La clé : le fichier autorun.inf
Penchons-nous sur ce fichier très pratique et son utilisation. Il s’agit là d’une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C’est à dire que lorsque vous double-cliquez sur un lecteur (quel qu’il soit) pour l’ouvrir, la première démarche de Windows lorsqu’il est configuré par défaut sera de chercher la présence d’un fichier Autorun.inf afin de déterminer ce qu’il doit faire à l’ouverture de ce volume. En l’absence de ce fichier, l’explorateur Windows s’ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l’insertion du CD. Mais il est extensible à tous types de supports et volumes, et c’est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. On retrouve cette fonction d’exécution automatique sur tous les Windows, de 2000 à Windows 7.
Attention, pour lire le contenu d’un fichier Autorun.inf, il vous faut l’ouvrir par exemple avec le Bloc-notesde windows. Si vous double-cliquez dessus, vous risquez dans certains cas de l’exécuter.
| [autorun] icon = .\Maxtor_Portable.ico |
Illustration 4
Nous avons là l’exemple type et basique d’un fichier autorun légitime (Illustration 4). Ce dernier permet d’afficher l’icône nommée Maxtor_Portable.ico dans l’explorateur Windows. Ainsi, en cliquant sur l’Explorateur (XP) ou Ordinateur (Vista, 7), l’icône affichée au lecteur sera celle-ci dans notre exemple (Illustration 5).
Illustration 5
Nous pouvons voir dans l’exemple ci-dessous (Illustration 6) les différentes commandes généralement incluses dans un fichier autorun.inf d’origine malveillante ou non.
| [autorun] ;la commande suivante attribue une icône au lecteur icon= .\exemple.ico ;l’exemple suivant permet d’afficher par exemple une icône de répertoire au lecteur afin de forcer le double- clic en incitant l’utilisateur à visualiser le contenu icon=systemroot%\system32\shell32.dll,4 ; la commande suivante exécute le fichier au double-clic open=exemple.com ; la commande suivante exécute le fichier quel que soit la commande définie par défaut au double clic shell\open\Default=1 ; la commande suivante exécute le fichier sur le “menu contextuel” et “ouvrir” shell\open\Command=exemple.com ; la commande suivante exécute le fichier sur le “menu contextuel” et “explorer” shell\explore\Command=exemple.com ; la commande suivante permet de définir la phrase à l’affichage dans la fenêtre de choix d’exécution automatique action=Ouvrir le dossier pour afficher les fichiers ; la commande suivante permet d’exécuter le fichier suite au choix dans la fenêtre d’exécution shellexecute=exemple.com |
Illustration 6
L’exemple proposé ci-dessus n’est bien évidemment pas exhaustif. Vous pouvez consulter la page Microsoft dédiée, ou encore le mini-tutoriel réalisé par developpez.com. A présent que nous avons vu le fonctionnement de l’Autorun.inf, nous allons nous attarder sur les différentes mesures de sécurité que l’on peut observer, tant sur le système que sur le support en lui même. Pour que vous preniez conscience de l’exécution automatique d’un programme, je vous suggère de télécharger Autorunplasma de S!Ri qui vous le démontrera de façon ludique à l’ouverture d’un lecteur (Illustration 7) – télécharger l’application compressée et décompressez l’archive obtenue à la racine d’un lecteur ou d’une clé USB – ou d’utiliser un exécutable inoffensif, tel le démineur, associé à un fichier autorun.inf rédigé sous le Bloc-Notes (avec l’exemple proposé ci-dessus).
Illustration 7
Note sur Autorunplasma de S!Ri: nous détournons là la finalité de l’application à des buts démonstratifs ; l’outil n’a pas été crée initialement pour cela. Nous y reviendrons dans la partie “Vaccination simple” du chapitre “Les mesures de protection sur le support“.
Nous allons aborder dans les parties suivantes différentes manipulations, astuces, et paramètres à configurer. Ils ne sont pas bien sûr à tous appliquer et exécuter sur votre système ou vos supports immédiatement. Après avoir fait le tour des différentes suggestions, nous aborderons dans la partie “Suggestions en fonction de votre situation” les éléments les plus pertinents à opérer en fonction de votre situation. Nous n’aborderons pas ici les manipulations recommandées non spécifiques aux supports amovibles, comme le fait de surfer et travailler en session limitée et pas en droits administrateurs par exemple. Ce sont normalement des évidences. Divers tutoriels -expliqués pour XP généralement, mais la démarche est la même sous Vista– existent sur le Net pour vous y sensibiliser.
Dernière mise à jour le 17 mars 2019