Aller au contenu

La mare du Gof

  • entries
    80
  • comments
    150
  • views
    143 669

Infections par supports amovibles


Info.pngCe billet commence à être obsolète, je vous invite à consulter la mise à jour disponible sur ce lien.

 

 

 

Les infections se propageant par les supports amovibles : USB, Flash, etc.

 

 

Note : un post synthétique est disponible ici.

 

 

 

De quoi s'agit-il ?

 

flechedroite.pngLa nature même de ces infections est classique

  • AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, etc.

  • Tous ces noms vous évoquent quelque chose ? Indépendamment de leur vecteur de propagation faisant l'objet de ce sujet, ces infections sont classiques dans leur finalité avouée. Malekal morte a synthétisé les infections de ce type que l'on croise régulièrement sur les forums (cliquez sur la roue dentée) :

system.png Vers disques amovibles

  • Il est proposé des méthodes de désinfection en autonomie complète. A réserver aux utilisateurs avertis connaissant un minimum leur système et l'emploi des outils traditionnels de sécurité et d'éradication des infections. Ces infections, une fois présentes sur votre pc, agissent comme tout bon
trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Voici un exemple avec AdobeR.exe et la page sophos associée. Ce qui va nous intéresser très précisément dans ce sujet est leur propagation via les supports amovibles et les moyens de s'en prémunir. Là aussi, Malekal morte a rédigé un beau sujet sur la chose, et il ne s'agit pas ici de réinventer le beurre ou son fil à couper ;), mais de reformuler autrement ce qui a déja été dit afin mieux saisir pour ceux qui n'auraient pas compris, et donner quelques astuces personnelles (cliquez sur la roue dentée) :

system.png Infection sur disques amovibles

flechedroite.pngSchéma de propagation

  • Un schéma vous permettra d'y voir plus clair. Nous allons aborder chaque étape de la propagation. Voici la légende utilisée.

Nlegende_art_infusb.jpg


  • De fait, ce type d'infection par propagation sur supports amovibles a de beaux jours devant elles dans tous les endroits où des ordinateurs sont susceptibles d'être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc). Tous les endroits où sont concentrés des pc sur lesquels s'échangent et se branchent fréquemment des supports amovibles. Cette infection bien que très présente n'est pas une fatalité, et un minimum de rigueur et de bon sens suffirait à l'éradiquer facilement.

Nschema_infusb.jpg


  • Explications. En 1, vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows.

attribut_systeme.jpg


  • Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura presque systématiquement un fichier Autorun.inf qui est ce qui lui permettra de se propager et qui fera l'objet de toute notre attention. Car c'est lui qui va permettre d'enchaîner sur la suite de la propagation. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. La boucle est bouclée. Ainsi, l'utilisateur, quel qu'il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et/ou la propagera sur d'autres PC.

flechedroite.pngQuels sont les symptômes apparents ?

  • Si vous ne constatez pas de ralentissements de vos surfs, que vous ne surveillez pas votre gestionnaire des tâches et les processus actifs, que vous n'avez pas l'affichage des fichiers et dossiers cachés d'activé (et donc la modification d'affichage par l'infection devrait vous alerter), vous ne constaterez rien, sinon que le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.

  • Cela dit, ces infections sont connues des antivirus, et ces derniers devraient normalement réagir à l'introduction du support amovible infecté. Le souci est que l'antivirus va traiter directement le fichier infectieux, et pas les fichiers responsables de la propagation. Subsiste alors sur la clé les fichiers annexes tels que des dll, des autorun.inf ou autres. Cela aura pour conséquence de neutraliser le double-clic lorsque vous cliquez sur la lettre du volume, puisque l'autorun.inf cherchera un fichier inexistant.

flechedroite.pngLa clé : le fichier Autorun.inf

  • Penchons nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. Ce
lien windows vous expliquera succintivement comment rédiger un autorun.inf, et ce lien de developpez.com entrera d'avantage dans les détails de sa rédaction.

  • Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous l'exécutez, et ainsi les commandes qu'il contient. Ainsi, dans le cas des infections qui nous intéressent, ce fichier contiendra généralement les entrées suivantes :

autorun_inf.jpg


  • Comme vous le constatez, ainsi au double-clic sur la lettre du volume à ouvrir, windows va chercher la présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système. Dans le cas où le fichier infectieux AdobeR.exe a été traité par l'antivirus présent sur le pc, l'autorun.inf va pointer un fichier qui n'existe plus. C'est à ce moment là que vous constaterez aussi que lorsque vous cliquerez sur la lettre du volume, le double-clic ne l'ouvrira pas. La suppression du fichier Autorun.inf rétablira par contre le double-clic pour ouvrir le volume.

 

Je suis infecté, que faire ?

 

flechedroite.pngIl n'y a pas de méthodes miracles, sinon y aller avec méthodologie

  • Si vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés.

system.pngFlash Disinfector

  • Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet :
Pour afficher les fichiers et dossiers cachés du systéme :
  • Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  • Cocher la case : Afficher les fichiers et dossiers cachés
  • Décocher la case : Masquer les extensions des fichiers dont le type est connu
  • Décocher la case : Masquer les fichiers protégés du système d'exploitation
    ---> Répondre OUI à la demande de confirmation
  • Cliquer Appliquer puis OK

J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Développer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc.

  • Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur.

  • Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum.

 

Comment se préserver de ce type d'infections ?

 

flechedroite.pngN'ouvrez pas vos volumes en double-cliquant

  • En effet, reprenons notre schéma type de propagation de l'infection. Lorsque nous branchons notre clé saine sur un pc infecté (1), nous ne pouvons éviter l'infection en l'état (nous y reviendrons plus bas ;-) ) de la clé (étape 2). Par contre, lorsque nous ouvrons la clé infectée sur un pc sain, au lieu de double-cliquer sur le nom de volume de la clé pour l'ouvrir, si nous faisons un clic-droit et Développer, nous évitons l'étape 3 et le pc n'est pas infecté. Voici pour synthétiser un nouveau schéma :

Nschema3_infusb.jpg


  • L'action de l'autorun.inf est évité en sélectionnant Développer (1). Le pc n'est pas infecté (2). Je suis en mesure de nettoyer la clé efficacement.

flechedroite.pngDésactiver l'autorun par défaut dans Windows

  • Autre manipulation, nous permettant d'éviter d'avoir à sélectionner Développer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent.

  • Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc.

imageReg.jpg autorun_off.reg

  • La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment.

imageReg.jpg autorun_on.reg

  • Enfin, pour pallier à une réactivation de la fonction autorun par une éventuelle infection, vous pouvez "doubler" la désactivation en détournant la fonction en elle-même. A cet effet, télécharger de la même manière que précédemment le fichier REG suivant (merci
JF:))

imageReg.jpginifilemapping-autorun-protection-activee.reg

  • La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment. Un redémarrage sera nécessaire ensuite.

imageReg.jpginifilemapping-autorun-suppression-de-la-clef.reg

flechedroite.pngConserver sa clé saine, la "vacciner"

  • La manipulation précédente nous permet d'ouvrir un support amovible sans s'infecter. Mais cela n'est valable que sur son propre pc. Dans le cas de pc publiques, infectés, comment protéger son support lorsque l'on a pas la main sur les pc sur lesquels on doit le brancher ? La méthode suivante n'est pas très élégante, mais elle permet de "vacciner" sa clé contre ce type d'infections et ainsi pouvoir la brancher n'importe où sans d'avantage se soucier de la propagation d'infections.

  • Créez des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports, et attribuez leur en attribut Lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager. L'outil Flash Disinfector de sUBs crée déja ce répertoire Autorun.inf en lecture seule, avec un fichier texte nommé "Who creates this folder.txt" afin d'expliquer d'où il vient. Cette méthode, simple, permet facilement de protéger sa clé (ou support amovible) d'un Autorun.inf infectieux. Elle n'empêchera pas cependant le copier-coller d'autres fichiers infectieux. Mais au moins, lorsque vous double-cliquerez sur le nom de votre volume pour l'ouvrir, vous ne déclencherez pas l'infection. Vous vous trouverez dans ce cas de figure :

Nschema3_infusb.jpg


  • C'est à dire dans le même cas de figure que précédemment (vous constatez que le schéma est le même) lorsque vous évitez l'action de l'autorun.inf par Développer ou en le désactivant via la base de registre.

  • Elle n'est cependant pas suffisante, car la plupart des infections créent cet Autorun en copiant également divers fichiers infectieux. Mais pour aller plus loin, si vous étendez la méthode aux autres noms de fichiers, votre clé pourra être considérée comme "vaccinée".

  • Par exemple, faites un clic-droit à la racine de votre clé et créez un nouveau répertoire que vous nommerez AdobeR.exe. Puis, à nouveau, faites un clic-droit et sélectionnez Propriétés, et sélectionnez l'attribut "lecture seule".

lecture_seule.jpg


  • Voilà, si vous insérez votre clé dans un pc infecté par cette variante de l'infection, le véritable AdobeR.exe infectieux ne pourra se copier-coller sur votre clé. Il suffit d'étendre la méthode à la variante rencontrée sur les postes sur lesquels vous branchez régulièrement vos supports.

  • Vous trouverez ci-dessous un petit exécutable (cliquez sur la roue dentée) permettant d'automatiser la création de quelques répertoires en lecture seule, les plus rencontrés, au noms de fichiers infectieux se propageant par ce moyen.

system.pngVaccinUSB.exe

  • Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. A présent, l'outil détectera automatiquement toutes les partitions et les supports, et les vaccinera en conséquence. Il n'est plus nécessaire de copier-coller l'outil à la racine de chacun des disques. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées (la liste des répertoires créés est susceptible d'évoluer). Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté :

Nschema2_infusb.jpg


 

Démonstration par l'image d'une infection et désinfection

 

flechedroite.pngJ'ai inséré ma clé dans un pc contaminé

  • J'ai donc inséré ma clé dans un pc contaminé. Cette dernière n'était pas vaccinée, la voici infectée. Comme l'infection a modifié les options d'affichage des fichiers et dossiers cachés, de sorte qu'ils n'apparaissent pas, les fichiers responsables de l'infection ne sont pas visibles. Tiens, quel est donc ce répertoire winfile que je ne connais pas sur ma clé ? Prudence.

1_cle_infect_caches.JPG


  • Pourtant, les fichiers infectieux sont bien là. Modifions les options d'affichage afin de les révéler. On voit ainsi tous les fichiers infectieux qui se sont greffés sur ma clé. On aperçoit à présent une extension au répertoire Winfile : il ne s'agit donc pas d'un répertoire mais d'un processus. En double-cliquant dessus, je l'aurais exécuté. Souvenez-vous, je vous avais parlé de cette astuce des infections ;)

2_cle_infect_reveles.JPG


  • En insérant la clé dans mon pc sain, sans antivirus, et en double-cliquant sur la lettre du volume pour l'ouvrir, j'active l'infection en ouvrant ma clé. Les processus sont maintenant actifs sur mon système, et en plus de travailler à ceux pourquoi ils ont été conçus, ils infecteront chacun des supports amovibles connectés dès que je double-cliquerais dessus. Sur l'image suivante, on les distingue bien.

3_pe_infections.JPG


  • On voit nettement les processus AdobeR.exe et Temp1.exe.

flechedroite.pngProcédons à la désinfection

  • Commençons par télécharger Flash Disinfector de sUBs, et exécutons le. Observons les processus et fichiers qui ont disparu.

4_fl_pe_.JPG


  • Les processus ont disparu, ils ne sont plus en cours d'utilisation. C'est une bonne chose. Maintenant, allons faire un tour sur la clé voir ce qui subsiste.

5_fl_cle_partiellement_desinf.JPG


  • Le double-clic fonctionne à nouveau, car le Fix a traité l'Autorun.inf infectieux, et placé son répertoire homonyme en lecture seule. Cependant, il reste encore des processus infectieux sur la clé. Passons au vaccin, téléchargeons le et exécutons le.

