Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infections par supports amovibles

Gof

Par Gof
dans Bibliothèque

 Partager

Messages recommandés

Elis Member

Elis

Posté(e)
Posté(e)
flechedroite.pngDésactiver l'autorun par défaut dans Windows
  • Autre manipulation, nous permettant d'éviter d'avoir à sélectionner Développer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent.

  • Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc.

imageReg.jpg autorun_off.reg

  • La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment.

imageReg.jpg autorun_on.reg

 

Bonjour,

J'essaie cette manip, mais en double cliquant sur tes liens, j'obtiens des fichiers .txt et je ne vois nulle part la possibilité de "fusion dans le registre"

 

Quelque chose m'aurait-il échapper ?

Je ne comprends pas.

 

Merci de ta réponse et grand merci pour ce dossier.

Lien vers le commentaire
Partager sur d’autres sites

Elis Member

Elis

Posté(e)
Posté(e)
system.pngVaccinUSB.exe

Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées (la liste des répertoires créés est susceptible d'évoluer). Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déjà présent, ce dernier sera effacé.

 

Ok, j'ai fait ce "vaccin". :P

Cependant, quelques questions : :P

1) la liste des répertoires collés ont du évoluer car, est-ce normal :P

Ne se sont pas créés : Found.000, desktop.ini et autorun.rar :P

Par contre, j'ai "en plus" : comment.hht, info.exe, sqlserv.exe, temp.exe, temp1.exe, temp2.exe, zPharaoh.exe

Il est donc certainement conseillé de vacciner régulièrement en téléchargeant régulièrement vaccinUB.exe :P

2) Doit-on exécuter aussi ce "vaccin" à la racine de C, c'est à dire sur le Disque dur du PC ? :P

 

Merci et a+ :P

Lien vers le commentaire
Partager sur d’autres sites
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Auteur
  • Modérateurs
Posté(e)

Bonjour tout le monde, Elis :P

 

Navré du délai, je n'ai que peu de disponibilités en ce moment.

 

(...) J'essaie cette manip, mais en double cliquant sur tes liens, j'obtiens des fichiers .txt et je ne vois nulle part la possibilité de "fusion dans le registre". Quelque chose m'aurait-il échapper ? Je ne comprends pas. (...)

 

Si tu obtiens en effet des fichiers textes avec l'icône suivante => imagetxt.jpg

Tu n'auras pas la possibilité de "fusionner" les fichiers au registre. Il te faut obtenir des fichiers avec cette icône : imageReg.jpg

 

Pour cela plusieurs possibilités, suivant comment réagit le navigateur.

 

1. Si tu as déja les fichiers texte sur ton PC, change l'extension .txt en .reg, les fichiers seront ainsi fonctionnels.

2. Ou encore, fais un clic-droit sur le lien, et sélectionne Enregistrer sous ou Enregistrer la cible sous.

3. Autre possibilité, si en cliquant sur le lien ton navigateur au lieu de te proposer d'enregistrer le fichier t'affiche son contenu, rends toi dans Fichier > Enregistrer sous du navigateur, le nom proposé par défaut devrait être l'original.

 

 

(...) Cependant, quelques questions : :P

1) la liste des répertoires collés ont du évoluer car, est-ce normal :PIl est donc certainement conseillé de vacciner régulièrement en téléchargeant régulièrement vaccinUB.exe

2) Doit-on exécuter aussi ce "vaccin" à la racine de C, c'est à dire sur le Disque dur du PC ? :P (...)

 

1. En effet, le contenu du "vaccin" diffère un peu depuis que ce post a été rédigé. Il a été actualisé avec les versions d'infections très fréquemment rencontrées. Pour autant, le vaccin bouge peu ; il faut comprendre que le répertoire "vaccin" le plus important est l'autorun.inf ; le reste c'est du bonus :P

2. Oui, je suggère en effet de l'exécuter aussi à la racine de C. Cela permet ainsi la création d'un autorun.inf vaccin sur la partition Système.

 

A terme, je bricolerais le vaccin pour que l'utilisateur ne soit plus obligé de renouveler la vaccination sur chacun des disques, mais que cela soit fait automatiquement en une fois.

