Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infections par supports amovibles


Gof

Messages recommandés

  • Modérateurs

Re fabe75 :P

 

Pas de soucis normalement, il ne faut pas tenir compte des éléments affichés dans la fenêtre d'invite de commande.

Ce qui compte, c'est ce qui est affiché dans le rapport généré à la fin de l'utilisation de l'outil, indiquant les répertoires et lecteurs vaccins créés.

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Bonjour :P

 

Pour les Je n'ai pas le temps de tout lire ! , vous trouverez ci-dessous la manipulation complète en quelques clics pour être tranquille.

 

  • flechedroite.png Téléchargez
FlashDisinfector de sUBs ou USBFix de Chiquitine29.
L'exécuter (sous Vista penser à l'exécuter en mode Administrateur, via un clic-droit sur le fichier).
Les outils peuvent être détectés comme dangereux, il n'en est rien :P
information.pngBut de la manipulation : traiter les éventuelles infections reconnues présentes, mais surtout supprimer les clés registre Mountpoints2.
Si les outils ne sont pas disponibles, passez à l'étape suivante.

 

  • flechedroite.png Téléchargez la mise à jour Windows si elle na pas été installée :
mises à jour de sécurité 950582, 967715 ou 953252. .
Note: il s'agit des la même mise à jour en dépit des KB différents affichés. C'est parce que le mode de distribution n'est pas le même qu'il existe différents numéros de KB (mise à jour).
information.pngBut de la manipulation : traiter une vulnérabilité Windows qui ne rendait pas fiable la désactivation de l'autorun.

 

  • flechedroite.png Désactivez la fonction autorun et l'inhiber (la détourner en cas de réactivation de la fonction).
    Pour cela télécharger les deux fichiers REG suivants, ils doivent avoir cette icône : imageReg.jpg
    Désactiver l'autorun :
autorun_off.reg (fichier d'annulation ici).
Inhiber l'autorun : inifilemapping-autorun-protection-activee.reg (fichier d'annulation ici)
Note : Pour Vista, rendez-vous en plus via le Panneau de configuration > Exécution automatique afin de visualiser et corriger si nécessaire les exécutions automatiques de programmées.
information.png But de la manipulation : Supprimer le mécanisme de propagation qui permettrait à une clé infectée d'infecter votre système à son insertion.

 

  • flechedroite.png Vaccinez vos partitions et supports amovibles. La vaccination de vos partitions est encore un plus de prudence, sans doute pas réellement nécessaire. Mais la vaccination de vos supports me paraît importante : cela vous permettra de prêter vos supports sans craindre de vous infecter lorsque vous les récupérerez.
    Télécharger
VaccinUsb (pour supprimer et annuler les répertoires vaccins, télécharger ceci, pour supprimer quelques répertoires vaccins manuellement, Unlocker vous le permettra - Pensez à décocher l'installation de "eBay Desktop shortcuts" à l'installation de l'application.)
C'est à dire ? Le vaccin n'empêchera pas le support d'être infecté, mais il bloquera le système de propagation de l'infection. Au retour de votre support, sitôt ce dernier inséré et branché sur votre système, analysez simplement le support avec votre Antivirus, sans craindre de vous faire infecté.
information.pngBut de la manipulation : Protéger vos supports pour les prêter en toute quiétude.

 

  • attention.png Ces différents éléments effectués, vous serez déjà nettement plus tranquilles. Encore une suggestion, pour aller plus loin : Votre système est protégé, vos supports également, mais vous n'êtes pas à l'abri de la clé ou du lecteur MP3 du copain ou de la copine du petit dernier de la famille :P
    Bien que le mécansime de propagation soit neutralisé, si ce dernier vient volontairement cliquer sur le fichier infectieux présent sur le support, il est malgré tout possible d'infecter le système (en cas de non réaction de l'antivirus, ce qui pourrait arriver). Pour cela, désactivez votre Poste de travail aux périphériques USB que vous ne connaissez pas !

  • flechedroite.png Téléchargez
UsbStore de Nicolas Coolman. Une fois l'outil décompresé et exécuté, sélectionnez Disable Generic USB Storage, puis cliquez sur Ok. Fermez l'outil. Tout nouveau support USB inséré ne sera pas reconnu et ne pourra pas être installé par Windows. Le lecteur sera inaccessible et illisible. La manipulation inverse vous permettra d'annuler l'opération (pensez-y si vous cherchez à insérer une clé, une cam, qui ne veut pas être reconnue, car Windows ne trouvera jamais les drivers sinon).
information.pngBut de la manipulation : Il s'agit ici de verrouiller le Poste de Travail aux supports USB que l'on ne connait pas.

 

J'espère avoir été le plus clair possible dans ce post synthétique. Pour comprendre les mécanismes de ce type d'infections se propageant par supports amovibles, je vous invite à parcourir le sujet dès le premier post où tout y est plus longuement expliqué. :P

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
Bonjour,

Un petit souci !!! Le lien http://pagesperso-orange.fr/-Gof/DL/VaccinUSB.exe me conduit à "PAGE INTROUVABLE"

Pourquoi ?

 

Merci de votre réponse

 

Désolée....je ne comprends pas très bien pourquoi mais le lien fonctionne de nouveau.

Est-ce du fait que j'ai fait "un nettoyage" avec CCleaner ? MYSTERE !!!

 

:P

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
  • Modérateurs

Bonjour tout le monde, :P

 

A titre info, MBAM n'aime pas mes répertoires vaccins depuis une récente mise à jour, ces derniers prémunissant le système contre la propagation des infections se propageant par supports amovibles :

Fichier(s) infecté(s):

C:\autorun.inf (Trojan.Agent) -> No action taken.

C:\copy.exe (Trojan.Agent) -> No action taken.

C:\host.exe (Trojan.Agent) -> No action taken.

C:\ntdelect.com (Trojan.Agent) -> No action taken.

Il les voit comme des fichiers, et non des répertoires vides.

 

L'outil suivant supprime les répertoires vaccins sur toutes les partitions et lecteurs détectés si cela peut rassurer l'internaute : http://pagesperso-orange.fr/-Gof/DL/delVaccinUSB.exe

 

J'avoue que je préférerais que MBAM les ignore, d'autant que ce sont des répertoires, vaccins qui plus est. Je vais voir si cela est possible. D'ici là, vous pouvez mettre ces entrées en exclusion (après vous être assuré qu'il s'agit bien des répertoires vaccins), ou les supprimer avec l'utilitaire indiqué.

 

Navré de ce dérangement.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
  • Modérateurs

Bonjour :P

 

Je rapatrie ici un commentaire/question posté sur le Blog à la suite de ce sujet, pour pouvoir y répondre plus aisément et afin que cela soit plus visible.

 

Bonjour Gof

 

Un grand merci pour ton aide !

Je passe beaucoup de temps dans les cybercafé et j'étais donc confronté à des ordinateurs lents qui bloquaient souvent au bout d'environ une heure de connexion.

J'avais eu l'icône "lecteur amovible" de ma clé USB qui avait changée en icône "dossier", et j'avais des messages d'erreur comme quoi certains fichiers étaient en lecture seule.

En cherchant sur internet je trouvais seulement des réponses rassurantes sur le fait que ces fichiers étaient des processus normaux de l'ordinateur et que pour l'icône, il fallait créer un fichier autorun.inf avec une nouvelle icône de son choix.

En changeant de cybercafé, Bitdefender me signale qu'il a bloqué un virus venant de ma clé USB.

Mais les noms de virus détectés et bloqués étaient de faux noms car à chaque recherche, il n'y avait que très peu de réponses de la part de Google.

Evidemment le virus m'empêchait d'accéder aux pages des principaux anti-virus.

C'est seulement en téléchargeant sans la clé USB, et en la branchant après pour copier les différents anti-virus, que j'ai pu installer Avast sur mon ordinateur.

En combinant Avast, Anti-Malware et OTmoveIT ; j'ai réussi à désinfecter mes clé, disques externes et ordinateur.

