Fonctionnement du Autorun de Windows
Schéma de propagation
De fait, ce type d’infection se propageant par supports amovibles a de beaux jours devant lui dans tous les endroits où des ordinateurs sont susceptibles d’être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc.) ; tous les endroits où sont concentrés des pc sur lesquels s’échangent et se branchent fréquemment des supports amovibles. Conficker, la menace sérieuse du moment de tous les administrateurs réseaux n’y échappe pas, et l’apparition de l’infection est trop souvent liée à l’insertion d’un support contaminé. Un schéma (Illustration 1) vous permettra d’y voir plus clair. Nous allons aborder chaque étape de la propagation avec une infection classique. Voici la légende utilisée.
Illustration 1
En 1 (Illustration 2), vous branchez votre clé usb sur un pc infecté, où l’infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l’infection, aux attributs “cachés” et “Système“. Ces infections désactivent en effet l’affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d’affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé (cf annexe B).
Illustration 2
Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura systématiquement un fichier Autorun.inf ; c’est ce qui lui permettra de se propager et qui fera l’objet de toute notre attention. Car c’est lui qui va permettre d’enchaîner sur la suite de la propagation.
Lorsque vous branchez votre clé nouvellement infectée sur un pc sain (3), l’infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l’infection permettant bien souvent un contrôle à distance du pc. La boucle est bouclée. Ainsi, l’utilisateur, quel qu’il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et -ou- la propagera sur d’autres PC.
Dans l’éventualité où vous rétabliriez l’affichage des fichiers et dossiers cachés -et sous réserve que le mécanisme de l’infection vous le permette, l’attribut “Système” (évoqué plus haut) alloué aux fichiers infectieux permettra de vous affoler (Illustration 3) en présentant un message d’avertissement Windows lorsque vous tenterez de les effacer manuellement du support amovible et du système.
Illustration 3 (XP)
très bon travail d’information,merci 😉
Merci du commentaire arkanax 🙂
super travail, bien détaillé, par contre j’ai trouvé un logiciel qui apparemment pourrait réaliser toutes ses actions : USB-set 1.2 ou 1.3?
Qu’elle est votre opinion sur ce petit utilitaire.
et encore merci aux nomx de tous
Bonsoir jeje cordao 🙂 Merci du commentaire. En effet, ce petit logiciel permet d’automatiser quasiment tous les éléments recensés et indiqués dans le tutoriel. Le logiciel en question a été créé par Loup blanc, un ami, pour permettre d’automatiser facilement les conseils suggérés du PDF. J’en avais parlé en commentaire du billet de ce Guide, sur le blog La mare du Gof. Ainsi, pour ceux qui veulent comprendre et faire les manipulations manuellement, je leur suggère de consulter le PDF et d’appliquer par eux-mêmes les suggestions qui leur conviennent. Pour les autres, moins à l’aise ou plus pressés, l’outil USB-SET… Lire la suite »
Bonsoir,
Le document est à présent disponible sur le lien suivant : cliquer ici.
Suite à la mise à jour du forum, le lien a changé. Pour ceux qui ont inséré ce billet sur leur site/blog, pensez à changer/modifier le lien de téléchargement, merci.
Bonjour et merci pour cette info.
Par contre, j’aimerais savoir s’il est possible de bloquer l’écriture d’un seul port usb sans bloquer les autres ports.
cordialement.
Bonsoir, Tout d’abord merci pour votre tuto. Cependant je rencontre un problème pour créé le bat. J’ai rajouté des lignes comme vous l’avez préconisé, pour créé plusieurs répertoire mais sans succès. il ne me créé qu’un seul répertoire Voici mon bat: chcp 1252 @echo off del /q %temp%rapportVacUSB.txt echo %date% – %time% – Vaccin USB – Gof>%temp%rapportVacUSB.txt echo. >>%temp%rapportVacUSB.txt goto lecteur :vaccon echo Répertoires et fichiers vaccins :>>%temp%rapportVacUSB.txt echo. >>%temp%rapportVacUSB.txt FOR /f %%g in (%temp%lecteur.txt) do for /f %%h in (%temp%nomrep.txt) do ( if exist "%%g%%h" echo %%g%%h Present >> %temp%rapportVacUSB.txt if exist "%%g%%h" attrib.exe -h -r -s -a "%%g%%h"… Lire la suite »
Bonjour hossec 🙂
Pour les lecteurs, il est préférable de poser vos questions éventuelles sur le forum, ici je risque de passer à côté et ne pas voir les questions.
Je réponds dans ton sujet hossec 😉
Bonjour 🙂
Dans la méthode proposée, tous les périphériques ne seront pas disponibles en écriture. Je n’ai pas la réponse à ta question, à savoir isoler un seul périphérique afin d’interdire l’écriture sur tous les autres. Il faudrait pour cela trouver une solution différente de celle que j’ai proposée, car cette dernière ne permet pas cette distinction.
Bonjour, Voici deux scripts supplémentaires envoyé par Jean-Michel, un de nos lecteur. Merci à lui ! – VaccinUSB_On-Off_Select_Drive.bat – VaccinUSB_On-Off_All_Drive_and_Registre.bat Citation Les 2 versions vaccinent contre les mêmes "virus/trojan" que VaccinUSB.exe, avec en plus l’option d’installer ou de désinstaller le vaccin. Le nomrep à la fin des scripts pour simplifier l’ajout (la liste de nomrep est la même que l’actuel VaccinUSB.exe ) La version "All Drive" installe ou désinstalle VaccinUSB sur les 26 lecteurs possibles, ainsi que l’affichage registre au sujet de l’autorun (section :examreg du script). La version "Select Drive" demande le lecteur sur lequel l’on veut installer ou… Lire la suite »
Merci à Jean-Michel 🙂
Cette information vaut de l’or pour moi: je n’ai lu aucune réponse-solution qui approchait celle-ci, même en anglais. De l’or… sauf qu’il est un peu tard pour moi pour l’appliquer. Éprouvant actuellement un problème d’amorçage sous OS W7 32 bits et comme tout bon internaute, j’ai fait différentes recherches, appliqué différentes solutions «post-mortem» qui n’ont malheureusement pas réglé mon problème qui consiste: message d’erreur sur écran bleu mais tellement rapide que je dois désactiver la fonction de démarrage automatique de W7 pour parvenir à le lire soit «UNMOUNTABLE_BOOT_VOLUME, code d’erreur STOP: OX…ED et la suite) Rien n’y fait: disque de… Lire la suite »