L'auteur de cet excellent tuto est Gof, vous pouvez consulter le document original à cette adresse :
http://forum.zebulon.fr/index.php?automodule=blog&blogid=284&
Je vous recommande la lecture de ses autres articles.
Le document est reproduit à l'identique et suivant les conditions requises par son auteur. Je le remercie de permettre de le diffuser ainsi.
----------------------------
Les infections se propageant par les supports amovibles : USB, Flash, etc.
De quoi s'agit-il ?
La nature même de ces infections est classique
- AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, etc.
- Tous ces noms vous évoquent quelque chose ? Indépendamment de leur vecteur de propagation faisant l'objet de ce sujet, ces infections sont classiques dans leur finalité avouée. Malekal morte a synthétisé les infections de ce type que l'on croise régulièrement sur les forums (cliquez sur la roue dentée) :
- Il est proposé des méthodes de désinfection en autonomie complète. A réserver aux utilisateurs avertis connaissant un minimum leur système et l'emploi des outils traditionnels de sécurité et d'éradication des infections. Ces infections, une fois présentes sur votre pc, agissent comme tout bon trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Voici un exemple avec AdobeR.exe et la page sophos associée. Ce qui va nous intéresser très précisément dans ce sujet est leur propagation via les supports amovibles et les moyens de s'en prémunir. Là aussi, Malekal morte a rédigé un beau sujet sur la chose, et il ne s'agit pas ici de réinventer le beurre ou son fil à couper , mais de reformuler autrement ce qui a déja été dit afin mieux saisir pour ceux qui n'auraient pas compris, et donner quelques astuces personnelles (cliquez sur la roue dentée) :
- Un schéma vous permettra d'y voir plus clair. Nous allons aborder chaque étape de la propagation. Voici la légende utilisée.
- De fait, ce type d'infection par propagation sur supports amovibles a de beaux jours devant elles dans tous les endroits où des ordinateurs sont susceptibles d'être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc). Tous les endroits où sont concentrés des pc sur lesquels s'échangent et se branchent fréquemment des supports amovibles. Cette infection bien que très présente n'est pas une fatalité, et un minimum de rigueur et de bon sens suffirait à l'éradiquer facilement.
- Explications. En 1, vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows.
- Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura presque systématiquement un fichier Autorun.inf qui est ce qui lui permettra de se propager et qui fera l'objet de toute notre attention. Car c'est lui qui va permettre d'enchaîner sur la suite de la propagation. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. La boucle est bouclée. Ainsi, l'utilisateur, quel qu'il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et/ou la propagera sur d'autres PC.
- Si vous ne constatez pas de ralentissements de vos surfs, que vous ne surveillez pas votre gestionnaire des tâches et les processus actifs, que vous n'avez pas l'affichage des fichiers et dossiers cachés d'activé (et donc la modification d'affichage par l'infection devrait vous alerter), vous ne constaterez rien, sinon que le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.
- Cela dit, ces infections sont connues des antivirus, et ces derniers devraient normalement réagir à l'introduction du support amovible infecté. Le souci est que l'antivirus va traiter directement le fichier infectieux, et pas les fichiers responsables de la propagation. Subsiste alors sur la clé les fichiers annexes tels que des dll, des autorun.inf ou autres. Cela aura pour conséquence de neutraliser le double-clic lorsque vous cliquez sur la lettre du volume, puisque l'autorun.inf cherchera un fichier inexistant.
- Penchons nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. Ce lien windows vous expliquera succintivement comment rédiger un autorun.inf, et ce lien de developpez.com entrera d'avantage dans les détails de sa rédaction.
- Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous l'exécutez, et ainsi les commandes qu'il contient. Ainsi, dans le cas des infections qui nous intéressent, ce fichier contiendra généralement les entrées suivantes :
- Comme vous le constatez, ainsi au double-clic sur la lettre du volume à ouvrir, windows va chercher la présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système. Dans le cas où le fichier infectieux AdobeR.exe a été traité par l'antivirus présent sur le pc, l'autorun.inf va pointer un fichier qui n'existe plus. C'est à ce moment là que vous constaterez aussi que lorsque vous cliquerez sur la lettre du volume, le double-clic ne l'ouvrira pas. La suppression du fichier Autorun.inf rétablira par contre le double-clic pour ouvrir le volume.
- Par extension de ce qui a été expliqué à l'instant, si vous ne double-cliquez pas sur la lettre du volume à ouvrir, mais que vous faites un clic-droit dessus afin de sélectionner Explorer (ou Ouvrir), vous ouvrez l'explorateur windows sur votre volume sans passer par les fonctions définies dans le fichier Autorun.inf. C'est là une observation très importante pour la suite des évènements et pour la désinfection.
Je suis infecté, que faire ?
Il n'y a pas de méthodes miracles, sinon y aller avec méthodologie
- Si vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés.
- Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet :
- Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation - Cliquer Appliquer puis OK
Pour afficher les fichiers et dossiers cachés du systéme :
J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Explorer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc.
- Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur.
- Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum.
Comment se préserver de ce type d'infections ?
