pimprenelle27
Administrateur
Messages : 1613
Points : 2268
Réputation : 51
 |  Sujet: Infection via disques amovible  Mer 6 Mar - 2:29 | |
|  |
Infection des supports amovibles qu'est ce que c'est :
De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !
Ce sont donc des infections qui se propagent par supports amovibles : clé USB (cas le plus fréquent), disque dur externe, carte flash, ipod, lecteur MP3, appareil photo, etc...
Tout disque amovible inséré dans un ordinateur infecté sera infecté à son tour si l'infection est active. Autrement dit, l'infection se fera automatiquement par simple connexion si l'exécution automatique est activée pour les lecteurs amovibles.
Le simple fait d'ouvrir le poste de travail et de double-cliquer sur la clé usb / disque dur externe (ré)infectera le système d'exploitation ! La clé infectera à son tour un PC sain. Et ainsi de suite ...
(Source CCM)
Voici quelques exemples :
Worm Autorun
Brontok
Mazebat
Exemple de lignes issues d'un rapport ZHPDiag démontrant ces infections :
O4 - HKCU\..\Run: [Tok-Cirrhatus] . (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] . (...) -- C:\WINDOWS\ShellNew\sempalong.exe
O4 - HKUS\S-1-5-21-1771197953-3562089158-885465456-1005\..\Run: [Tok-Cirrhatus] . (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe
O43 - CFD: 25/01/2013 - 13:38:30 - [0] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Bron.tok-12-25
O43 - CFD: 01/12/2012 - 14:17:30 - [0] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Ok-SendMail-Bron-tok
O43 - CFD: 01/12/2012 - 14:18:10 - [0,003] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Loc.Mail.Bron.Tok
O51 - MPSK:{1ffcf1e8-df35-11de-9845-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{4e47c256-763d-11df-9918-0025d3041334}\AutoRun\command. (...) -- H:\PMBP_Win.exe (.not file.)
O51 - MPSK:{5a407800-17b8-11df-9894-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{709ac2ab-d07c-11de-9831-90e6ba0dc7cb}\AutoRun\command. (...) -- G:\r2g20.exe (.not file.)
O51 - MPSK:{8283e5ba-62b6-11df-98ff-0025d3041334}\AutoRun\command. (...) -- F:\LaunchU3.exe (.not file.)
O51 - MPSK:{90f9bf67-ca57-11df-995d-0025d3041334}\AutoRun\command. (...) -- G:\WD SmartWare.exe (.not file.)
O51 - MPSK:{9a1d5da0-d67f-11de-983a-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{ccf94070-14d9-11df-988d-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{d2e889ca-e039-11de-9847-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{fe4f5576-131a-11df-988a-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{fe6259e9-4a40-11df-98d7-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\cdoosoft [Key] . (...) -- C:\DOCUME~1\XPLODE~1\LOCALS~1\Temp\herss.exe => Infection USB (Trojan.USB)
[MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\csrss.exe [42706]
[MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\winlogon.exe [42706]
[MD5.6278DB50D232776538CB1E5ED207D864] [SPRF][25/01/2013] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Bron.tok.A12.em.bin [12393]
[MD5.0F3AFE52339807B01403891B1830D95E] [SPRF][25/01/2013] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Update.12.Bron.Tok.bin [12393]
007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe [42706]
[MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\services.exe [42706]
Exemple d'infections visible sur un rapport USBfix :
################## | Éléments infectieux |
Supprimé! C:\Documents and Settings\HP\Application Data\inst.exe
Supprimé! D:\Recycler\NokiaN73Tools.exe
Supprimé! C:\Documents and Settings\hook.dl_
Supprimé! C:\Documents and Settings\tazebama.dl_
Supprimé! C:\Documents and Settings\tazebama.dll
Supprimé! C:\zPharaoh.exe
Supprimé! C:\Recycler\S-1-5-21-606747145-1336601894-725345543-1003
Supprimé! D:\Recycler\S-1-5-21-606747145-1336601894-725345543-1003
Supprimé! C:\autorun.inf
Supprimé! D:\autorun.inf
Supprimé! D:\zPharaoh.exe
Supprimé! H:\UNUCI
(!) Fichiers temporaires supprimés.
################## | Mabezat |
Supprimé! C:\Documents and Settings\HP\Application Data\tazebama
Supprimé! C:\Documents and Settings\HP\Bureau\Antivirus\tazebama.dll\Nouveau dossier\WinrRarSerialInstall.exe
Supprimé! D:\Default\User StyleSheets\InstallMSN11En.exe
Supprimé! D:\Default\WinrRarSerialInstall.exe
Supprimé! D:\Rabo\bureau\appel d'offre\FloppyDiskPartion.exe
Supprimé! D:\Rabo\bureau\Batiment\HP_LaserJetAllInOneConfig.exe
Supprimé! D:\Rabo\bureau\dossier technique\Microsoft Windows Network.exe
Supprimé! D:\Rabo\bureau\ETIJANI Mining\Adjust Time.exe
Supprimé! D:\Rabo\bureau\ETIJANI Mining\Méthodes et matériels de prospection minière\LockWindowsPartition.exe
Supprimé! D:\Rabo\bureau\Make Windows Original.exe
Supprimé! D:\Rabo\bureau\materiels\Recycle Bin.exe
Supprimé! D:\Rabo\bureau\Mines\WindowsXp StartMenu Settings.exe
Supprimé! D:\Rabo\bureau\Recueil_de_Normes_EuroCodes__1\MakeUrOwnFamilyTree.exe
Supprimé! D:\Rabo\bureau\Tests\image\BrowseAllUsers.exe
Supprimé! D:\Rabo\bureau\Tests\Win98compatibleXP.exe
Supprimé! D:\Rabo\Classement\Beton\autre\IDE Conector P2P.exe
Supprimé! D:\Rabo\Classement\Beton\materiel\Sony Erikson DigitalCam.exe
Supprimé! D:\Rabo\Classement\Beton\normes-essais\Microsoft MSN.exe
Supprimé! D:\Rabo\Classement\Beton\route-essais-materiel\RadioTV.exe
Supprimé! D:\Rabo\Classement\Beton\ShowDesktop.exe
Supprimé! D:\Rabo\Classement\Ciment\autre\Antenna2Net.exe
Supprimé! D:\Rabo\Classement\Ciment\CD Burner.exe
Supprimé! D:\Rabo\Classement\Ciment\materiel\PanasonicDVD_DigitalCam.exe
Supprimé! D:\Rabo\Classement\Diagnostique\Disk Defragmenter.exe
Supprimé! D:\Rabo\Classement\Granulat\RecycleBinProtect.exe
Supprimé! D:\Rabo\Classement\Sable\12 Dictionnaires indispensables\mm_ress\HTML\Aide\NokiaN73Tools.exe
Supprimé! D:\Rabo\Classement\Sable\12 Dictionnaires indispensables\mm_ress\media\WinrRarSerialInstall.exe
Supprimé! D:\Rabo\Classement\Sable\Windows Keys Secrets.exe
Supprimé! D:\Rabo\Divers\09 06 09\2000 m2\Microsoft MSN.exe
Supprimé! D:\Rabo\Divers\09 06 09\40 ha\RadioTV.exe
Supprimé! D:\Rabo\Divers\09 06 09\AL IZDIHAR OMRANI\Antenna2Net.exe
Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\Photos Projet\NokiaN73Tools.exe
Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\Plan côté\Make Windows Original.exe
Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\VUES\Office2007 Serial.txt.exe
Supprimé! D:\Rabo\Divers\09 06 09\Make Windows Original.exe
Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Envoyé le 14 07 2009\Crack_GoogleEarthPro.exe
Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Envoyé le 14 07 2009\VOIRIE envoyé le 30 07 2009\HP_LaserJetAllInOneConfig.exe
Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Office2007 Serial.txt.exe
Supprimé! D:\Rabo\Divers\Adobe Photoshop CS4 Me\adobe_epic\Adjust Time.exe
Supprimé! D:\Rabo\Divers\BAHAR\InstallMSN11Ar.exe
Supprimé! D:\Rabo\Divers\Brouillon\InstallMSN11En.exe
Supprimé! D:\Rabo\Divers\Caprari pump\Lock Folder.exe
Supprimé! D:\Rabo\Divers\cv\Crack_GoogleEarthPro.exe
