Antivir bloque tous les fichiers autorun.inf (quelque soit le contenu) qui ne sont pas sur des CD/DVD.
De ce fait, les vaccinations préventives et notamment proposés par USBFix genère des alertes du Guard "Autorun Blocked" :
A noter qu'un scan du fichier Autorun.inf ne donnera aucune alerte si ce dernier n'est pas malicieux ce qui est le cas d'une vaccination.
L'option du Guard d'AntiVir en détail : autodémarrage
- Voici ce qu'indique l'aide d'AntiVir :
Avira a écrit : Autodémarrage
Bloquer la fonction d'autodémarrage
Si l'option est activée, l'exécution de la fonction d'autodémarrage Windows est bloquée sur tous les lecteurs intégrés comme les clés USB, les lecteurs CD et DVD, les lecteurs réseau. Avec la fonction d'autodémarrage Windows, les fichiers sur des supports de données ou sur des lecteurs réseau sont immédiatement lus lors de l'insertion ou de la connexion. Ainsi, les fichiers peuvent être démarrés et reproduits automatiquement. Toutefois, cette fonctionnalité présente un risque de sécurité élevé car elle permet le démarrage automatique de fichiers de logiciels malveillants et de programmes indésirables. La fonction d'autodémarrage est particulièrement critique pour les clés USB car les données sur une clé USB peuvent constamment changer.
Exclure des CD et DVD
Si l'option est activée, la fonction d'autodémarrage est autorisée sur les lecteurs de CD et DVD.
Avertissement
Ne désactivez la fonction d'autodémarrage pour les lecteurs de CD et de DVS que si vous êtes certain d'utiliser uniquement des supports de données dignes de confiance. - Voici l'option proprement dite sur l'interface
- Cette fonction permet de scruter vos différentes partitions et de regarder si un fichier portant le nom de autorun.inf existe. Lorsque vous accédez à vos disques (ou que vous insérez une clé), si cette option est activée alors AntiVir exécute ce contrôle, s'il est positif il envoie une alerte.
- Prenons un exemple concret :
- Je créé un dossier tout bête sur mon disque dur D: que je nomme Autorun.inf
- Si j'accède (via le poste de travail par exemple) à mon dossier juste créé, AntiVir m'envoie l'alerte suivante
- AntiVir notifie qu'il a bloqué l'accès au fichier 'D:\autorun. inf'
- Déjà, ce n'est pas un fichier dans ce cas là, c'est un dossier ...
- L'accès n'est nullement bloqué, car par la suite je peux y créer un nouveau raccourci par exemple :
- Je créé un dossier tout bête sur mon disque dur D: que je nomme Autorun.inf
Le souci, c'est que certains outils de vaccinations de supports USB créent des autorun.inf en tant que vaccin pour
éviter qu'un autre fichier autorun.inf malsain ne vienne s'installer sur la clé. Du coup cela provoque l'alerte AntiVir. Au final il faudra donc faire le choix entre les vaccins USB et l'option autodémarrage pour être tranquille.
Ce qu'il faut savoir, c'est que tous les fichiers autorun.inf ne sont pas signe d'infection.
Du coup il est possible de s'interroger avant de s'alarmer...
Si vous êtes confrontés à un problème du genre, il y a un moyen de vérifier si l'autorun.inf est sain
- Vérifier d'abord que l'autorun.inf est bien un fichier et non un dossier :
- Via le menu contextuel (clic-droit) / Propriétés
- Le type de fichier n'est pas le même, l'icône non plus (entre autres)
- Sinon en ligne de commande on voit aussi la différence :
- Si c'est un fichier, la commande dir affichera sa nom, sa taille et sa date et heure de modification.
- Si c'est un dossier alors la commande dir affichera le contenu du dossier.
- Vérifier sa taille ! La plupart des vaccins USB (nommés autorun.inf) sont des dossiers quasi vides. La capture ci-dessous montre deux vaccins (crées par UsbFix et Usb-set)
- Regarder la date de création du fichier. Si c'est un problème récent la date doit être proche. Si c'est un vaccin, il sera daté du jour où vous l'avez créé.
- Vérifier le contenu du fichier !!! . Ce n'est pas parce que vous allez afficher le contenu d'un autorun.inf infecté que vous serez infecté.
- Si le fichier autorun.inf est malsain dans la plupart des cas il a des attributs qui font qu'il n'est pas facile à traquer. Il faut tout d'abord supprimer ses attributs particuliers. Ouvrir l'invite de commande :
- Le premier ordre permet de passer sur la partition à traiter (celle où se trouve le fichier autorun.inf). Il suffit de saisir le lecteur désiré puis de valider par Entrée (Chaque commande doit être validée par la touche Entrée)
Code : Tout sélectionner
E: - Puis afficher les attributs du fichier autorun.inf (il a les attributs A S H et R)
Code : Tout sélectionner
attrib autorun.inf - Supprimer alors les attributs des fichiers.
Code : Tout sélectionner
attrib -a -d -h -r autorun.inf
- Le premier ordre permet de passer sur la partition à traiter (celle où se trouve le fichier autorun.inf). Il suffit de saisir le lecteur désiré puis de valider par Entrée (Chaque commande doit être validée par la touche Entrée)
- Il ne reste plus qu'à afficher le contenu du fichier
Code : Tout sélectionner
notepad autorun.inf
- Localiser alors l'ordre OPEN= dans le contenu du fichier.
S'il n'existe pas, pas de problème le fichier est sain.
Si ce n'est pas le cas il faut récupérer le nom du fichier qui suit l'ordre. Sur la capture du dessus c'est :
Wscript.exe est le programme MS qui permet d'interpréter les fichier codés en VB (ce qui est le cas du VBE). Donc ce n'est pas lui le souci. Par contre, le fichier antinul.vbe ne parait pas très sain.Code : Tout sélectionner
wscript.exe antinul.vbe - Il suffit de passer le fichier soupçonné aux détecteurs de mensonges
http://virusscan.jotti.org/fr
http://www.virustotal.com/index.html
Le cas du fichier pris en exemple est assez parlant :
