Les mesures de protection sur le système
Désactivation de la fonction d’exécution automatique
Une mise à jour importante pour certains systèmes
Au préalable, il est impératif que les propriétaires des systèmes Windows 2000, XP -toutes versions- (32 et 64 bits), Vista -jusqu’au SP1 inclus- (32 et 64 bits) s’assurent qu’une vulnérabilité système affectant la désactivation de l’autorun soit corrigée via les mises à jour Windows. Si vous êtes configurés en mises à jour automatiques, il ne devrait pas y avoir de soucis. Si ce n’est pas le cas (cf Annexe C) ou en cas de doutes, réinstallez manuellement cette mise à jour en fonction de votre système d’exploitation. Il s’agit donc des mises à jour de sécurité KB950582, KB967715 ou KB953252 (Note : il s’agit de la même mise à jour, en dépit des numéros de KB différents affichés ; les numéros sont fonction du mode de distribution de la mise à jour et du système d’exploitation). Comme toutes les mises à jour de sécurité, cette dernière est téléchargeable et accessible à tous les utilisateurs Windows, que leur licence soit valide ou non.
Désactivation de l’exécution automatique sous Windows 2000 et Windows XP
La désactivation sur ces systèmes est particulière, car Windows n’avait pas pris en compte cette vulnérabilité exploitée par les auteurs des infections. Il faut donc, manuellement, aller désactiver la fonction via l’Editeur du Registre Windows.
Illustration 8 (XP)
Sous ces systèmes, par défaut, l’exécution automatique est activée (Illustration 8), induisant une très grande vulnérabilité à ce type de menaces. Ainsi, en utilisant Autorunplasma de S!Ri ou un simple démineur avec un fichier Autorun.inf de circonstance, copié-collé à la racine d’une clé USB ou d’un lecteur externe, nous nous rendons compte très rapidement de l’exécution inopinée de ces applications (Illustration 9).
Illustration 9 (XP)
Sur l’exemple ci-dessus, un simple double-clic sur le lecteur afin de l’ouvrir a suffi à exécuter l’application winmine.exe (le démineur Windows). Penchons nous sur la valeur NoDriveTypeAutoRun dans l’Editeur du Registre responsable de cet état de fait. Par défaut, cette dernière a une donnée hexadécimale de 91(145 en décimale). Pour accéder à l’Editeur du Registre, rendez-vous dans votre menu Démarrer et Exécuter, et saisissez regedit puis validez. Vous pouvez aussi créer un raccourci sur votre Bureau pointant sur le fichier regedit.exe (sans indiquer son chemin, ce dernier étant inclus dans le path windows, le système saura le trouver).
| Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] |
Clés, valeurs et données de valeurs par défaut
Modifions simplement la donnée à ff -en hexadécimal (255 en décimale), nous neutralisons ainsi l’exécution automatique. Vous pouvez le faire directement dans l’Editeur du Registre ; vous pouvez aussi copier-coller les éléments suivants dans un fichier texte et le sauvegarder comme un fichier .reg que vous n’aurez plus qu’à double-cliquer afin de le fusionner pour que les modifications soient prises en compte.
| Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] |
Clés, valeurs et données de valeurs par défaut
Si vous optez pour cette dernière méthode, il faut vous assurer qu’il n’y ait pas de ligne vierge avant la mention Windows Registry Editor Version 5.00 et que le Retour automatique à la ligne soit désactivé.
Pour sauvegarder le fichier au bon format, sélectionnez ensuite Enregistrer sous et assurez vous que la partie Type indique Tous les fichiers. Saisissez ensuite un nom explicite, suivi de l’extension .reg ; ainsi, je vous suggère autorun_off.reg. Si tout s’est bien passé, vous obtiendrez un fichier avec l’icône suivante (Illustration 10).
Illustration 10
Si l’icône n’est pas celle indiquée, vous avez alors raté une étape. Enfin, vous pouvez aussi directement télécharger (clic droit, enregistrer sous) le fichier si vous le préférez. Là encore, vous devez obtenir l’icône (Illustration 10) suite au téléchargement du fichier pour que ce dernier soit fonctionnel. Pour finir, vous devrez redémarrer le système afin que les changements opérés soient effectifs.
Note : je vous fais arbitrairement allouer la donnée de valeur ff qui désactive l’exécution automatique sur tous les types de supports ; d’autres données de valeurs sont possibles, elles désactivent alors l’exécution automatique sur -uniquement-certains types de supports et pas d’autres. La remarque est vraie pour la partie Vista / 7 également. Consultez les liens (cf partie “Ressources utilisées” du chapitre “Notes“) indiqués pour prendre connaissance des autres données de valeur allouables.
très bon travail d’information,merci 😉
Merci du commentaire arkanax 🙂
super travail, bien détaillé, par contre j’ai trouvé un logiciel qui apparemment pourrait réaliser toutes ses actions : USB-set 1.2 ou 1.3?
