Forums Zebulon.fr: Infections par supports amovibles - Forums Zebulon.fr

Bonjour côtes du rhone,

Citation

Une version OEM est acceptée pour les mises à jour de sécurité (et autres d'ailleurs).

La mise à jour KB967715 créant cette nouvelle valeur ne doit pas -j'imagine- ne créer que cela pour corriger la vulnérabilité liée à l'ouverture des supports -et ce malgré la désactivation de l'autorun.

Mais en effet, à terme, tu devrais avoir ces entrées :

Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
Nom de la classe : <Sans classe>
Heure de dernière écriture : 27/02/2009 - 22:21
Valeur 0
Nom : HonorAutoRunSetting
Type : REG_DWORD
Données : 0x1

Valeur 1
Nom : NoDriveTypeAutoRun
Type : REG_DWORD
Données : 0xff

Conclusion : FlashDinsinfector + création manuelle des valeurs ne sera pas je le pense suffisant.

Il reste important d'installer la mise à jour.

Bonjour,

TOut d abord un grand merci a gof. Grace a ton explication très claire, j ai tout compris et j ai pu enlever ces saletés de mes clés et me prémunir avec ton vaccin.

Je voulais aussi te suggérer une méthode que j ai trouvé sur le net pour restaurer l ouverture d un lecteur suite a une infection. J utilise OTmoveit et les lignes de commandes
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
Ca a bien marché pour moi. ))

Par contre j aurais une question: J'aide pour la gestion du réseau informatique de l établissement scolaire ou je travaille. TOus les ordis sont reliés à un serveur qui nous donne accès a différents espaces (espace pédagogique, espace commun, espace élèves...) et à internet. Ces ordis sont fréquentés par tout le monde (prof, eleve).

QUelle serait la méthode la plus simple pour éradiquer les trojan sur ce serveur (parce que c est sur qu il y en a)?
Quelle serait la méthode pour que les trojan ne reviennent plus?

Pour le serveur je ne sais pas trop, sinon pour le reste j avais pensé soigner les clés et les dd durs avec otmoveit et vacciner les clés avec ton vaccin.

Merci d avance pour ta réponse et encore un grd bravo pour ton article.
fabe75

Bonjour fabe75

Citation

Oui, cela revient en effet au même que supprimer manuellement le fichier en invite de commande, ou via le petit utilitaire 2clic. Un fichier autorun.inf n'est pas en soi dangereux, il contient juste le chemin d'un programme à exécuter lorsqu'il est interprété. Si l'antivirus traite le véritable fichier infectieux à l'insertion d'une clé, le fichier autorun.inf indique un chemin qui n'existe plus. D'où le message d'erreur à l'ouverture du support, et ce qui empêche parfois d'accéder au lecteur. Le simple fait de supprimer ce fichier sur la clé (désinfectée) permet d'y accéder à nouveau convenablement.

Citation

Ce n'est pas évident. Il faudrait savoir quels sont les systèmes sur ces différents postes, quels sont les autorisations des comptes, tout le monde peut-il y brancher un support, etc ?

Je maîtrise mal cet aspect des choses : je saurais te répondre pour un poste "particulier", mais dans le cas d'un réseau d'un établissement scolaire, le souci n'est plus le même.

Bonjour

Un petit mot pour prévenir que j'ai changé un peu le VaccinUSB.exe disponible sur le lien du tuto. Rien d'exceptionnel dans les changements toutefois.

• C'est juste un batch compilé.
  
• Il n'est plus nécessaire de le copier-coller à la racine des lecteurs à vacciner. Il suffit de double-cliquer dessus, il détectera les différents lecteurs et partitions et vaccinera chacun des volumes. Cela devrait être plus simple d'emploi.
  
• La méthode de vaccination a légèrement changée, il ne s'agit plus que d'un répertoire, mais d'un répertoire avec un fichier crée via l'emploi des noms réservés Windows. Chacun des répertoires contiendra donc un fichier con.Repertoire vaccin. Un répertoire était trop faible, en vaccination. Ainsi, aucun répertoire vacciné ne pourra être donc supprimé par une infection active, ou par accident de l'internaute.
  
