Les infections se propageant par les supports amovibles...

Ce qui relève de la sécurité mais n'est pas une désinfection : discussions sur les antivirus, firewalls, hips, méthodes de protection, prévention des infections, mises à jour. Conseils et coups de main pour sécuriser une machine, choisir un logiciel de sécurité, et au sens large parler de ce domaine.
-- Pas de demandes d'analyse. --

Modérateur: Modérateurs

Les infections se propageant par les supports amovibles...

Messagepar Falkra » 20 Oct 2007 17:45

----------------------------
L'auteur de cet excellent tuto est Gof, vous pouvez consulter le document original à cette adresse :
http://forum.zebulon.fr/index.php?automodule=blog&blogid=284&
Je vous recommande la lecture de ses autres articles. :wink:

Le document est reproduit à l'identique et suivant les conditions requises par son auteur. Je le remercie de permettre de le diffuser ainsi.
----------------------------

Les infections se propageant par les supports amovibles : USB, Flash, etc.


De quoi s'agit-il ?

ImageLa nature même de ces infections est classique
    AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, etc.
    Tous ces noms vous évoquent quelque chose ? Indépendamment de leur vecteur de propagation faisant l'objet de ce sujet, ces infections sont classiques dans leur finalité avouée. Malekal morte a synthétisé les infections de ce type que l'on croise régulièrement sur les forums (cliquez sur la roue dentée) :
    Il est proposé des méthodes de désinfection en autonomie complète. A réserver aux utilisateurs avertis connaissant un minimum leur système et l'emploi des outils traditionnels de sécurité et d'éradication des infections. Ces infections, une fois présentes sur votre pc, agissent comme tout bon trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Voici un exemple avec AdobeR.exe et la page sophos associée. Ce qui va nous intéresser très précisément dans ce sujet est leur propagation via les supports amovibles et les moyens de s'en prémunir. Là aussi, Malekal morte a rédigé un beau sujet sur la chose, et il ne s'agit pas ici de réinventer le beurre ou son fil à couper :P, mais de reformuler autrement ce qui a déja été dit afin mieux saisir pour ceux qui n'auraient pas compris, et donner quelques astuces personnelles (cliquez sur la roue dentée) :
ImageSchéma de propagation
    Un schéma vous permettra d'y voir plus clair. Nous allons aborder chaque étape de la propagation. Voici la légende utilisée.
    Image
    De fait, ce type d'infection par propagation sur supports amovibles a de beaux jours devant elles dans tous les endroits où des ordinateurs sont susceptibles d'être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc). Tous les endroits où sont concentrés des pc sur lesquels s'échangent et se branchent fréquemment des supports amovibles. Cette infection bien que très présente n'est pas une fatalité, et un minimum de rigueur et de bon sens suffirait à l'éradiquer facilement.
    Image
    Explications. En 1, vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows.
    Image
    Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura presque systématiquement un fichier Autorun.inf qui est ce qui lui permettra de se propager et qui fera l'objet de toute notre attention. Car c'est lui qui va permettre d'enchaîner sur la suite de la propagation. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. La boucle est bouclée. Ainsi, l'utilisateur, quel qu'il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et/ou la propagera sur d'autres PC.
ImageQuels sont les symtpômes apparents ?
    Si vous ne constatez pas de ralentissements de vos surfs, que vous ne surveillez pas votre gestionnaire des tâches et les processus actifs, que vous n'avez pas l'affichage des fichiers et dossiers cachés d'activé (et donc la modification d'affichage par l'infection devrait vous alerter), vous ne constaterez rien, sinon que le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.
    Cela dit, ces infections sont connues des antivirus, et ces derniers devraient normalement réagir à l'introduction du support amovible infecté. Le souci est que l'antivirus va traiter directement le fichier infectieux, et pas les fichiers responsables de la propagation. Subsiste alors sur la clé les fichiers annexes tels que des dll, des autorun.inf ou autres. Cela aura pour conséquence de neutraliser le double-clic lorsque vous cliquez sur la lettre du volume, puisque l'autorun.inf cherchera un fichier inexistant.
ImageLa clé : le fichier Autorun.inf
    Penchons nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. Ce lien windows vous expliquera succintivement comment rédiger un autorun.inf, et ce lien de developpez.com entrera d'avantage dans les détails de sa rédaction.
    Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous l'exécutez, et ainsi les commandes qu'il contient. Ainsi, dans le cas des infections qui nous intéressent, ce fichier contiendra généralement les entrées suivantes :
    Image
    Comme vous le constatez, ainsi au double-clic sur la lettre du volume à ouvrir, windows va chercher la présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système. Dans le cas où le fichier infectieux AdobeR.exe a été traité par l'antivirus présent sur le pc, l'autorun.inf va pointer un fichier qui n'existe plus. C'est à ce moment là que vous constaterez aussi que lorsque vous cliquerez sur la lettre du volume, le double-clic ne l'ouvrira pas. La suppression du fichier Autorun.inf rétablira par contre le double-clic pour ouvrir le volume.
    Par extension de ce qui a été expliqué à l'instant, si vous ne double-cliquez pas sur la lettre du volume à ouvrir, mais que vous faites un clic-droit dessus afin de sélectionner Explorer (ou Ouvrir), vous ouvrez l'explorateur windows sur votre volume sans passer par les fonctions définies dans le fichier Autorun.inf. C'est là une observation très importante pour la suite des évènements et pour la désinfection.


Je suis infecté, que faire ?

ImageIl n'y a pas de méthodes miracles, sinon y aller avec méthodologie
    Si vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés.
    Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet :
    Pour afficher les fichiers et dossiers cachés du systéme :
    • Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
    • Cocher la case : Afficher les fichiers et dossiers cachés
    • Décocher la case : Masquer les extensions des fichiers dont le type est connu
    • Décocher la case : Masquer les fichiers protégés du système d'exploitation
      ---> Répondre OUI à la demande de confirmation
    • Cliquer Appliquer puis OK

    J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Explorer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc.
    Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur.
    Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum.


Comment se préserver de ce type d'infections ?

ImageN'ouvrez pas vos volumes en double-cliquant
    En effet, reprenons notre schéma type de propagation de l'infection. Lorsque nous branchons notre clé saine sur un pc infecté (1), nous ne pouvons éviter l'infection en l'état (nous y reviendrons plus bas ;) ) de la clé (étape 2). Par contre, lorsque nous ouvrons la clé infectée sur un pc sain, au lieu de double-cliquer sur le nom de volume de la clé pour l'ouvrir, si nous faisons un clic-droit et Explorer, nous évitons l'étape 3 et le pc n'est pas infecté. Voici pour synthétiser un nouveau schéma :
    Image
    L'action de l'autorun.inf est évité en sélectionnant Explorer (1). Le pc n'est pas infecté (2). Je suis en mesure de nettoyer la clé efficacement.
ImageDésactiver l'autorun par défaut dans Windows
    Autre manipulation, nous permettant d'éviter d'avoir à sélectionner Explorer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent.
    Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc.
    La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment.
ImageConserver sa clé saine, la "vacciner"
    La manipulation précédente nous permet d'ouvrir un support amovible sans s'infecter. Mais cela n'est valable que sur son propre pc. Dans le cas de pc publiques, infectés, comment protéger son support lorsque l'on a pas la main sur les pc sur lesquels on doit le brancher ? La méthode suivante n'est pas très élégante, mais elle permet de "vacciner" sa clé contre ce type d'infections et ainsi pouvoir la brancher n'importe où sans d'avantage se soucier de la propagation d'infections.
    Créez des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports, et attribuez leur en attribut Lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager. L'outil Flash Disinfector de sUBs crée déja ce répertoire Autorun.inf en lecture seule, avec un fichier texte nommé "Who creates this folder.txt" afin d'expliquer d'où il vient. Cette méthode, simple, permet facilement de protéger sa clé (ou support amovible) d'un Autorun.inf infectieux. Elle n'empêchera pas cependant le copier-coller d'autres fichiers infectieux. Mais au moins, lorsque vous double-cliquerez sur le nom de votre volume pour l'ouvrir, vous ne déclencherez pas l'infection. Vous vous trouverez dans ce cas de figure :
    Image
    C'est à dire dans le même cas de figure que précédemment (vous constatez que le schéma est le même) lorsque vous évitez l'action de l'autorun.inf par Explorer ou en le désactivant via la base de registre.
    Elle n'est cependant pas suffisante, car la plupart des infections créent cet Autorun en copiant également divers fichiers infectieux. Mais pour aller plus loin, si vous étendez la méthode aux autres noms de fichiers, votre clé pourra être considérée comme "vaccinée".
    Par exemple, faites un clic-droit à la racine de votre clé et créez un nouveau répertoire que vous nommerez AdobeR.exe. Puis, à nouveau, faites un clic-droit et sélectionnez Propriétés, et sélectionnez l'attribut "lecture seule".
    Image
    Voilà, si vous insérez votre clé dans un pc infecté par cette variante de l'infection, le véritable AdobeR.exe infectieux ne pourra se copier-coller sur votre clé. Il suffit d'étendre la méthode à la variante rencontrée sur les postes sur lesquels vous branchez régulièrement vos supports.
    Vous trouverez ci-dessous un petit exécutable (cliquez sur la roue dentée) permettant d'automatiser la création de quelques répertoires en lecture seule, les plus rencontrés, au noms de fichiers infectieux se propageant par ce moyen.
    Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées. Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté :
    Image


