RSS
email

Le virus AUTORUN.INF

Qu’est ce que c’est ?
Les Symptomes ?
Comment ca marche ?
Comment s’en débarasser ?
Comment s’en vacciner ?


Qu’est ce que c’est ?


Se sont des infections qui, une fois présentes sur votre pc, agissent comme tout bon trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Cette infection s’effectue par support amovible, c'est-à-dire clef USB, disque dur externe, MP3, téléphone et autres… L’infection s’effectue au moment où vous ouvrez le support amovible par double clic.


Les Symptômes ?


Un ralentissement considérable de votre surf et de votre machine, des tâches et des processus malveillant actifs, le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus (clefs USB, partitions, disques dur externe), et enfin il devient impossible d’afficher les fichiers cachés et systèmes.


Comment ça marche ?


Explications :
En (1), vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows.

Ce type d’attaque se propage généralement grâce au fichier « autorun.inf » et qui lui fera l'objet de toute notre attention. Car c'est lui qui va permettre cette propagation rapide et massive. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. L’infection viens la plupart du temps d’un PC en libre service (école, cybercafé) ou alors d’un amis peu soucieux en matière de sécurité, de ce fait l’utilisateur infecte son PC personnel et tout ses lecteur amovible, ce qui génèrera par la suite de nouvelle infection, et la boucle est bouclée.

Pour ce qui est de l’infection par elle-même, tout viens de ce fichier « autorun.inf ». En effet ce fichier est à la racine du support amovible infecté, prenons l’exemple de la clef USB. Sur cette clef USB se trouve le fichier autorun.inf et les différents virus (AdobeR.exe, Win31.dll.vbs, winfile.exe etc…). A l’exécution de la clef USB, Windows par défaut va chercher un fichier « autorun.inf » qui est utilisé rappelons le pour lancer les CD DVD ou autre, automatiquement. Si un fichier de ce nom est trouvé, Windows va l’exécuter ! C’est ici que l’infection se fait, en effet le code malicieux se trouve dans ce fichier, et va donc copier ses amis virus qu’il à amené avec lui ! L’infection est alors faite sur l’ensemble des support amovible pluger sur le PC. Ceci s’effectue de nouveau à chaque fois qu’un support amovible est ouvert par double clic depuis le PC infecté.


Comment s’en débarrasser ?


Il n’y a pas vraiment de solution miracle à part quelques tools que l’on peut trouver sur le net, comme ComboFix, USBFix, ou encore FlashDesinfector. D’autres astuces comme l’utilisation de WinRar, d’une distribution LINUX, ou d’un MAC, sont aussi possible.

Vous pouvez trouver ces utilitaires ci-dessous :
Bosco ici
USBFix ici
FlashDesinfector ici

Attention Bosco est à manier avec précaution car il est relativement puissant et peut causer des dégâts considérables à juste titre.

Pour les autres il suffit de brancher tout vos support amovible et d’exécuter l’utilitaire. Pour ma part je recommande FlashDisinfector ou USBFix pour une utilisation simple et efficace pour un utilisateur Lambda.


Comment se vacciner ?


Les gestes à adopter pour se protéger de ce genre sont assez variés :

Suppression de l’exécution de l’autorun par défaut au niveau de la base de registre
Pour cela vous pouvez utiliser les .reg suivant :

autorun_off.reg

Pour revenir en arrière

autorun_on.reg

Ou encore pour palier à une éventuelle activation de l’autorun par un virus quelconque :

inifilemapping-autorun-protection-activee.reg

Pour revenir en arrière

inifilemapping-autorun-suppression-de-la-clef.reg

Éviter le double clic sur les lecteurs inconnu pour éviter une éventuelle infection, de ce fait adopter le clic droit explorer, ou le clic droit développer au niveau de l’arborescence de l’explorer, comme le montre les screenshot ci-dessous :





Empêcher la propagation en se vaccinant de l’autorun.inf et des virus les plus connus en créant des dossiers à leur nom en lecture seul, ceci manuellement ou en utilisant USBFix, qui vaccine les support amovible automatiquement du fichier autorun.inf


Bookmark and Share

0 commentaires:

Enregistrer un commentaire

 

Tags

Modules

over-blog.com

Wikio - Top des blogs - High-tech

VOTEZ POUR MON BLOG

News référencées par WebPlanete.net

Twitter