6_fl_vaccin_cle_presque.JPG


  • C'est nettement mieux, plus que le autorun.rar inoffensif à supprimer afin d'avoir une clé propre. Les autres fichiers infectieux qui subsistaient ont été écrasé par les répertoires-vaccins. Je peux m'assurer qu'il s'agit bien ici des répertoires vaccins, car en passant ma souris sur chacun d'entre eux, windows me révèle la présence d'un Gof.txt dans chacun d'eux.

  • Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider ;-)

12 Commentaires


Commentaires recommandés

JF:)

Posté(e)

Bonjour !

Merci pour tes excellents tutos.

 

Je me suis servi de tes informations pour cet article

http://fspsa.free.fr/contamination-lecteurs-amovibles.htm

 

Il apparait que l'utilisation du Menu Contextuel ne protège pas l'utilisateur.

Je suggère donc de corriger ce passage :

 

Comment se préserver de ce type d'infections ?

N'ouvrez pas vos volumes en double-cliquant

 

Au plaisir,

JF

  • Modérateurs
Gof

Posté(e)

Bonjour JF:) ;)

 

Je te remercie de ton commentaire et de cette importante précision. En effet, sur les variantes rencontrées pour la réalisation de ce sujet, les fichiers autorun.inf récupérés alors ne contenaient pas la commande permettant de détourner la fonction "Explorer".

 

Seule la commande du menu contextuel Développer est fiable, Ouvrir et Explorer étant potentiellement détournables.

Merci de cette importante précision !! A bientôt !

 

 

J'invite ceux qui avaient posté ce sujet sur d'autres URL d'apporter cette précision importante à la suite du sujet :D Attention, le sujet en BBcode proposé n'a pas encore été corrigé.

 

Je vous invite également à consulter les pages de JF:)

  • Modérateurs
Gof

Posté(e)

Bonjour tout le monde, ;)

 

Petite précision pour la chronologie de lecture : une fois que vous avez lu ce sujet, je vous invite ensuite à consulter le sujet suivant qui en découle :

Restaurer l'ouverture d'un lecteur

:D

  • Modérateurs
Gof

Posté(e)

Bonjour,

 

Je remonte ce sujet suite à l'édition du billet initial avec l'ajout d'une partie : fonctionnalité "Autorun" mise à jour par Microsoft

fabilout

Posté(e)

Bonjour,

Merci pour cet excellent tutoriel. J'aimerais savoir si le fichier: "autorun_off.reg", qui permet de désactiver l'auto-run des clés USB, est aussi applicable sur XP et Vista.

  • Modérateurs
Gof

Posté(e)

Bonsoir fabilout, :)

 

Oui, ce fichier est applicable sur Vista et XP. Il désactivera la fonctionnalité Autorun sur tous les supports.

 

Note : Pour Vista, il est préférable, en plus, de doubler le coup en désactivant également manuellement via le Panneau de configuration > Exécution automatique.

  • Modérateurs
Gof

Posté(e)

Bonjour :)

 

Un petit mot pour prévenir que j'ai changé un peu le VaccinUSB.exe disponible sur le lien du tuto. Rien d'exceptionnel dans les changements toutefois.

  • C'est juste un batch compilé.
  • Il n'est plus nécessaire de le copier-coller à la racine des lecteurs à vacciner. Il suffit de double-cliquer dessus, il détectera les différents lecteurs et partitions et vaccinera chacun des volumes. Cela devrait être plus simple d'emploi.
  • La méthode de vaccination a légèrement changée, il ne s'agit plus que d'un répertoire, mais d'un répertoire avec un fichier crée via l'emploi des noms réservés Windows. Chacun des répertoires contiendra donc un fichier con.Repertoire vaccin. Un répertoire était trop faible, en vaccination. Ainsi, aucun répertoire vacciné ne pourra être donc supprimé par une infection active, ou par accident de l'internaute.
  • Les répertoires-vaccins ont toujours les attributs cachés et système, ce qui ne devrait pas gêner la grande majorité des internautes comme ces derniers ne les verront pas

 

Un rapport est généré, à titre indicatif, pour ceux qui le souhaiteraient. Il est stocké en %temp%\rapportVacUSB.txt

  • 31/03/2009 - 8:13:57,98 - Vaccin USB - Gof
     
    Lecteur détectés :
     
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est D022-3F91
    Le volume dans le lecteur D s'appelle 070704_1830
    Le numéro de série du volume est 3C06-D529
    Le volume dans le lecteur E s'appelle RECUP_UX_001 (ERIC)
    Le numéro de série du volume est 6088-97DC
     
    Répertoires et fichiers vaccins :
     
    c:\autorun.inf - Vaccin Ok
    c:\adober.exe - Vaccin Ok
    c:\copy.exe - Vaccin Ok
    c:\comment.htt - Vaccin Ok
    c:\host.exe - Vaccin Ok
    c:\info.exe - Vaccin Ok
    c:\msvcr71.dll - Vaccin Ok
    c:\ravmon.exe - Vaccin Ok
    c:\ravmon.log - Vaccin Ok
    c:\sqlserv.exe - Vaccin Ok
    c:\start.exe - Vaccin Ok
    c:\temp.exe - Vaccin Ok
    c:\temp1.exe - Vaccin Ok
    c:\temp2.exe - Vaccin Ok
    c:\winfile.exe - Vaccin Ok
    c:\zPharaoh.exe - Vaccin Ok
    c:\ntdelect.com - Vaccin Ok
    e:\autorun.inf - Vaccin Ok
    e:\adober.exe - Vaccin Ok
    e:\copy.exe - Vaccin Ok
    e:\comment.htt - Vaccin Ok
    e:\host.exe - Vaccin Ok
    e:\info.exe - Vaccin Ok
    e:\msvcr71.dll - Vaccin Ok
    e:\ravmon.exe - Vaccin Ok
    e:\ravmon.log - Vaccin Ok
    e:\sqlserv.exe - Vaccin Ok
    e:\start.exe - Vaccin Ok
    e:\temp.exe - Vaccin Ok
    e:\temp1.exe - Vaccin Ok
    e:\temp2.exe - Vaccin Ok
    e:\winfile.exe - Vaccin Ok
    e:\zPharaoh.exe - Vaccin Ok
    e:\ntdelect.com - Vaccin Ok
     
    Examen fonctions Autorun BDR :
     
     
    ! REG.EXE VERSION 3.0
     
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    HonorAutoRunSetting REG_DWORD 0x1
    NoDriveTypeAutoRun REG_DWORD 0xff
     
    ! REG.EXE VERSION 3.0
     
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
    <SANS NOM> REG_SZ "@SYS:DoesNotExist"
     
    31/03/2009 - 8:14:00,23 : Fin.

 

Ainsi, sont listés les lecteurs détectés, les répertoires-vaccins crées, les fichiers antérieurement présents écrasés par les répertoires vaccins, la valeur de différentes clés à interpréter ; ces dernières concernent la fonction "autorun".

 

A titre d'exemple ici, le rapport nous révèle que 3 lecteurs étaient détectés, 2 ont été vaccinés, le D étant le lecteur CD/DVD. Les valeurs sous policies\explorer indiquent que la mise à jour de sécurité corrigeant une vulnérabilité dans la désactivation de l'autorun a été installée (HonorAutoRunSetting), que l'autorun est désactivé par défaut (NoDriveTypeAutoRun REG_DWORD 0xff), que la fonction autorun a été par sécurité désactivée (@SYS:DoesNotExist) - même si l'autorun était réactivé via le registre, la fonction en elle-même est inactive, le fichier autorun.inf est ignoré sur tous supports.

 

------------

 

Si pour une raison ou une autre vous désirez supprimer les répertoires vaccins : delVaccinUSB.exe

  • Modérateurs
Gof

Posté(e)

Bonjour :)

 

Pour les Je n'ai pas le temps de tout lire ! , vous trouverez ci-dessous la manipulation complète en quelques clics pour être tranquille ; les éléments pour annuler une opération sont disponibles juste en face du lien de téléchargement.