Démonstration par l'image d'une infection et désinfection

ImageJ'ai inséré ma clé dans un pc contaminé
    J'ai donc inséré ma clé dans un pc contaminé. Cette dernière n'était pas vaccinée, la voici infectée. Comme l'infection a modifié les options d'affichage des fichiers et dossiers cachés, de sorte qu'ils n'apparaissent pas, les fichiers responsables de l'infection ne sont pas visibles. Tiens, quel est donc ce répertoire winfile que je ne connais pas sur ma clé ? Prudence.
    Image
    Pourtant, les fichiers infectieux sont bien là. Modifions les options d'affichage afin de les révéler. On voit ainsi tous les fichiers infectieux qui se sont greffés sur ma clé. On aperçoit à présent une extension au répertoire Winfile : il ne s'agit donc pas d'un répertoire mais d'un processus. En double-cliquant dessus, je l'aurais exécuté. Souvenez-vous, je vous avais parlé de cette astuce des infections ;)
    Image
    En insérant la clé dans mon pc sain, sans antivirus, et en double-cliquant sur la lettre du volume pour l'ouvrir, j'active l'infection en ouvrant ma clé. Les processus sont maintenant actifs sur mon système, et en plus de travailler à ceux pourquoi ils ont été conçus, ils infecteront chacun des supports amovibles connectés dès que je double-cliquerais dessus. Sur l'image suivante, on les distingue bien.
    Image
    On voit nettement les processus AdobeR.exe et Temp1.exe.

ImageProcédons à la désinfection
    Commençons par télécharger Flash Disinfector de sUBs, et exécutons le. Observons les processus et fichiers qui ont disparu.
    Image
    Les processus ont disparu, ils ne sont plus en cours d'utilisation. C'est une bonne chose. Maintenant, allons faire un tour sur la clé voir ce qui subsiste.
    Image
    Le double-clic fonctionne à nouveau, car le Fix a traité l'Autorun.inf infectieux, et placé son répertoire homonyme en lecture seule. Cependant, il reste encore des processus infectieux sur la clé. Passons au vaccin, téléchargeons le et exécutons le.
    Image
    C'est nettement mieux, plus que le autorun.rar inoffensif à supprimer afin d'avoir une clé propre. Les autres fichiers infectieux qui subsistaient ont été écrasé par les répertoires-vaccins. Je peux m'assurer qu'il s'agit bien ici des répertoires vaccins, car en passant ma souris sur chacun d'entre eux, windows me révèle la présence d'un Gof.txt dans chacun d'eux.
    Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar arnob » 21 Oct 2007 11:36

passionat! merci car moi qui trimbale ma cle usb en chine de pc a pc, cette page va m etre bien utile,

arnob
Avatar de l’utilisateur
arnob
Maître Libellulien
Maître Libellulien
 
Messages: 851
Inscription: 03 Fév 2005 10:08
Localisation: france et chine

Messagepar Revjones » 21 Oct 2007 11:50

Parmis les sources importantes d'infection, j'ai pu constater que les cyber-cafés sont de vrais nids à saloperies. Prudence, donc.
Avatar de l’utilisateur
Revjones
Modérateur
Modérateur
 
Messages: 5591
Inscription: 04 Fév 2003 17:59
Localisation: Suisse

Re: Les infections se propageant par les supports amovibles...

Messagepar GeoDecouvreTout » 10 Déc 2008 21:53

Pour compléter, je vous invite à consulter également cet autre tuto :
http://fspsa.free.fr/contamination-lect ... vibles.htm
GeoDecouvreTout
 
Messages: 39
Inscription: 20 Juil 2008 14:06

Re: Les infections se propageant par les supports amovibles...

Messagepar Gof » 04 Déc 2009 16:41

Bonjour tout le monde, :)

Je trouvais que le sujet commençait à être obsolète, suite à des mises à jour et autres. J'ai donc ré-écrit le sujet "Infections par supports amovibles", en y insérant des observations que j'avais initialement omises et en repensant la structure de la démonstration. Certains éléments (introduction en grande partie par exemple) sont des copier-coller du sujet initial ; pour ceux qui l'avaient parcouru, vous constaterez des redondances par rapport au premier sujet que j'avais rédigé ; en tout cas pour le début du document.

Je l'ai souhaité clairement orientée prévention, et n'ai pas abordé la partie "désinfection" de ce type de menaces. Je crois avoir été plus clair en matière de prévention que ce que j'avais réalisé précédemment. Le public auquel est destiné le document est plutôt un public déjà sensibilisé ; je pense avoir été assez démonstratif pour les débutants, et je l'espère assez intéressant et novateur pour les plus sensibilisés (utilisation de batch, suggestions d'automatisation d'analyse et de vaccination, création d'une station blanche, etc.).

Je l'ai rédigé sous un format PDF pour qu'il puisse être facilement imprimé et consulté hors-ligne, en local, ainsi que facilement récupéré et hébergé, sans souci de mise en page ultérieure. La licence Copyleft attitude est là pour permettre la copie et l'hébergement.

N'hésitez pas à remonter vos observations et questions par rapport aux suggestions proposées ;)

Vous trouverez le nouveau sujet ici.

---------------

GeoDecouvreTout a écrit:Pour compléter, je vous invite à consulter également cet autre tuto :
http://fspsa.free.fr/contamination-lect ... vibles.htm


Oui, un site à consulter et fouiller qui regorge d'informations précieuses. JF:) m'a donné un sacré coup de main sur le PDF d'ailleurs (je le remercie encore). :supers:
Avatar de l’utilisateur
Gof
Maître Libellulien
Maître Libellulien
 
Messages: 637
Inscription: 13 Nov 2009 08:35


Retourner vers Discussions, prévention, protection

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
cron