! | La méthode de diffusion par autorun.inf décrite dans ce sujet n'est plus d'actualité. Pour mieux comprendre les menaces de virus USB actuelle, lisez plutôt la page: Virus par clé USB |
Les infections par disques amovibles sont un vecteur de propagation d'infections de plus en plus utilisé.
Les internautes pensent encore que les vecteurs d'infection sont les pièces jointes par mail. On utilise sa clef USB chez un ami, à son école. On se prête les clefs USB entre copains... de quoi bien propager les infections tirant parti de la méconnaissance du fonctionnement de ces médias.
Pour bien comprendre le fonctionnement de ces infections, il est conseillé de lire les deux liens suivants : Encore une fois la connaissance des moyens de propagation permet de les éviter.
L'exécution automatique
L'exécution automatique des médias amovibles permet lorsque Windows détecte de la musique ou un DVD de démarrer le logiciel adéquat pour jouer le média automatiquement.
Dans le cas d'une clef USB contenant des fichiers, cela peut permettre d'ouvrir l'explorateur de fichiers afin de naviguer dans les dossiers de la clef USB.
Il est possible de configurer via le fichier autorun.inf qui se trouve à la racine du média, l'exécution d'un fichier en particulier, par exemple l'ouverture d'un site WEB ou l'exécution du programme d'installation d'un logiciel dans le cas d'un CD-Rom.
Les infections tirent parti en modifiant ce fichier autorun.inf afin d'exécuter le malware, à l'insertion du média amovible ou lorsque vous double-cliquez sur votre clef USB pour l'ouvrir, l'autorun.inf va démarrer le malware, ce dernier s'installe sur le système.
Scanner votre média amovible avec un antivirus peut permettre de détecter le malware mais les antivirus ne sont pas infaillibles et peuvent ne pas détecter ce dernier.
Afin d'éviter l'installation d'infections par disques amovibles sur votre PC, il convient de désactiver l'exécution automatique. Cette page explique comment désactiver l'exécution automatique des médias amovibles afin d'éviter ces infections et comment vérifier si la clef USB est infectée.
Désactiver l'exécution automatique
Voici les procédures à suivre pour désactiver complètement l'exécution automatique selon votre version de Windows.
A noter que la procédure donnée pour Windows Home fonctionne sur toutes les versions et permet de choisir pour quel type de média amovible l'exécution automatique sera conservée.
En effet, si les clefs USB, appareils-photos bref, tous les lecteurs de masse permettent la propagation de malwares, ce n'est pas forcément le cas des DVD et CD-Rom puisqu'on ne peut écrire dessus (sauf au moment de la gravure), on peut alors conserver l'exécution automatique pour ces types de médias.
Vous trouverez une mise à jour qui permet de désactiver l'exécution automatique pour chaque version de Windows : http://support.microsoft.com/kb/971029
La suite de l'article décrit les manipulations à effectuer pour désactiver l'exécution automatique manuellement.
Notez que le programme Open-Config de loup_blanc peut aussi vous permettre de le faire de manière simple : open-config-t23668.html
Windows Vista et supérieurs
Pour configurer l'exécution automatique sur Windows Vista, ouvrez le panneau de configuration puis Exécution Automatique
Vous pouvez désactiver complètement en haut l'exécution automatique via l'option Utiliser l'exécution automatique pour tous les médias et tous les périphériques, sinon vous pouvez laisser activé et configurez l'exécution selon le type de média inséré.
Dans tous les cas, il est impératif de ne pas configurer logiciels et jeux en installer ou exécuter un programme afin que le contenu du média ne soit pas exécuté.
Choisissez plutôt ouvrir le dossier et afficher les fichiers avec Explorateur Windows ou Ne rien faire si vous souhaitez laisser l'exécution automatique activée.
Windows XP Pro
Cliquez sur le Menu Démarrer puis exécuter.
Tapez gpedit.msc puis cliquez sur OK.