 

  • flechedroite.png Téléchargez
FlashDisinfector de sUBs ou USBFix de Chiquitine29 (outil non dispo en ce moment).
L'exécuter (sous Vista penser à l'exécuter en mode Administrateur, via un clic-droit sur le fichier).
Les outils peuvent être détectés comme dangereux, il n'en est rien :)
information.pngBut de la manipulation : traiter les éventuelles infections reconnues présentes, mais surtout supprimer les clés registre Mountpoints2.
Si les outils ne sont pas disponibles, passez à l'étape suivante.

 

  • flechedroite.png Téléchargez la mise à jour Windows si elle na pas été installée :
mises à jour de sécurité 950582, 967715 ou 953252. .
Note: il s'agit des la même mise à jour en dépit des KB différents affichés. C'est parce que le mode de distribution n'est pas le même qu'il existe différents numéros de KB (mise à jour).
information.pngBut de la manipulation : traiter une vulnérabilité Windows qui ne rendait pas fiable la désactivation de l'autorun.

 

  • flechedroite.png Désactivez la fonction autorun et l'inhiber (la détourner en cas de réactivation de la fonction).
    Pour cela télécharger les deux fichiers REG suivants, ils doivent avoir cette icône : imageReg.jpg
    Désactiver l'autorun :
autorun_off.reg (fichier d'annulation ici).
Inhiber l'autorun : inifilemapping-autorun-protection-activee.reg (fichier d'annulation ici)
Note : Pour Vista, rendez-vous en plus via le Panneau de configuration > Exécution automatique afin de visualiser et corriger si nécessaire les exécutions automatiques de programmées.
information.png But de la manipulation : Supprimer le mécanisme de propagation qui permettrait à une clé infectée d'infecter votre système à son insertion.

 

  • flechedroite.png Vaccinez vos partitions et supports amovibles. La vaccination de vos partitions est encore un plus de prudence, sans doute pas réellement nécessaire. Mais la vaccination de vos supports me paraît importante : cela vous permettra de prêter vos supports sans craindre de vous infecter lorsque vous les récupérerez.
    Télécharger
VaccinUsb (pour supprimer et annuler les répertoires vaccins, télécharger ceci, pour supprimer quelques répertoires vaccins manuellement, Unlocker vous le permettra - Pensez à décocher l'installation de "eBay Desktop shortcuts" à l'installation de l'application.)
C'est à dire ? Le vaccin n'empêchera pas le support d'être infecté, mais il bloquera le système de propagation de l'infection. Au retour de votre support, sitôt ce dernier inséré et branché sur votre système, analysez simplement le support avec votre Antivirus, sans craindre de vous faire infecté.
information.pngBut de la manipulation : Protéger vos supports pour les prêter en toute quiétude.

 

  • attention.png Ces différents éléments effectués, vous serez déjà nettement plus tranquilles. Encore une suggestion, pour aller plus loin : Votre système est protégé, vos supports également, mais vous n'êtes pas à l'abri de la clé ou du lecteur MP3 du copain ou de la copine du petit dernier de la famille :)
    Bien que le mécansime de propagation soit neutralisé, si ce dernier vient volontairement cliquer sur le fichier infectieux présent sur le support, il est malgré tout possible d'infecter le système (en cas de non réaction de l'antivirus, ce qui pourrait arriver). Pour cela, désactivez votre Poste de travail aux périphériques USB que vous ne connaissez pas !

  • flechedroite.png Téléchargez
UsbStore de Nicolas Coolman. Une fois l'outil décompresé et exécuté, sélectionnez Disable Generic USB Storage, puis cliquez sur Ok. Fermez l'outil. Tout nouveau support USB inséré ne sera pas reconnu et ne pourra pas être installé par Windows. Le lecteur sera inaccessible et illisible. La manipulation inverse vous permettra d'annuler l'opération (pensez-y si vous cherchez à insérer une clé, une cam, qui ne veut pas être reconnue, car Windows ne trouvera jamais les drivers sinon).
information.pngBut de la manipulation : Il s'agit ici de verrouiller le Poste de Travail aux supports USB que l'on ne connait pas.