• Les répertoires-vaccins ont toujours les attributs cachés et système, ce qui ne devrait pas gêner la grande majorité des internautes comme ces derniers ne les verront pas

Un rapport est généré, à titre indicatif, pour ceux qui le souhaiteraient. Il est stocké en %temp%\rapportVacUSB.txt

31/03/2009 - 8:13:57,98 - Vaccin USB - Gof

Lecteur détectés :

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est D022-3F91
Le volume dans le lecteur D s'appelle 070704_1830
Le numéro de série du volume est 3C06-D529
Le volume dans le lecteur E s'appelle RECUP_UX_001 (ERIC)
Le numéro de série du volume est 6088-97DC

Répertoires et fichiers vaccins :

c:\autorun.inf - Vaccin Ok
c:\adober.exe - Vaccin Ok
c:\copy.exe - Vaccin Ok
c:\comment.htt - Vaccin Ok
c:\host.exe - Vaccin Ok
c:\info.exe - Vaccin Ok
c:\msvcr71.dll - Vaccin Ok
c:\ravmon.exe - Vaccin Ok
c:\ravmon.log - Vaccin Ok
c:\sqlserv.exe - Vaccin Ok
c:\start.exe - Vaccin Ok
c:\temp.exe - Vaccin Ok
c:\temp1.exe - Vaccin Ok
c:\temp2.exe - Vaccin Ok
c:\winfile.exe - Vaccin Ok
c:\zPharaoh.exe - Vaccin Ok
c:\ntdelect.com - Vaccin Ok
e:\autorun.inf - Vaccin Ok
e:\adober.exe - Vaccin Ok
e:\copy.exe - Vaccin Ok
e:\comment.htt - Vaccin Ok
e:\host.exe - Vaccin Ok
e:\info.exe - Vaccin Ok
e:\msvcr71.dll - Vaccin Ok
e:\ravmon.exe - Vaccin Ok
e:\ravmon.log - Vaccin Ok
e:\sqlserv.exe - Vaccin Ok
e:\start.exe - Vaccin Ok
e:\temp.exe - Vaccin Ok
e:\temp1.exe - Vaccin Ok
e:\temp2.exe - Vaccin Ok
e:\winfile.exe - Vaccin Ok
e:\zPharaoh.exe - Vaccin Ok
e:\ntdelect.com - Vaccin Ok

Examen fonctions Autorun BDR :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HonorAutoRunSetting REG_DWORD 0x1
NoDriveTypeAutoRun REG_DWORD 0xff

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
<SANS NOM> REG_SZ "@SYS:DoesNotExist"

31/03/2009 - 8:14:00,23 : Fin.

Ainsi, sont listés les lecteurs détectés, les répertoires-vaccins crées, les fichiers antérieurement présents écrasés par les répertoires vaccins, la valeur de différentes clés à interpréter ; ces dernières concernent la fonction "autorun".

A titre d'exemple ici, le rapport nous révèle que 3 lecteurs étaient détectés, 2 ont été vaccinés, le D étant le lecteur CD/DVD. Les valeurs sous policies\explorer indiquent que la mise à jour de sécurité corrigeant une vulnérabilité dans la désactivation de l'autorun a été installée (HonorAutoRunSetting), que l'autorun est désactivé par défaut (NoDriveTypeAutoRun REG_DWORD 0xff), que la fonction autorun a été par sécurité désactivée (@SYS:DoesNotExist) - même si l'autorun était réactivé via le registre, la fonction en elle-même est inactive, le fichier autorun.inf est ignoré sur tous supports.

------------

Si pour une raison ou une autre vous désirez supprimer les répertoires vaccins : delVaccinUSB.exe

Euhh désolé gof mais avec ton nouveau vaccin, ca ne marche pas chez moi...
Ca me met 50 fois: chemin d accès introuvable.... et aussi quelque fois: le périphérique n est pas pret.

J ai raté une manip? Je l ai simplement mis sur mon bureau et j ai double cliqué....

Re fabe75

Pas de soucis normalement, il ne faut pas tenir compte des éléments affichés dans la fenêtre d'invite de commande.
Ce qui compte, c'est ce qui est affiché dans le rapport généré à la fin de l'utilisation de l'outil, indiquant les répertoires et lecteurs vaccins créés.

Bonjour

Pour les Je n'ai pas le temps de tout lire ! , vous trouverez ci-dessous la manipulation complète en quelques clics pour être tranquille.

Téléchargez FlashDisinfector de sUBs ou USBFix de Chiquitine29.
L'exécuter (sous Vista penser à l'exécuter en mode Administrateur, via un clic-droit sur le fichier).
Les outils peuvent être détectés comme dangereux, il n'en est rien
But de la manipulation : traiter les éventuelles infections reconnues présentes, mais surtout supprimer les clés registre Mountpoints2.
Si les outils ne sont pas disponibles, passez à l'étape suivante.