Dans la nouvelle fenêtre, déroulez à gauche l'arborescence suivante : Stratégie Ordinateur local -> Modèles d'administration -> Système
A droite, double-cliquez sur Désactiver le lecteur automatique
Choisissez alors tous les lecteurs
Windows XP Home (et toutes les versions de Windows)
La désactivation de l'exécution automatique sur Windows XP Home peut se faire à partir du registre Windows.
la clef du registre Windows à modifier :
permet de désactiver ou non l'exécution automatique selon le type de média.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"
Voici les valeurs possibles :
Pour plus d'informations, se reporter à la FAQ Microsoft : KB953252Valeur Signification
0 x 1 Désactive la lecture automatique sur des lecteurs de type inconnu
0 x 4 Désactive la lecture automatique sur des lecteurs amovibles
0 x 8 Désactive la lecture automatique sur les lecteurs fixes
0x10 Désactive la lecture automatique sur des lecteurs réseau
0 x 20 Désactive la lecture automatique sur des lecteurs de CD-ROM
0 x 40 Désactive la lecture automatique sur des disques de mémoire vive (RAM)
0 x 80 Désactive la lecture automatique sur des lecteurs de type inconnu
0xFF Désactive la lecture automatique sur tous les types de lecteurs
Désactiver Autorun.inf
Lorsque vous ouvrez un support amovible par un double-clic depuis le poste de travail, Windows exécute le contenu du fichier Autorun.inf
Un support infecté va alors exécuter le malware pour s'installer sur le système.
Un clic-droit / ouvrir permet de ne pas exécuter le contenu du fichier Autorun.inf et donc de ne pas infecter son PC... il est alors possible de consulter le contenu du support amovible et éventuellement vérifier si ce dernier est infecté.
Il est possible de désactiver l'Autorun.inf en modifiant le registre :
- Faites un clic-droit puis enregistrez la cible sur le lien suivant : https://www.malekal.com/fichiers/windows ... run_XP.reg
- Placez le fichier sur le bureau.
- Double-cliquez dessus et acceptez l'inscription des données.
- Redémarrez l'ordinateur.
Désactiver les scripts
Désactiver l'exécution de scripts sur vos ordinateurs, ces derniers étant vecteurs de malares, se reporter au dossier Malware par VBS / WSH
Marmiton est justement fait pour cela :
Vérifier si un média est infecté ou non...
Maintenant que vous avez désactivé l'exécution automatique et/ou autorun.inf, vous êtes en mesure d'ouvrir n'importe quel média sans danger.
Néanmoins, il peut être intéressant de vérifier si le média est infecté, ne serait-ce que pour prévenir vos amis (car si média infecté, cela veut dire PC infecté chez vos amis).
Pour vérifier si un média est infecté, il suffit tout simplement de visualiser le contenu du fichier autorun.inf afin de vérifier quel fichier ce dernier tente d'ouvrir.
Le fichier autorun.inf est un fichier caché, il faut afficher les fichiers cachés pour cela :
Pour Windows 2000/XP :
- Ouvrez le poste de travail
- Cliquez sur le menu outils puis options des dossiers)
- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
- Cochez dans la liste Afficher les fichiers cachés
- Décochez masquer les fichiers protégés du système d exploitation (recommandée)
- Ne pas tenir compte du message qui dit que cela peut endommager le système.
- Ouvrez le panneau de configuration
- Ouvrez sur le menu Options des dossiers)
- Dans la nouvelle fenêtre, cliquez sur l'onglet Affichage en haut
- Cochez dans la liste Afficher les fichiers cachés
- Décochez masquer les fichier protégés du système d exploitation (recommandé)
- Ne pas tenir compte du message qui dit que cela peut endommager le système.
Un clic-droit / ouvrir ou clic droit / modifier sur le fichier Autorun.inf permet d'éditer le contenu.
En général, vous y verrez les commandes suivantes (il peut y en avoir plus) :
open=
shell\open\Command=
shell\explore\Command=
Ce sont ces trois commandes qui dictent l'ouverture du fichier contenu sur la clef, il suffit alors de vérifier si le fichier en question est sain ou non.
Un scan sur VirusTotal peut vous y aider, voir : VirusTotal : Comment scanner un fichier.
Éventuellement, si vous avez des doutes sur le fichier, vous pouvez poster dans la partie Virus du forum.
Au cas où le fichier s'avère infectieux, vous pouvez alors le supprimer et par la même supprimer aussi le fichier autorun.inf.
Voici un exemple de fichier Autorun.inf infectieux où l'on voit un nom de fichier pas très catholique...
Protéger une clé USB avec un mot de passe
La version gratuite de Rohos Mini Drive vous permet de créer un espace sécurisé de 2 Go, ce qui est suffisant pour protéger vos documents sensibles sur votre clé USB. En plus vous pouvez travailler avec vos données sécurisées sur un ordinateur sans avoir des droits administratifs.
Protéger une clé USB avec Rohos Mini Drive
Conclusion et Liens
Avec cette page vous devriez pouvoir ouvrir vos médias en toute sécurité.
Pensez dans le cas où vous tombez sur un média infecté de prévenir son propriétaire pour qu'il désinfecte son PC, ses médias amovibles et surtout qu'il arrête de propager l'infection à son tour.