 

J'espère avoir répondu le plus clairement possible à tes questions. Si c'est le cas, je t'invite à consulter ce sujet afin de poursuivre et s'assurer que tout a été bien compris :

Exercice de Propagation d'une infection par support amovible - Ais-je bien compris, suis-je prémuni(e) ?

 

A bientôt :P

Lien vers le commentaire
Partager sur d’autres sites
  • 2 semaines après...
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Auteur
  • Modérateurs
Posté(e)

Importante mise à jour Microsoft de la fonctionnalité Autorun.

 

flechedroite.pngfonctionnalité "Autorun" mise à jour par Microsoft

27 Fevrier 2009

Microsoft vient de publier un bulletin sécurité sur la mise à jour de la fonction "Autorun". Il y a quelques mois, une vulnérabilité avait été identifiée au sein de cette fonction. La clé de registre utilisée pour l’activation ou la désactivation de la fonction Autorun (NoDriveTypeAutoRun) n’était pas correctement prise en compte par le système d’exploitation. Ce problème était particulièrement exploité par le virus Conficker, capable d’infecter les supports USB. La désactivation de de cette fonction n’était jamais pris en compte ce qui permettait d’exécuter le virus dès qu’un utilisateur branchait son support USB. (...) .
Source : mag-securs.com

 

C'était pour cette raison que dans l'article "infections par supports USB" il était indiqué de systématiquement ouvrir les supports potentiellement infectés par un clic-droit>Développer. Car les fonctions Ouvrir et Explorer restaient polluées, même après désactivation de l'autorun. Ce qui avait été constaté après quelques essais.

 

La mise à jour windows créée notamment cette valeur (elle est à 1 par défaut) :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
     
    Nom : HonorAutoRunSetting
    Type : REG_DWORD
    Données : 0x1
     
    Nom : NoDriveTypeAutoRun
    Type : REG_DWORD
    Données : 0xff

Plus d'infos :

Merci à JF:) qui m'a prévenu

 

Ainsi, après la MAJ, une fois l' Autorun désactivé (toujours via le REG proposé), les double-clic, Ouvrir, Explorer ou Développer n'exécuteront pas l'autorun.inf présent. Il n'y aura plus d'impératifs à faire impérativement "Développer" pour ouvrir un support potentiellement contaminé.

 

flechedroite.pngQue devez vous donc faire en plus ?

 

Seulement vous assurer que votre système soit à jour. :P Si vous n'êtes pas en mise à jour automatique, assurez vous de télécharger manuellement vos mises à jour de sécurité. La mise à jour qui nous intéresse est celle-ci : KB967715.

Lien vers le commentaire
Partager sur d’autres sites
  • 3 semaines après...
cotes du rhone Mega Power Member

cotes du rhone

Posté(e)
Posté(e)

Bonjour TLM,

Bonjour Gof,

 

Suite à ce dernier post, j'ai vérifié, dans mon PC, la clé:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Et voici ce que ça donne:

 

screenshot558.png

 

Question:

Pour se mettre dans les conditions énoncées de ton dernier post (savoir: « Il n'y aura plus d'impératifs à faire impérativement "Développer" pour ouvrir un support potentiellement contaminé. ») suffirait-il, après action de Flash Disinfector, de remplacer "ma ligne" valeur/données (voir image) par les deux nouvellement proposées ?

En effet, le correctif n'est pas nécessairement admis sur les OS OEM, dont des milliers d'internautes sont victimes.

 

Merci d'avance pour cette précision.

Lien vers le commentaire
Partager sur d’autres sites
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Auteur
  • Modérateurs
Posté(e)

Bonjour côtes du rhone, :P

 

En effet, le correctif n'est pas nécessairement admis sur les OS OEM, dont des milliers d'internautes sont victimes.
Une version OEM est acceptée pour les mises à jour de sécurité (et autres d'ailleurs).

 

La mise à jour KB967715 créant cette nouvelle valeur ne doit pas -j'imagine- ne créer que cela pour corriger la vulnérabilité liée à l'ouverture des supports -et ce malgré la désactivation de l'autorun.

 

Mais en effet, à terme, tu devrais avoir ces entrées :

  • Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 27/02/2009 - 22:21
    Valeur 0
    Nom : HonorAutoRunSetting
    Type : REG_DWORD
    Données : 0x1
     
    Valeur 1
    Nom : NoDriveTypeAutoRun
    Type : REG_DWORD
    Données : 0xff

Conclusion : FlashDinsinfector + création manuelle des valeurs ne sera pas je le pense suffisant.

 

Il reste important d'installer la mise à jour.

Lien vers le commentaire
Partager sur d’autres sites
  • 2 semaines après...
fabe75 Junior Member

fabe75

Posté(e)
Posté(e)

Bonjour,

 

TOut d abord un grand merci a gof. Grace a ton explication très claire, j ai tout compris et j ai pu enlever ces saletés de mes clés et me prémunir avec ton vaccin.

 

Je voulais aussi te suggérer une méthode que j ai trouvé sur le net pour restaurer l ouverture d un lecteur suite a une infection. J utilise OTmoveit et les lignes de commandes

C:\autorun.inf

D:\autorun.inf

E:\autorun.inf

F:\autorun.inf

Ca a bien marché pour moi. :P))

 

Par contre j aurais une question: J'aide pour la gestion du réseau informatique de l établissement scolaire ou je travaille. TOus les ordis sont reliés à un serveur qui nous donne accès a différents espaces (espace pédagogique, espace commun, espace élèves...) et à internet. Ces ordis sont fréquentés par tout le monde (prof, eleve).

 

QUelle serait la méthode la plus simple pour éradiquer les trojan sur ce serveur (parce que c est sur qu il y en a)?

Quelle serait la méthode pour que les trojan ne reviennent plus?

 

Pour le serveur je ne sais pas trop, sinon pour le reste j avais pensé soigner les clés et les dd durs avec otmoveit et vacciner les clés avec ton vaccin.

 

Merci d avance pour ta réponse et encore un grd bravo pour ton article.

fabe75

Lien vers le commentaire
Partager sur d’autres sites
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Auteur
  • Modérateurs
Posté(e)

Bonjour fabe75 :P

 

Je voulais aussi te suggérer une méthode que j ai trouvé sur le net pour restaurer l ouverture d un lecteur suite a une infection. J utilise OTmoveit et les lignes de commandes (...)
Oui, cela revient en effet au même que supprimer manuellement le fichier en invite de commande, ou via le petit utilitaire 2clic. Un fichier autorun.inf n'est pas en soi dangereux, il contient juste le chemin d'un programme à exécuter lorsqu'il est interprété. Si l'antivirus traite le véritable fichier infectieux à l'insertion d'une clé, le fichier autorun.inf indique un chemin qui n'existe plus. D'où le message d'erreur à l'ouverture du support, et ce qui empêche parfois d'accéder au lecteur. Le simple fait de supprimer ce fichier sur la clé (désinfectée) permet d'y accéder à nouveau convenablement.

 

Par contre j aurais une question: J'aide pour la gestion du réseau informatique de l établissement scolaire ou je travaille. TOus les ordis sont reliés à un serveur qui nous donne accès a différents espaces (espace pédagogique, espace commun, espace élèves...) et à internet. Ces ordis sont fréquentés par tout le monde (prof, eleve). (...)
Ce n'est pas évident. Il faudrait savoir quels sont les systèmes sur ces différents postes, quels sont les autorisations des comptes, tout le monde peut-il y brancher un support, etc ?

 

Je maîtrise mal cet aspect des choses : je saurais te répondre pour un poste "particulier", mais dans le cas d'un réseau d'un établissement scolaire, le souci n'est plus le même.

Lien vers le commentaire
Partager sur d’autres sites
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Auteur
  • Modérateurs
Posté(e)

Bonjour :P

 

Un petit mot pour prévenir que j'ai changé un peu le VaccinUSB.exe disponible sur le lien du tuto. Rien d'exceptionnel dans les changements toutefois.