Téléchargez la mise à jour Windows si elle na pas été installée : mises à jour de sécurité 950582, 967715 ou 953252. .
Note: il s'agit des la même mise à jour en dépit des KB différents affichés. C'est parce que le mode de distribution n'est pas le même qu'il existe différents numéros de KB (mise à jour).
But de la manipulation : traiter une vulnérabilité Windows qui ne rendait pas fiable la désactivation de l'autorun.

Désactivez la fonction autorun et l'inhiber (la détourner en cas de réactivation de la fonction).
Pour cela télécharger les deux fichiers REG suivants, ils doivent avoir cette icône :
Désactiver l'autorun : autorun_off.reg (fichier d'annulation ici).
Inhiber l'autorun : inifilemapping-autorun-protection-activee.reg (fichier d'annulation ici)
Note : Pour Vista, rendez-vous en plus via le Panneau de configuration > Exécution automatique afin de visualiser et corriger si nécessaire les exécutions automatiques de programmées.
But de la manipulation : Supprimer le mécanisme de propagation qui permettrait à une clé infectée d'infecter votre système à son insertion.

Vaccinez vos partitions et supports amovibles. La vaccination de vos partitions est encore un plus de prudence, sans doute pas réellement nécessaire. Mais la vaccination de vos supports me paraît importante : cela vous permettra de prêter vos supports sans craindre de vous infecter lorsque vous les récupérerez.
Télécharger VaccinUsb (pour supprimer et annuler les répertoires vaccins, télécharger ceci, pour supprimer quelques répertoires vaccins manuellement, Unlocker vous le permettra - Pensez à décocher l'installation de "eBay Desktop shortcuts" à l'installation de l'application.)
C'est à dire ? Le vaccin n'empêchera pas le support d'être infecté, mais il bloquera le système de propagation de l'infection. Au retour de votre support, sitôt ce dernier inséré et branché sur votre système, analysez simplement le support avec votre Antivirus, sans craindre de vous faire infecté.
But de la manipulation : Protéger vos supports pour les prêter en toute quiétude.

Ces différents éléments effectués, vous serez déjà nettement plus tranquilles. Encore une suggestion, pour aller plus loin : Votre système est protégé, vos supports également, mais vous n'êtes pas à l'abri de la clé ou du lecteur MP3 du copain ou de la copine du petit dernier de la famille
Bien que le mécansime de propagation soit neutralisé, si ce dernier vient volontairement cliquer sur le fichier infectieux présent sur le support, il est malgré tout possible d'infecter le système (en cas de non réaction de l'antivirus, ce qui pourrait arriver). Pour cela, désactivez votre Poste de travail aux périphériques USB que vous ne connaissez pas !

Téléchargez UsbStore de Nicolas Coolman. Une fois l'outil décompresé et exécuté, sélectionnez Disable Generic USB Storage, puis cliquez sur Ok. Fermez l'outil. Tout nouveau support USB inséré ne sera pas reconnu et ne pourra pas être installé par Windows. Le lecteur sera inaccessible et illisible. La manipulation inverse vous permettra d'annuler l'opération (pensez-y si vous cherchez à insérer une clé, une cam, qui ne veut pas être reconnue, car Windows ne trouvera jamais les drivers sinon).
But de la manipulation : Il s'agit ici de verrouiller le Poste de Travail aux supports USB que l'on ne connait pas.

J'espère avoir été le plus clair possible dans ce post synthétique. Pour comprendre les mécanismes de ce type d'infections se propageant par supports amovibles, je vous invite à parcourir le sujet dès le premier post où tout y est plus longuement expliqué.

j'ai tout lu et tout appliqué les outils et consignes de cet excellent tuto que je ne connaissais pas, pour tous mes ddurs et clés usb (vaccin usb l'a fait automatiquement pour tous )

merci encore

Bonjour,
Un petit souci !!! Le lien http://pagesperso-or...L/VaccinUSB.exe me conduit à "PAGE INTROUVABLE"
Pourquoi ?

Merci de votre réponse

Elis, le dimanche 10 mai 2009 à 15h10, dit :

Désolée....je ne comprends pas très bien pourquoi mais le lien fonctionne de nouveau.
Est-ce du fait que j'ai fait "un nettoyage" avec CCleaner ? MYSTERE !!!