On entend par disques amovibles, les périphériques de masses que l'on peut insérer et retirer de l'ordinateur comme les clefs USB, disques dur externe ou cartes Flash.
Vous trouvez à cette page les infections les plus communes et leurs procédures de désinfections : infections par disques amovibles.
Enfin deux autres pages sur les infections par médias amovibles sont disponibles sur ces liens : Cette page vous montre par quels mécanismes ces infections se propagent.
Le fichier autorun.inf
Avant de commencer.. vous devez connaître la fonction du fichier autorun.inf
Lorsque vous insérez un CD-Rom vous avez pu remarquer que ce dernier s'execute automatiquement.
Les CD-Rom d'installation d'application ouvrent le programme d'installation...
D'autres ouvrent une page WEB d'aide à l'installation...
Le fichier autorun.inf qui se trouve à la racine du CD-Rom détermine le fichier à lancer lorsque vous insérez le CD-Rom dans le lecteur.
Il permet aussi de déterminer l'icône représentatif du lecteur CD-Rom lorsque vous ouvrez par exemple le poste de travail.
Ce fichier entre en action dès lors qu'il est présent à la racine de n'importe quelle unité (même s'il s'agit d'un disque dur, clef USB/Disques amovibles, carte flash etc..).
Il entre en action au moment où vous double-cliquez sur le disque pour l'ouvrir. Eventuellement, l'infection peux aussi se déclencher en effectuant un clic droit / ouvrir.
Pour plus d'informations sur le fonctionnement et la syntaxe du fichier autorun.inf, reportez-vous à ce lien : http://cyberzoide.developpez.com/win/autorun/
Les auteurs de malwares tirent profit de cette fonctionnalité. Comment ?
Tout simplement en créant un fichier autorun.inf à la racine de vos disques amovibles qui installera l'infection sur l'ordinateur lorsque vous ouvrirez votre clef USB/Disques amovibles, carte flash etc..
Pour attraper une infection de ce type, il faut donc insérer sa clef USB/Disques amovibles dans un ordinateur infecté. Les fichiers infectieux et le fichier autorun.inf vont se copier sur la clef USB/Disques amovibles.
De retour chez vous, lorsque vous allez ouvrir le poste de travail puis double-cliquez sur votre clef USB/Disques amovibles pour l'ouvrir - *pouf* - votre ordinateur est infecté à son tour.
Ces infections se propagent beaucoup dans les lycées/fac/Université où les postes sont à la disposition des étudiants qui viennent avec leurs clefs USB et infectent les ordinateurs. Dès lors les nouveaux étudiants qui viennent avec leurs clefs les infectent qui à leur tour infectent leurs ordinateurs personnels etc.. etc..
Il faut bien comprendre que l'infection s'installe au moment où vous double-cliquez sur le disque de votre clef USB/Disques amovibles dans le poste de travail pour l'ouvrir.
! | La méthode de diffusion par autorun.inf décrite dans ce sujet n'est plus d'actualité. Actuellement ce sont plutôt les VBS Autorun (voir paragraphe plus bas) qui sont d'actualité. Pour mieux comprendre les menaces de virus USB actuelle, lisez plutôt la page: Virus par clé USB |
Nous allons prendre le cas d'une infection de type Solow/VBS_RESULOWS.A / MS32DLL.dll.vbs - 'Hacked by Godzila'.
Cette infection une fois installée créée le fichier MS32DLL.dll.vbs dans le dossier Windows. Elle copie aussi le fichier à la racine de toutes les partitions accompagné bien sûr du fichier autorun.inf
Le simple fait d'ouvrir une partition via le poste de travail.. assure la réinfection de l'ordinateur.
Voici une capture du disque C.. Notez bien les fichiers à la racine.. comme vous pouvez le constater pas de fichier autorun.inf
Le disque E fera office de disques amovibles...
Il est bien entendu infecté... Je vais donc double-cliquer dessus!
En réouvrant le disque C on s'apperçoit que deux fichiers y ont été placés : autorun.inf et le fameux fichier MS32DLL.dll.vbs
Si vous avez d'autres partitions (D, E, F etc..).. les fichiers y seront aussi copiés.
Le fichier MS32DLL.dll.vbs a aussi été copié dans le dossier Windows (voir capture plus en bas).
Un scan du fichier MS32DLL.dll.vbs montre bien que ce dernier est infecté.
2013 et VBS Autorun
Les infections par autorun étant bien connus, ces derniers après avoir été très utilisés ont connu une chute depuis 2012, d'autant que Microsoft a désactivé l'autorun par des mises à jour de sécurité.
Plus d'informations, lire : Les virus par clé USB
2013 a vu un nouveau type de malwares par disques amovibles, les VBS Autorun :
- Exemple de VBS Autorun : https://www.malekal.com/rat-par-vbs/ et video.3gp Virus.VBS.Crypt (Virus USB Raccourcis)
- Dossier sur les Malwares VBS / WSH : Les malwares VBS et WSH
En 2013, sur les forums de désinfections, on a pu voir beaucoup de sujets : "Virus USB Raccourcis".
Supprimer les Worms.VBS et Worm.Autorun
Vous pouvez suivre la procédure suivante : https://www.supprimer-virus.com/desinfe ... m-autorun/
Prévention et conseils contre les infections par disques amovibles
Dans un premier temps, il est fortement conseillé de désactiver Windows Script Host, reportez-vous au dossier sur les Malwares VBS / WSH.
Si vous devez utiliser des scripts spécifiques, vous pouvez filtrer avec le programme : Marmiton.
Marmiton vous protège des scripts malicieux :
Outre le fait d'avoir un antivirus à jour.. Il existe une méthode simple pour ne pas se faire infecter par une infection se propageant par disques amovibles.
Il suffit tout simplement, dans le poste de travail, de ne pas ouvrir en double-cliquant sur la clef USB/Disques amovibles mais en effectuant un clic droit puis ouvrir. Le fichier autorun.inf ne sera alors pas utilisé.
Ceci est très important si vous avez utilisé votre clef USB/Disques amovibles dans un endroit pas sûr, j'entends dans un endroit où l'ordinateur est utilisé par beaucoup de monde (cyber café, université etc..).
D'autre part, si vous désirez vérifier que le fichier autorun.inf est présent sur votre clef USB/Disques amovibles. ce qui n'est pas normal.. vous devez afficher les fichiers cachés/systèmes de Windows, car par défaut il est masqué. Pour cela :
Code : Tout sélectionner
-- Ouvrez le poste de travail
-- Clicquez sur le menu outils en haut à droite puis options des dossiers
-- Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
-- Cochez dans la liste "Afficher les fichiers cachés"
-- Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
-- vous allez recevoir un message disant que cela peut endommager le système, n'en tenez pas compte.
Vous pouvez aussi effectuer un scan complet de la clef USB avant de l'ouvrir depuis votre antivirus.
Plus globalement, vous pouvez lire les pages :
- les virus informatiques
- Pourquoi et comment je fais infecter ?
- La sécurité de son Windows, c'est quoi ?
- Infections VS Antivirus
- Sécuriser son Windows et connaître les menaces qui vous liste les moyens de propagation et menaces sur internet et vous donne des conseils pour sécuriser votre ordinateur.