Supprimé! D:\Rabo\Divers\EP\AmericanOnLine.exe
Supprimé! D:\Rabo\Divers\Fourretout\FloppyDiskPartion.exe
Supprimé! D:\Rabo\Divers\Hayki\HP_LaserJetAllInOneConfig.exe
Supprimé! D:\Rabo\Divers\IB\Microsoft Windows Network.exe
Supprimé! D:\Rabo\Divers\JC\Adjust Time.exe
Supprimé! D:\Rabo\Divers\JC 2011\Recycle Bin.exe
Supprimé! D:\Rabo\Divers\Nachat\WindowsXp StartMenu Settings.exe
Supprimé! D:\Rabo\Divers\Nouveau dossier\MakeUrOwnFamilyTree.exe
Supprimé! D:\Rabo\Divers\Office2007 Serial.txt.exe
Supprimé! D:\Rabo\Divers\Parler arabe\Win98compatibleXP.exe
Supprimé! D:\Rabo\Divers\PDF Memoires IAV\Lock Folder.exe
Supprimé! D:\Rabo\Divers\photo\LockWindowsPartition.exe
Supprimé! D:\Rabo\Divers\pilote hp Sani\BrowseAllUsers.exe
Supprimé! D:\Rabo\Divers\PROJET SANI AEP\ShowDesktop.exe
Supprimé! D:\Rabo\Divers\S.Boukar\CD Burner.exe
Supprimé! D:\Rabo\Divers\Sissoko\Disk Defragmenter.exe
Supprimé! D:\Rabo\Divers\Téléchargements\RecycleBinProtect.exe
Supprimé! D:\Rabo\Divers\Voirie et assanissement modif 40 ha du 23 06 2009\Windows Keys Secrets.exe
Supprimé! D:\Rabo\Divers\WinRAR\IDE Conector P2P.exe
Supprimé! D:\Rabo\Divers\Zénith\Sony Erikson DigitalCam.exe
Supprimé! H:\Fourretout\CV\NokiaN73Tools.exe
Supprimé! D:\System Volume Information\_restore{73CDC212-CA3D-48CB-AFA4-CE79A855137C}\RP406\A0241213.exe
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\F
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2afa83b6-f299-11e0-b1e7-001cbfb7d7a6}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{52b34318-1cc7-11e1-b233-001e3708856a}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7985572b-029e-11e2-b2ed-001cc4cb0dd7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b26b1ef0-24ed-11e2-b30e-001cc4cb0dd7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c2270caf-3fa9-11e1-b269-001e3708856a}
Comment faire pour s'en débarasser :
- Utiliser Usbfix (créé par El Desaparecido) pour désinfecter sa clé USB ainsi que tous les autres supports
- Ensuite passez cet outil généraliste MalwareBytes Anti-Malware afin de supprimer d'éventuels restes.
Certains antivirus peuvent scanner les supports USB c'est le cas d' Avast
Comment faire pour les éviter :
Vacciner les ports USB et les clés par le biais de USBfix
Désactiver la détection automatique des supports amovibles
- Ou quand vous installez un programme, il faut faire attention aux logiciels qui sont proposés en plus de celui que vous souahitez installer. Il sont directement pré-cochés à l'installation donc si vous ne faites pas attention, le logiciel installera le logiciels tiers tout ça sans s'en rendre compte.
Si vous éprouvez des difficultés à retirer cette infection, nous vous invitons à venir nous demander conseil sur notre forum :
=> https://faei-entraide.forumactif.org/f4-virus-securite
Fiche réalisé par lilidurhone
|
| |
|
Accueil 
Portail 
Dernières images 
Rechercher 
S'enregistrer 
Connexion 
Logiciel(s) 
Contribution 
pour une désinfection :
http://www.faei-entraide.net/post?f=4&mode=newtopic