 

J'espère avoir été le plus clair possible dans ce post synthétique. Pour comprendre les mécanismes de ce type d'infections se propageant par supports amovibles, je vous invite à parcourir le sujet dès le premier post où tout y est plus longuement expliqué. :)

JEANFRNCOIS

Posté(e)

Bonjour Gof

 

Un grand merci pour ton aide !

Je passe beaucoup de temps dans les cybercafé et j'étais donc confronté à des ordinateurs lents qui bloquaient souvent au bout d'environ une heure de connexion.

J'avais eu l'icône "lecteur amovible" de ma clé USB qui avait changée en icône "dossier", et j'avais des messages d'erreur comme quoi certains fichiers étaient en lecture seule.

En cherchant sur internet je trouvais seulement des réponses rassurantes sur le fait que ces fichiers étaient des processus normaux de l'ordinateur et que pour l'icône, il fallait créer un fichier autorun.inf avec une nouvelle icône de son choix.

En changeant de cybercafé, Bitdefender me signale qu'il a bloqué un virus venant de ma clé USB.

Mais les noms de virus détectés et bloqués étaient de faux noms car à chaque recherche, il n'y avait que très peu de réponses de la part de Google.

Evidemment le virus m'empêchait d'accéder aux pages des principaux anti-virus.

C'est seulement en téléchargeant sans la clé USB, et en la branchant après pour copier les différents anti-virus, que j'ai pu installer Avast sur mon ordinateur.

En combinant Avast, Anti-Malware et OTmoveIT ; j'ai réussi à désinfecter mes clé, disques externes et ordinateur.

Jusque là, je n'étais pas encore tombé sur ton excellent tuto, donc à la première connexion dans le cybercafé ma clé était à nouveau infectée.

C'est pourquoi je te redis encore un grand merci pour ta précieuse aide !

 

Petites questions :

- Est ce que Flash Disinfector agit rapidement ( quelques secondes ) ou faut il attendre un certain temps avant de lancer VaccinUSB ?

- Connais tu USBgardian ? Et si oui, que vaut il ?

- Est ce que VaccinUSB aura des mises à jour ou restera t il inchangé ? ( car les virus utilisent toujours ces mêmes fichiers )

 

J'ai encore d'autres questions mais je m'arrête là pour aujourd'hui.

 

Encore Merci

  • Modérateurs
Gof

Posté(e)

Bonjour JEANFRNCOIS :)

 

Merci de ton commentaire. Je t'ai répondu sur le lien suivant, de sorte que cela soit plus aisé pour nous deux de converser et que cela profite à tous.

 

A bientôt :)

  • Modérateurs
Gof

Posté(e)

Bonjour tout le monde, :)

 

MBAM qui détectait depuis quelques mises à jour les répertoires vaccins comme infectieux a traité ces détections à compter de la version 1.38.

 

* (FIXED) Minor issue with updating.

* (FIXED) Certain types of freezing during full and quick scans.

* (FIXED) Problem with Estonian language and installer.

* (FIXED) Certain folders showing up as files in results list.

* (FIXED) Scan time improperly displayed if Abort Scan clicked after Pause Scan.

* (FIXED) Error during loading log files after database update.

* (FIXED) Issues with freezing in protection mode. Certain conflicts with anti-virus software.

* (ADDED) Some proxy support, please see /proxy command line parameter.

* (ADDED) New command line parameters: /logtofolder, /logtofile (see help file).

 

Les répertoires vaccins, ainsi, ne seront plus déclarés illégitimement infectieux :) Merci à Falkra pour son relais :)

  • Modérateurs
Gof

Posté(e)

Info.pngCe billet commence à être obsolète, je vous invite à consulter la mise à jour disponible sur ce lien.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Add a comment...

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...