Infection sur disques amovibles

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.

Infection sur disques amovibles

Messagepar Malekal_morte » 05 Mai 2007 22:06

Les virus par disques amovibles sont de plus en plus fréquentes.
On entend par disques amovibles, les périphériques de masses que l'on peut insérer et retirer de l'ordinateur comme les clefs USB, disques dur externe ou cartes Flash.

Vous trouvez à cette page les infections les plus communes et leurs procédures de désinfections : infections par disques amovibles.

Enfin deux autres pages sur les infections par médias amovibles sont disponibles sur ces liens :

Cette page vous montre par quels mécanismes ces infections se propagent.

Le fichier autorun.inf

Avant de commencer.. vous devez connaître la fonction du fichier autorun.inf
Lorsque vous insérez un CD-Rom vous avez pu remarquer que ce dernier s'execute automatiquement.
Les CD-Rom d'installation d'application ouvrent le programme d'installation...
D'autres ouvrent une page WEB d'aide à l'installation...

Le fichier autorun.inf qui se trouve à la racine du CD-Rom détermine le fichier à lancer lorsque vous insérez le CD-Rom dans le lecteur.
Il permet aussi de déterminer l'icône représentatif du lecteur CD-Rom lorsque vous ouvrez par exemple le poste de travail.

Ce fichier entre en action dès lors qu'il est présent à la racine de n'importe quelle unité (même s'il s'agit d'un disque dur, clef USB/Disques amovibles, carte flash etc..).
Il entre en action au moment où vous double-cliquez sur le disque pour l'ouvrir. Eventuellement, l'infection peux aussi se déclencher en effectuant un clic droit / ouvrir.

Pour plus d'informations sur le fonctionnement et la syntaxe du fichier autorun.inf, reportez-vous à ce lien : http://cyberzoide.developpez.com/win/autorun/

Les auteurs de malwares tirent profit de cette fonctionnalité. Comment ?
Tout simplement en créant un fichier autorun.inf à la racine de vos disques amovibles qui installera l'infection sur l'ordinateur lorsque vous ouvrirez votre clef USB/Disques amovibles, carte flash etc..

Pour attraper une infection de ce type, il faut donc insérer sa clef USB/Disques amovibles dans un ordinateur infecté. Les fichiers infectieux et le fichier autorun.inf vont se copier sur la clef USB/Disques amovibles.
De retour chez vous, lorsque vous allez ouvrir le poste de travail puis double-cliquez sur votre clef USB/Disques amovibles pour l'ouvrir - *pouf* - votre ordinateur est infecté à son tour.
Ces infections se propagent beaucoup dans les lycées/fac/Université où les postes sont à la disposition des étudiants qui viennent avec leurs clefs USB et infectent les ordinateurs. Dès lors les nouveaux étudiants qui viennent avec leurs clefs les infectent qui à leur tour infectent leurs ordinateurs personnels etc.. etc..

Il faut bien comprendre que l'infection s'installe au moment où vous double-cliquez sur le disque de votre clef USB/Disques amovibles dans le poste de travail pour l'ouvrir.

Cas concret d'une infection par disques amovibles

Nous allons prendre le cas d'une infection de type Solow/VBS_RESULOWS.A / MS32DLL.dll.vbs - 'Hacked by Godzila'.

Cette infection une fois installée créée le fichier MS32DLL.dll.vbs dans le dossier Windows. Elle copie aussi le fichier à la racine de toutes les partitions accompagné bien sûr du fichier autorun.inf
Le simple fait d'ouvrir une partition via le poste de travail.. assure la réinfection de l'ordinateur.

Voici une capture du disque C.. Notez bien les fichiers à la racine.. comme vous pouvez le constater pas de fichier autorun.inf

Image

Le disque E fera office de disques amovibles...
Il est bien entendu infecté... Je vais donc double-cliquer dessus!
Image

En réouvrant le disque C on s'apperçoit que deux fichiers y ont été placés : autorun.inf et le fameux fichier MS32DLL.dll.vbs
Si vous avez d'autres partitions (D, E, F etc..).. les fichiers y seront aussi copiés.

Le fichier MS32DLL.dll.vbs a aussi été copié dans le dossier Windows (voir capture plus en bas).
Image

Image

Un scan du fichier MS32DLL.dll.vbs montre bien que ce dernier est infecté.

Image

2013 et VBS Autorun

Les infections par autorun étant bien connus, ces derniers après avoir été très utilisés ont connu une chute depuis 2012, d'autant que Microsoft a désactivé l'autorun par des mises à jour de sécurité.

2013 a vu un nouveau type de malwares par disques amovibles, les VBS Autorun :
Ces derniers sont des scripts VBS, à la différence des virus précédentes, ils n'utilisent pas le fichier autorun.inf pour se propager, ces derniers vont recopiers les fichiers existants en les remplaçants par des raccourcis qui pointent sur le scripts malicieux.
En 2013, sur les forums de désinfections, on a pu voir beaucoup de sujets : "Virus USB Raccourcis".

Supprimer les Worms.VBS et Worm.Autorun

Vous pouvez suivre la procédure suivante : https://www.supprimer-virus.com/desinfe ... m-autorun/

Prévention et conseils contre les infections par disques amovibles

Dans un premier temps, il est fortement conseillé de désactiver Windows Script Host, reportez-vous au dossier sur les Malwares VBS / WSH.
Si vous devez utiliser des scripts spécifiques, vous pouvez filtrer avec le programme : Marmiton.

Marmiton vous protège des scripts malicieux :
Image

Outre le fait d'avoir un antivirus à jour.. Il existe une méthode simple pour ne pas se faire infecter par une infection se propageant par disques amovibles.
Il suffit tout simplement, dans le poste de travail, de ne pas ouvrir en double-cliquant sur la clef USB/Disques amovibles mais en effectuant un clic droit puis ouvrir. Le fichier autorun.inf ne sera alors pas utilisé.
Ceci est très important si vous avez utilisé votre clef USB/Disques amovibles dans un endroit pas sûr, j'entends dans un endroit où l'ordinateur est utilisé par beaucoup de monde (cyber café, université etc..).

D'autre part, si vous désirez vérifier que le fichier autorun.inf est présent sur votre clef USB/Disques amovibles. ce qui n'est pas normal.. vous devez afficher les fichiers cachés/systèmes de Windows, car par défaut il est masqué. Pour cela :

Code: Tout sélectionner
-- Ouvrez le poste de travail
-- Clicquez sur le menu outils  en haut à droite puis options des dossiers
-- Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
-- Cochez dans la liste "Afficher les fichiers cachés"
-- Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
-- vous allez recevoir un message disant que cela peut endommager le système, n'en tenez pas compte.


Ouvrez votre votre clef USB/Disques amovibles depuis le poste de travail en effectuant un clic droit puis ouvrir dans le menu déroulant.

Vous pouvez aussi effectuer un scan complet de la clef USB avant de l'ouvrir depuis votre antivirus.


Plus globalement, vous pouvez lire les pages :

Nouvelle page sur les médias amovibles : Sécurité : Maitriser ses médias amovibles[/list]


Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57

Re: Infection sur disques amovibles

Messagepar Malekal_morte » 24 Jan 2009 20:09

Nouvelle page sur les médias amovibles : Sécurité : Maitriser ses médias amovibles
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82852
Enregistré le: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Retourner vers Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité

Tutoriel Antivirus
Partenaires du site : supprimer-virus.com - stopvirus.fr - www.malekal.com - stoppublicites.fr - Geekeden