  • C'est juste un batch compilé.
  • Il n'est plus nécessaire de le copier-coller à la racine des lecteurs à vacciner. Il suffit de double-cliquer dessus, il détectera les différents lecteurs et partitions et vaccinera chacun des volumes. Cela devrait être plus simple d'emploi.
  • La méthode de vaccination a légèrement changée, il ne s'agit plus que d'un répertoire, mais d'un répertoire avec un fichier crée via l'emploi des noms réservés Windows. Chacun des répertoires contiendra donc un fichier con.Repertoire vaccin. Un répertoire était trop faible, en vaccination. Ainsi, aucun répertoire vacciné ne pourra être donc supprimé par une infection active, ou par accident de l'internaute.
  • Les répertoires-vaccins ont toujours les attributs cachés et système, ce qui ne devrait pas gêner la grande majorité des internautes comme ces derniers ne les verront pas

 

Un rapport est généré, à titre indicatif, pour ceux qui le souhaiteraient. Il est stocké en %temp%\rapportVacUSB.txt

  • 31/03/2009 - 8:13:57,98 - Vaccin USB - Gof
     
    Lecteur détectés :
     
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est D022-3F91
    Le volume dans le lecteur D s'appelle 070704_1830
    Le numéro de série du volume est 3C06-D529
    Le volume dans le lecteur E s'appelle RECUP_UX_001 (ERIC)
    Le numéro de série du volume est 6088-97DC
     
    Répertoires et fichiers vaccins :
     
    c:\autorun.inf - Vaccin Ok
    c:\adober.exe - Vaccin Ok
    c:\copy.exe - Vaccin Ok
    c:\comment.htt - Vaccin Ok
    c:\host.exe - Vaccin Ok
    c:\info.exe - Vaccin Ok
    c:\msvcr71.dll - Vaccin Ok
    c:\ravmon.exe - Vaccin Ok
    c:\ravmon.log - Vaccin Ok
    c:\sqlserv.exe - Vaccin Ok
    c:\start.exe - Vaccin Ok
    c:\temp.exe - Vaccin Ok
    c:\temp1.exe - Vaccin Ok
    c:\temp2.exe - Vaccin Ok
    c:\winfile.exe - Vaccin Ok
    c:\zPharaoh.exe - Vaccin Ok
    c:\ntdelect.com - Vaccin Ok
    e:\autorun.inf - Vaccin Ok
    e:\adober.exe - Vaccin Ok
    e:\copy.exe - Vaccin Ok
    e:\comment.htt - Vaccin Ok
    e:\host.exe - Vaccin Ok
    e:\info.exe - Vaccin Ok
    e:\msvcr71.dll - Vaccin Ok
    e:\ravmon.exe - Vaccin Ok
    e:\ravmon.log - Vaccin Ok
    e:\sqlserv.exe - Vaccin Ok
    e:\start.exe - Vaccin Ok
    e:\temp.exe - Vaccin Ok
    e:\temp1.exe - Vaccin Ok
    e:\temp2.exe - Vaccin Ok
    e:\winfile.exe - Vaccin Ok
    e:\zPharaoh.exe - Vaccin Ok
    e:\ntdelect.com - Vaccin Ok
     
    Examen fonctions Autorun BDR :
     
     
    ! REG.EXE VERSION 3.0
     
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
    HonorAutoRunSetting REG_DWORD 0x1
    NoDriveTypeAutoRun REG_DWORD 0xff
     
    ! REG.EXE VERSION 3.0
     
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
    <SANS NOM> REG_SZ "@SYS:DoesNotExist"
     
    31/03/2009 - 8:14:00,23 : Fin.

 

Ainsi, sont listés les lecteurs détectés, les répertoires-vaccins crées, les fichiers antérieurement présents écrasés par les répertoires vaccins, la valeur de différentes clés à interpréter ; ces dernières concernent la fonction "autorun".

 

A titre d'exemple ici, le rapport nous révèle que 3 lecteurs étaient détectés, 2 ont été vaccinés, le D étant le lecteur CD/DVD. Les valeurs sous policies\explorer indiquent que la mise à jour de sécurité corrigeant une vulnérabilité dans la désactivation de l'autorun a été installée (HonorAutoRunSetting), que l'autorun est désactivé par défaut (NoDriveTypeAutoRun REG_DWORD 0xff), que la fonction autorun a été par sécurité désactivée (@SYS:DoesNotExist) - même si l'autorun était réactivé via le registre, la fonction en elle-même est inactive, le fichier autorun.inf est ignoré sur tous supports.

 

------------

 

Si pour une raison ou une autre vous désirez supprimer les répertoires vaccins : delVaccinUSB.exe

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...