ai déjà passer 5/6 heures pour lui réinstaller xp, les pilotes et 3/4 soft et j'ai pas l'intention de recommencer. Donc la manip sous XP est impossible sur ce poste, ni chez moi vu que j'ai pas de Win-truc sous la main, encore moins office, (et même si' j'avais, même en désactivant les macros, je prendrai pas le risque) ... et il faudrait que l'AV me laisse ouvrir le fichier ce qui n'est pas gagné non plus.
      et je veux un export PDF de toute facon (elle fera un copier coller si elle veut re-editer ses fichiers) , et si c'est pas le top, tant pis pour elle, elle n'avait qu'a faire des sauvegardes !
      Pour l'instant la meilleure solution c'est le live CD (ça c'est vraiment idiot de pas y avoir pensé :( ) avec Unoconv
      ++

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.