N'ouvrez pas vos volumes en double-cliquant
- En effet, reprenons notre schéma type de propagation de l'infection. Lorsque nous branchons notre clé saine sur un pc infecté (1), nous ne pouvons éviter l'infection en l'état (nous y reviendrons plus bas ) de la clé (étape 2). Par contre, lorsque nous ouvrons la clé infectée sur un pc sain, au lieu de double-cliquer sur le nom de volume de la clé pour l'ouvrir, si nous faisons un clic-droit et Explorer, nous évitons l'étape 3 et le pc n'est pas infecté. Voici pour synthétiser un nouveau schéma :
- L'action de l'autorun.inf est évité en sélectionnant Explorer (1). Le pc n'est pas infecté (2). Je suis en mesure de nettoyer la clé efficacement.
- Autre manipulation, nous permettant d'éviter d'avoir à sélectionner Explorer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent.
- Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc.
- La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment.
- La manipulation précédente nous permet d'ouvrir un support amovible sans s'infecter. Mais cela n'est valable que sur son propre pc. Dans le cas de pc publiques, infectés, comment protéger son support lorsque l'on a pas la main sur les pc sur lesquels on doit le brancher ? La méthode suivante n'est pas très élégante, mais elle permet de "vacciner" sa clé contre ce type d'infections et ainsi pouvoir la brancher n'importe où sans d'avantage se soucier de la propagation d'infections.
- Créez des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports, et attribuez leur en attribut Lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager. L'outil Flash Disinfector de sUBs crée déja ce répertoire Autorun.inf en lecture seule, avec un fichier texte nommé "Who creates this folder.txt" afin d'expliquer d'où il vient. Cette méthode, simple, permet facilement de protéger sa clé (ou support amovible) d'un Autorun.inf infectieux. Elle n'empêchera pas cependant le copier-coller d'autres fichiers infectieux. Mais au moins, lorsque vous double-cliquerez sur le nom de votre volume pour l'ouvrir, vous ne déclencherez pas l'infection. Vous vous trouverez dans ce cas de figure :
- C'est à dire dans le même cas de figure que précédemment (vous constatez que le schéma est le même) lorsque vous évitez l'action de l'autorun.inf par Explorer ou en le désactivant via la base de registre.
- Elle n'est cependant pas suffisante, car la plupart des infections créent cet Autorun en copiant également divers fichiers infectieux. Mais pour aller plus loin, si vous étendez la méthode aux autres noms de fichiers, votre clé pourra être considérée comme "vaccinée".
- Par exemple, faites un clic-droit à la racine de votre clé et créez un nouveau répertoire que vous nommerez AdobeR.exe. Puis, à nouveau, faites un clic-droit et sélectionnez Propriétés, et sélectionnez l'attribut "lecture seule".
- Voilà, si vous insérez votre clé dans un pc infecté par cette variante de l'infection, le véritable AdobeR.exe infectieux ne pourra se copier-coller sur votre clé. Il suffit d'étendre la méthode à la variante rencontrée sur les postes sur lesquels vous branchez régulièrement vos supports.
- Vous trouverez ci-dessous un petit exécutable (cliquez sur la roue dentée) permettant d'automatiser la création de quelques répertoires en lecture seule, les plus rencontrés, au noms de fichiers infectieux se propageant par ce moyen.
- Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées. Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté :
Démonstration par l'image d'une infection et désinfection
J'ai inséré ma clé dans un pc contaminé
- J'ai donc inséré ma clé dans un pc contaminé. Cette dernière n'était pas vaccinée, la voici infectée. Comme l'infection a modifié les options d'affichage des fichiers et dossiers cachés, de sorte qu'ils n'apparaissent pas, les fichiers responsables de l'infection ne sont pas visibles. Tiens, quel est donc ce répertoire winfile que je ne connais pas sur ma clé ? Prudence.
- Pourtant, les fichiers infectieux sont bien là. Modifions les options d'affichage afin de les révéler. On voit ainsi tous les fichiers infectieux qui se sont greffés sur ma clé. On aperçoit à présent une extension au répertoire Winfile : il ne s'agit donc pas d'un répertoire mais d'un processus. En double-cliquant dessus, je l'aurais exécuté. Souvenez-vous, je vous avais parlé de cette astuce des infections
- En insérant la clé dans mon pc sain, sans antivirus, et en double-cliquant sur la lettre du volume pour l'ouvrir, j'active l'infection en ouvrant ma clé. Les processus sont maintenant actifs sur mon système, et en plus de travailler à ceux pourquoi ils ont été conçus, ils infecteront chacun des supports amovibles connectés dès que je double-cliquerais dessus. Sur l'image suivante, on les distingue bien.
- On voit nettement les processus AdobeR.exe et Temp1.exe.
Procédons à la désinfection
- Commençons par télécharger Flash Disinfector de sUBs, et exécutons le. Observons les processus et fichiers qui ont disparu.
- Les processus ont disparu, ils ne sont plus en cours d'utilisation. C'est une bonne chose. Maintenant, allons faire un tour sur la clé voir ce qui subsiste.
- Le double-clic fonctionne à nouveau, car le Fix a traité l'Autorun.inf infectieux, et placé son répertoire homonyme en lecture seule. Cependant, il reste encore des processus infectieux sur la clé. Passons au vaccin, téléchargeons le et exécutons le.
- C'est nettement mieux, plus que le autorun.rar inoffensif à supprimer afin d'avoir une clé propre. Les autres fichiers infectieux qui subsistaient ont été écrasé par les répertoires-vaccins. Je peux m'assurer qu'il s'agit bien ici des répertoires vaccins, car en passant ma souris sur chacun d'entre eux, windows me révèle la présence d'un Gof.txt dans chacun d'eux.
- Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider