Inhibition de la fonction Autorun
Qu’est ce que cela signifie ? N’avons-nous pas désactivé précédemment l’exécution automatique ?
En effet, la fonctionnalité a été désactivée dans la partie “Désactivation de l’exécution automatique” du chapitre “Les mesures de protection sur le système“, mais vous n’êtes pas à l’abri qu’une infection déjà déclarée, ou propagée via un autre moyen que par un support amovible (email, documents piégés, sites infectés, etc.), ne rétablisse la fonctionnalité afin de se propager. Ainsi, indépendamment ou en complément de la désactivation, vous avez possibilité d’inhiber la fonction : si elle n’a pas été désactivée précédemment, cela signifie que la fonctionnalité est opérante, mais que l’exécution de l’Autorun a été détournée par vos soins. Si elle a été désactivée précédemment, nous nous retrouvons dans la cas de figure d’une fonctionnalité inopérante, et d’une exécution détournée : nous sommes là dans la situation idéale et la plus sécurisante pour la préservation du système.
Reprenons notre exemple du Démineur, ou de l’Autorunplasma si vous l’avez téléchargé, et rétablissons l’exécution automatique si elle avait été désactivée. Suite à un redémarrage, et sans plus de modifications, nous nous retrouvons de nouveau dans le cas où le démineur s’ouvre dès le double-clic sur le volume ou le lecteur (cf Illustration 9). Nous allons donc inhiber la fonction Autorun (Illustration 15) en créant la valeur et la donnée de valeur suivantes (qui n’existent pas par défaut) :
| Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] |
Illustration 15 (Windows XP) – Clés, valeurs et données de valeurs à créer pour inhiber la fonction Autorun.
Vous pouvez créer la clé, valeur et donnée directement via l’Editeur du Registre, via le fichier .regmentionné ci-dessus, ou en le téléchargeant directement : JF:) le propose en téléchargement (clic droit, enregistrer sous) à l’issue de son article sur la contamination par les supports amovibles. La manipulation inverse -pour revenir à la normale- impose de supprimer la clé et valeur et donnée associée.
| Windows Registry Editor Version 5.00
[–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] |
Illustration 16 (Windows XP) – Clés, valeurs et données de valeurs à supprimer pour inhiber la fonction Autorun.
Là aussi, vous pouvez télécharger sur le même site le fichier .reg associé permettant de désinhiber la fonction Autorun. Comme précédemment, à l’issue de chaque modification, prenez soin de redémarrer le système pour que les changements soient bien effectifs et ne souffrent d’aucune carence.
Cette manipulation toute simple, couplée à la désactivation de l’exécution automatique, sécurisera passivement -et ce pour une grande efficacité- vos systèmes (quel qu’ils soient) de la contamination par un support amovible.
Il n’a pas été abordé, dans le cadre de la désactivation de l’exécution automatique et du détournement de la fonction autorun, les possibilités qu’offre la Microsoft Management Console, éditeur de stratégies (accessible en tapant directement dans ‘Exécuter‘ gpedit.msc). Mais il faut savoir que cela existe, et que cela peut être une alternative à l’Editeur du Registre pour effectuer des modifications suggérées.
très bon travail d’information,merci 😉
Merci du commentaire arkanax 🙂
super travail, bien détaillé, par contre j’ai trouvé un logiciel qui apparemment pourrait réaliser toutes ses actions : USB-set 1.2 ou 1.3?
Qu’elle est votre opinion sur ce petit utilitaire.
et encore merci aux nomx de tous
Bonsoir jeje cordao 🙂 Merci du commentaire. En effet, ce petit logiciel permet d’automatiser quasiment tous les éléments recensés et indiqués dans le tutoriel. Le logiciel en question a été créé par Loup blanc, un ami, pour permettre d’automatiser facilement les conseils suggérés du PDF. J’en avais parlé en commentaire du billet de ce Guide, sur le blog La mare du Gof. Ainsi, pour ceux qui veulent comprendre et faire les manipulations manuellement, je leur suggère de consulter le PDF et d’appliquer par eux-mêmes les suggestions qui leur conviennent. Pour les autres, moins à l’aise ou plus pressés, l’outil USB-SET… Lire la suite »
Bonsoir,
Le document est à présent disponible sur le lien suivant : cliquer ici.
Suite à la mise à jour du forum, le lien a changé. Pour ceux qui ont inséré ce billet sur leur site/blog, pensez à changer/modifier le lien de téléchargement, merci.
Bonjour et merci pour cette info.
Par contre, j’aimerais savoir s’il est possible de bloquer l’écriture d’un seul port usb sans bloquer les autres ports.
cordialement.
Bonsoir, Tout d’abord merci pour votre tuto. Cependant je rencontre un problème pour créé le bat. J’ai rajouté des lignes comme vous l’avez préconisé, pour créé plusieurs répertoire mais sans succès. il ne me créé qu’un seul répertoire Voici mon bat: chcp 1252 @echo off del /q %temp%rapportVacUSB.txt echo %date% – %time% – Vaccin USB – Gof>%temp%rapportVacUSB.txt echo. >>%temp%rapportVacUSB.txt goto lecteur :vaccon echo Répertoires et fichiers vaccins :>>%temp%rapportVacUSB.txt echo. >>%temp%rapportVacUSB.txt FOR /f %%g in (%temp%lecteur.txt) do for /f %%h in (%temp%nomrep.txt) do ( if exist "%%g%%h" echo %%g%%h Present >> %temp%rapportVacUSB.txt if exist "%%g%%h" attrib.exe -h -r -s -a "%%g%%h"… Lire la suite »
Bonjour hossec 🙂
Pour les lecteurs, il est préférable de poser vos questions éventuelles sur le forum, ici je risque de passer à côté et ne pas voir les questions.
Je réponds dans ton sujet hossec 😉
Bonjour 🙂
Dans la méthode proposée, tous les périphériques ne seront pas disponibles en écriture. Je n’ai pas la réponse à ta question, à savoir isoler un seul périphérique afin d’interdire l’écriture sur tous les autres. Il faudrait pour cela trouver une solution différente de celle que j’ai proposée, car cette dernière ne permet pas cette distinction.
Bonjour, Voici deux scripts supplémentaires envoyé par Jean-Michel, un de nos lecteur. Merci à lui ! – VaccinUSB_On-Off_Select_Drive.bat – VaccinUSB_On-Off_All_Drive_and_Registre.bat Citation Les 2 versions vaccinent contre les mêmes "virus/trojan" que VaccinUSB.exe, avec en plus l’option d’installer ou de désinstaller le vaccin. Le nomrep à la fin des scripts pour simplifier l’ajout (la liste de nomrep est la même que l’actuel VaccinUSB.exe ) La version "All Drive" installe ou désinstalle VaccinUSB sur les 26 lecteurs possibles, ainsi que l’affichage registre au sujet de l’autorun (section :examreg du script). La version "Select Drive" demande le lecteur sur lequel l’on veut installer ou… Lire la suite »
Merci à Jean-Michel 🙂
Cette information vaut de l’or pour moi: je n’ai lu aucune réponse-solution qui approchait celle-ci, même en anglais. De l’or… sauf qu’il est un peu tard pour moi pour l’appliquer. Éprouvant actuellement un problème d’amorçage sous OS W7 32 bits et comme tout bon internaute, j’ai fait différentes recherches, appliqué différentes solutions «post-mortem» qui n’ont malheureusement pas réglé mon problème qui consiste: message d’erreur sur écran bleu mais tellement rapide que je dois désactiver la fonction de démarrage automatique de W7 pour parvenir à le lire soit «UNMOUNTABLE_BOOT_VOLUME, code d’erreur STOP: OX…ED et la suite) Rien n’y fait: disque de… Lire la suite »