Jusque là, je n'étais pas encore tombé sur ton excellent tuto, donc à la première connexion dans le cybercafé ma clé était à nouveau infectée.

C'est pourquoi je te redis encore un grand merci pour ta précieuse aide !

 

Petites questions :

- Est ce que Flash Disinfector agit rapidement ( quelques secondes ) ou faut il attendre un certain temps avant de lancer VaccinUSB ?

- Connais tu USBgardian ? Et si oui, que vaut il ?

- Est ce que VaccinUSB aura des mises à jour ou restera t il inchangé ? ( car les virus utilisent toujours ces mêmes fichiers )

 

J'ai encore d'autres questions mais je m'arrête là pour aujourd'hui.

 

Encore Merci

 

Bonjour JEANFRNCOIS :P

 

Merci de ton commentaire.

 

Mais les noms de virus détectés et bloqués étaient de faux noms car à chaque recherche, il n'y avait que très peu de réponses de la part de Google.
Il existe beaucoup d'infections par supports amovibles dont les noms de fichiers infectieux sont générés aléatoirement à chaque infection de supports. Ce qui fait qu'une recherche Google donne peu de résultats, et cela rend illusoire toute ambition de vaccination.

 

- Est ce que VaccinUSB aura des mises à jour ou restera t il inchangé ? ( car les virus utilisent toujours ces mêmes fichiers )
Pour la raison évoquée précédemment, le VaccinUSB variera très peu. Il n'est pas possible de pouvoir vacciner toutes les variantes de ce type d'infections se propageant par supports amovibles. D'autant que cela peut parfois occasionner des Faux-positifs (fausses alertes) des outils de sécurité. En ce moment, c'est l'outil Malwarebytes' Anti-Malware qui n'aime pas mes répertoires vaccins (cf ce post). Ce qu'il est important surtout de conserver en répertoire vaccin, c'est le répertoire autorun.inf qui est la clé de la propagation de l'infection. Ce dernier empêchera la propagation de la clé au PC : c'est ensuite, idéalement, à l'antivirus de prendre le relais pour traiter le fichier infectieux présent sur la clé (si présent).

 

- Est ce que Flash Disinfector agit rapidement ( quelques secondes ) ou faut il attendre un certain temps avant de lancer VaccinUSB ?
Cela dépend des éventuelles infections présentes ou non en fait. L'outil indique normalement quand il a fini de travailler. Petite note sur ce dernier : l'outil n'est plus très entretenu, et son code est surtout adapté aux versions anglophones de windows. Certains éléments, sous un windows Français, sont ignorés. Il a surtout été très efficace il y a quelques années, il l'est nettement moins à présent ; je le conserve dans la "check-list", car il supprime automatiquement les clés MOUNTPOINTS2 faisant appel à un exécutable (comme indiqué dans mon commentaire précédent).

 

- Connais tu USBgardian ? Et si oui, que vaut il ?
Penses-tu à l'outil développé par Laddy et Batch_Man ? Si c'est bien de ce dernier, oui je connais. Toutes les initiatives permettant d'accroître la sécurité des internautes sont louables. :P

Ce n'est pas un outil de désinfection, c'est un outil adapté aux forums pour générér un rapport sur les éléments sensibles associés aux infections se propageant par supports amovibles. Leur option de vaccination n'est pas adaptée je pense pour l'instant. J'avais procédé ainsi au départ du VaccinUSB ; mais je me suis rendu compte à l'usage (insertion de clés vaccinées sur des PC infectés) que le répertoire vaccin finissait à terme par être supprimé par les infections. C'est à dire ? Progressivement, à chaque insertion, l'infection cherche à copier-coller son autorun.inf infectieux en écrasant le répertoire-vaccin autorun.inf ; ce dernier perd progressivement ses attributs à cause de l'infection (de caché, il devient visible, etc, etc). Au final, l'utilisateur ou l'infection finit par supprimer le répertoire, ce dernier étant visible. C'est pour cela que j'ai opté pour une création de répertoires-vaccins ne permettant pas facilement de les supprimer.

 

Les outils de désinfection d'infections se propageant par supports amovibles ne me semblent pas viables et fiables. Il y a trop d'infections disparates, n'ayant rien à voir les unes avec les autres, utilisant ce procédé de propagation ; elles n'ont finalement en commun que d'avoir ce mécanisme de propagation. Quel développeur est en mesure de traiter avec son fix de désinfection d'infections USB du Bagle, Conficker, et autres consorts ? Cela ne me semble pas possible, et c'est pour cela que FlashDisinfector notamment n'est plus entretenu. Il faut voir ces outils comme un moyen préventif, en amont de l'infection, et uniquement pour leur création de répertoires et de suppressions de clés, pas comme des outils de désinfection automatique.

 

J'avais l'intention de créer un article sur les différents outils dédiés à ce type d'infections, je m'y collerais prochainement :P

 

Si tu as d'autres questions, n'hésite pas. A bientôt.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Gof et merci pour tes réponses.

 

Dommage que Anti-Malware ne "voit" pas que les fichiers vaccin sont vides, ou que Avast déclenche une alerte pour VaccinUSB.

Mais dans mon cas, ce n'est pas trop grave car je ne les active que très rarement, car mon EeePC 701 ralenti vraiment lors d'analyses ponctuelles (MBAM) ou permanentes (Avast).

 

Pour Flash Disinfector, je regardais l'utilisation du CPU, donc je pensais qu'il avait fini au bout de deux secondes, car je n'ai jamais eu de message indiquant la fin de son action.

Mais comme tu le signales, un Windows en français en est peut-être la cause.

 

 

Je constate que même quand je fais "Outils > Option des dossiers > Affichage > Masquer ... " , les dossiers vaccins sont encore visibles dans la partie gauche de l'explorateur mais pas dans la partie droite.

Etant novice, j'aurai tendance à penser que ce n'est pas normal.

Je compte réinstaller Windows XP SP3 sur l'ordinateur pour être tranquille.

Je ne stock jamais rien sur ordinateur, et c'est aussi cela qui m'a fait prendre un EeePC 4Go lors de sa sortie.

C'est aussi pour cela que je m'intéresse plus à la sécurité de mes données sur les supports externes.

 

Je suis partisan des applications portables sur clé USB rapides ( OCZ Rally 2 Turbo ) et comme les ordinateurs dans les cybercafé sont suffisamment puissant ( 3 GHz 1 Go Ram ), existe t il un anti-virus "portable" ou à rendre "portable" ?

 

Au plaisir de te lire

 

@+

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Bonjour JEANFRNCOIS :P

 

Messages: 1
Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

 

Je constate que même quand je fais "Outils > Option des dossiers > Affichage > Masquer ... " , les dossiers vaccins sont encore visibles dans la partie gauche de l'explorateur mais pas dans la partie droite.

Etant novice, j'aurai tendance à penser que ce n'est pas normal.

Oui, c'est normal qu'ils apparaissent dans la partie gauche de l'explorateur, pas de soucis :P

 

existe t il un anti-virus "portable" ou à rendre "portable" ?
Ce n'est pas une piste que j'ai exploré, je ne suis pas en mesure de te répondre efficacement sur ce point précis. Je considère qu'un éventuel antivirus portable, sur la clé, risquerait d'entrer en conflit avec les outils présents sur la machine sur laquelle tu aurais inséré la clé. Du coup j'ai volontairement occulté ce domaine relatif à ta question. Je vais voir avec mes collègues si quelqu'un est en mesure de te répondre précisément sur ce point.

 

EDIT : hormis quelques antimalware (plus qu'antivirus) "portables", c'est à dire exécutables depuis un support amovible, il n'y a pas à ma connaissance d'antivirus dédié au support amovible, permettant d'agir comme un "guard" dès l'insertion du support. Cela existe pour le système dans lequel est inséré le support, mais pas à l'inverse, spécialement dédié à la clé.

 

Du moins à ma connaissance.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...