Qu’elle est votre opinion sur ce petit utilitaire.
et encore merci aux nomx de tous
Bonsoir jeje cordao 🙂 Merci du commentaire. En effet, ce petit logiciel permet d’automatiser quasiment tous les éléments recensés et indiqués dans le tutoriel. Le logiciel en question a été créé par Loup blanc, un ami, pour permettre d’automatiser facilement les conseils suggérés du PDF. J’en avais parlé en commentaire du billet de ce Guide, sur le blog La mare du Gof. Ainsi, pour ceux qui veulent comprendre et faire les manipulations manuellement, je leur suggère de consulter le PDF et d’appliquer par eux-mêmes les suggestions qui leur conviennent. Pour les autres, moins à l’aise ou plus pressés, l’outil USB-SET… Lire la suite »
Bonsoir,
Le document est à présent disponible sur le lien suivant : cliquer ici.
Suite à la mise à jour du forum, le lien a changé. Pour ceux qui ont inséré ce billet sur leur site/blog, pensez à changer/modifier le lien de téléchargement, merci.
Bonjour et merci pour cette info.
Par contre, j’aimerais savoir s’il est possible de bloquer l’écriture d’un seul port usb sans bloquer les autres ports.
cordialement.
Bonsoir, Tout d’abord merci pour votre tuto. Cependant je rencontre un problème pour créé le bat. J’ai rajouté des lignes comme vous l’avez préconisé, pour créé plusieurs répertoire mais sans succès. il ne me créé qu’un seul répertoire Voici mon bat: chcp 1252 @echo off del /q %temp%rapportVacUSB.txt echo %date% – %time% – Vaccin USB – Gof>%temp%rapportVacUSB.txt echo. >>%temp%rapportVacUSB.txt goto lecteur :vaccon echo Répertoires et fichiers vaccins :>>%temp%rapportVacUSB.txt echo. >>%temp%rapportVacUSB.txt FOR /f %%g in (%temp%lecteur.txt) do for /f %%h in (%temp%nomrep.txt) do ( if exist "%%g%%h" echo %%g%%h Present >> %temp%rapportVacUSB.txt if exist "%%g%%h" attrib.exe -h -r -s -a "%%g%%h"… Lire la suite »
Bonjour hossec 🙂
Pour les lecteurs, il est préférable de poser vos questions éventuelles sur le forum, ici je risque de passer à côté et ne pas voir les questions.
Je réponds dans ton sujet hossec 😉
Bonjour 🙂
Dans la méthode proposée, tous les périphériques ne seront pas disponibles en écriture. Je n’ai pas la réponse à ta question, à savoir isoler un seul périphérique afin d’interdire l’écriture sur tous les autres. Il faudrait pour cela trouver une solution différente de celle que j’ai proposée, car cette dernière ne permet pas cette distinction.
Bonjour, Voici deux scripts supplémentaires envoyé par Jean-Michel, un de nos lecteur. Merci à lui ! – VaccinUSB_On-Off_Select_Drive.bat – VaccinUSB_On-Off_All_Drive_and_Registre.bat Citation Les 2 versions vaccinent contre les mêmes "virus/trojan" que VaccinUSB.exe, avec en plus l’option d’installer ou de désinstaller le vaccin. Le nomrep à la fin des scripts pour simplifier l’ajout (la liste de nomrep est la même que l’actuel VaccinUSB.exe ) La version "All Drive" installe ou désinstalle VaccinUSB sur les 26 lecteurs possibles, ainsi que l’affichage registre au sujet de l’autorun (section :examreg du script). La version "Select Drive" demande le lecteur sur lequel l’on veut installer ou… Lire la suite »
Merci à Jean-Michel 🙂
Cette information vaut de l’or pour moi: je n’ai lu aucune réponse-solution qui approchait celle-ci, même en anglais. De l’or… sauf qu’il est un peu tard pour moi pour l’appliquer. Éprouvant actuellement un problème d’amorçage sous OS W7 32 bits et comme tout bon internaute, j’ai fait différentes recherches, appliqué différentes solutions «post-mortem» qui n’ont malheureusement pas réglé mon problème qui consiste: message d’erreur sur écran bleu mais tellement rapide que je dois désactiver la fonction de démarrage automatique de W7 pour parvenir à le lire soit «UNMOUNTABLE_BOOT_VOLUME, code d’erreur STOP: OX…ED et la suite) Rien n’y fait: disque de… Lire la suite »