Antivir Autorun Blocked/bloqué et vaccination

Tutoriel / Guide d'aide sur l'utilisation des antivirus

Modérateur : Mods Windows

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87371
Inscription : 10 sept. 2005 13:57
Contact :

Antivir Autorun Blocked/bloqué et vaccination

Message par Malekal_morte » 09 nov. 2010 13:51

Juste pour signaler que la version 10 d'Antivir intègre une protection contre les autorun (pour les Les infections par disques amovibles).
Antivir bloque tous les fichiers autorun.inf (quelque soit le contenu) qui ne sont pas sur des CD/DVD.

Image

De ce fait, les vaccinations préventives et notamment proposés par USBFix genère des alertes du Guard "Autorun Blocked" :

Image

A noter qu'un scan du fichier Autorun.inf ne donnera aucune alerte si ce dernier n'est pas malicieux ce qui est le cas d'une vaccination.



L'option du Guard d'AntiVir en détail : autodémarrage
  • Voici ce qu'indique l'aide d'AntiVir :
    Avira a écrit :
    Autodémarrage

    Bloquer la fonction d'autodémarrage

    Si l'option est activée, l'exécution de la fonction d'autodémarrage Windows est bloquée sur tous les lecteurs intégrés comme les clés USB, les lecteurs CD et DVD, les lecteurs réseau. Avec la fonction d'autodémarrage Windows, les fichiers sur des supports de données ou sur des lecteurs réseau sont immédiatement lus lors de l'insertion ou de la connexion. Ainsi, les fichiers peuvent être démarrés et reproduits automatiquement. Toutefois, cette fonctionnalité présente un risque de sécurité élevé car elle permet le démarrage automatique de fichiers de logiciels malveillants et de programmes indésirables. La fonction d'autodémarrage est particulièrement critique pour les clés USB car les données sur une clé USB peuvent constamment changer.

    Exclure des CD et DVD

    Si l'option est activée, la fonction d'autodémarrage est autorisée sur les lecteurs de CD et DVD.

    Avertissement
    Ne désactivez la fonction d'autodémarrage pour les lecteurs de CD et de DVS que si vous êtes certain d'utiliser uniquement des supports de données dignes de confiance.
  • Voici l'option proprement dite sur l'interface

    Image
  • Cette fonction permet de scruter vos différentes partitions et de regarder si un fichier portant le nom de autorun.inf existe. Lorsque vous accédez à vos disques (ou que vous insérez une clé), si cette option est activée alors AntiVir exécute ce contrôle, s'il est positif il envoie une alerte.
  • Prenons un exemple concret :
    • Je créé un dossier tout bête sur mon disque dur D: que je nomme Autorun.inf

      Image
    • Si j'accède (via le poste de travail par exemple) à mon dossier juste créé, AntiVir m'envoie l'alerte suivante

      Image
    • AntiVir notifie qu'il a bloqué l'accès au fichier 'D:\autorun. inf'
      1. Déjà, ce n'est pas un fichier dans ce cas là, c'est un dossier ...
      2. L'accès n'est nullement bloqué, car par la suite je peux y créer un nouveau raccourci par exemple :

        Image


Le souci, c'est que certains outils de vaccinations de supports USB créent des autorun.inf en tant que vaccin pour
éviter qu'un autre fichier autorun.inf malsain ne vienne s'installer sur la clé. Du coup cela provoque l'alerte AntiVir. Au final il faudra donc faire le choix entre les vaccins USB et l'option autodémarrage pour être tranquille.

Ce qu'il faut savoir, c'est que tous les fichiers autorun.inf ne sont pas signe d'infection.
Du coup il est possible de s'interroger avant de s'alarmer...

Si vous êtes confrontés à un problème du genre, il y a un moyen de vérifier si l'autorun.inf est sain
  1. Vérifier d'abord que l'autorun.inf est bien un fichier et non un dossier :
      • Via le menu contextuel (clic-droit) / Propriétés
      • Le type de fichier n'est pas le même, l'icône non plus (entre autres)
        Image
    • Sinon en ligne de commande on voit aussi la différence :
      • Si c'est un fichier, la commande dir affichera sa nom, sa taille et sa date et heure de modification.
      • Si c'est un dossier alors la commande dir affichera le contenu du dossier.
        Image
  2. Vérifier sa taille ! La plupart des vaccins USB (nommés autorun.inf) sont des dossiers quasi vides. La capture ci-dessous montre deux vaccins (crées par UsbFix et Usb-set)

    Image
  3. Regarder la date de création du fichier. Si c'est un problème récent la date doit être proche. Si c'est un vaccin, il sera daté du jour où vous l'avez créé.
  4. Vérifier le contenu du fichier !!! . Ce n'est pas parce que vous allez afficher le contenu d'un autorun.inf infecté que vous serez infecté.
  5. Si le fichier autorun.inf est malsain dans la plupart des cas il a des attributs qui font qu'il n'est pas facile à traquer. Il faut tout d'abord supprimer ses attributs particuliers. Ouvrir l'invite de commande :
    • Le premier ordre permet de passer sur la partition à traiter (celle où se trouve le fichier autorun.inf). Il suffit de saisir le lecteur désiré puis de valider par Entrée (Chaque commande doit être validée par la touche Entrée)
    • Puis afficher les attributs du fichier autorun.inf (il a les attributs A S H et R)

      Code : Tout sélectionner

      attrib autorun.inf
    • Supprimer alors les attributs des fichiers.

      Code : Tout sélectionner

      attrib -a -d -h -r autorun.inf
    (Pour afficher l'aide sur la commande attrib, saisir attrib /?)
  6. Il ne reste plus qu'à afficher le contenu du fichier

    Code : Tout sélectionner

    notepad autorun.inf
    Image
  7. Localiser alors l'ordre OPEN= dans le contenu du fichier.
    S'il n'existe pas, pas de problème le fichier est sain.
    Si ce n'est pas le cas il faut récupérer le nom du fichier qui suit l'ordre. Sur la capture du dessus c'est :

    Code : Tout sélectionner

    wscript.exe antinul.vbe
    Wscript.exe est le programme MS qui permet d'interpréter les fichier codés en VB (ce qui est le cas du VBE). Donc ce n'est pas lui le souci. Par contre, le fichier antinul.vbe ne parait pas très sain.
  8. Il suffit de passer le fichier soupçonné aux détecteurs de mensonges
    http://virusscan.jotti.org/fr
    http://www.virustotal.com/index.html

    Le cas du fichier pris en exemple est assez parlant :
    Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Verrouillé

Revenir vers « Tutoriel Antivirus »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité