pimprenelle27 Administrateur
Messages : 1613 Points : 2268 Réputation : 51
| Sujet: Infection via disques amovible Mer 6 Mar - 2:29 | |
| |
Infection des supports amovibles qu'est ce que c'est :
De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !
Ce sont donc des infections qui se propagent par supports amovibles : clé USB (cas le plus fréquent), disque dur externe, carte flash, ipod, lecteur MP3, appareil photo, etc... Tout disque amovible inséré dans un ordinateur infecté sera infecté à son tour si l'infection est active. Autrement dit, l'infection se fera automatiquement par simple connexion si l'exécution automatique est activée pour les lecteurs amovibles. Le simple fait d'ouvrir le poste de travail et de double-cliquer sur la clé usb / disque dur externe (ré)infectera le système d'exploitation ! La clé infectera à son tour un PC sain. Et ainsi de suite ... (Source CCM)
Voici quelques exemples :
Worm Autorun Brontok Mazebat
Exemple de lignes issues d'un rapport ZHPDiag démontrant ces infections :
O4 - HKCU\..\Run: [Tok-Cirrhatus] . (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe O4 - HKLM\..\Run: [Bron-Spizaetus] . (...) -- C:\WINDOWS\ShellNew\sempalong.exe O4 - HKUS\S-1-5-21-1771197953-3562089158-885465456-1005\..\Run: [Tok-Cirrhatus] . (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe O43 - CFD: 25/01/2013 - 13:38:30 - [0] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Bron.tok-12-25 O43 - CFD: 01/12/2012 - 14:17:30 - [0] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Ok-SendMail-Bron-tok O43 - CFD: 01/12/2012 - 14:18:10 - [0,003] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Loc.Mail.Bron.Tok O51 - MPSK:{1ffcf1e8-df35-11de-9845-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.) O51 - MPSK:{4e47c256-763d-11df-9918-0025d3041334}\AutoRun\command. (...) -- H:\PMBP_Win.exe (.not file.) O51 - MPSK:{5a407800-17b8-11df-9894-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.) O51 - MPSK:{709ac2ab-d07c-11de-9831-90e6ba0dc7cb}\AutoRun\command. (...) -- G:\r2g20.exe (.not file.) O51 - MPSK:{8283e5ba-62b6-11df-98ff-0025d3041334}\AutoRun\command. (...) -- F:\LaunchU3.exe (.not file.) O51 - MPSK:{90f9bf67-ca57-11df-995d-0025d3041334}\AutoRun\command. (...) -- G:\WD SmartWare.exe (.not file.) O51 - MPSK:{9a1d5da0-d67f-11de-983a-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.) O51 - MPSK:{ccf94070-14d9-11df-988d-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.) O51 - MPSK:{d2e889ca-e039-11de-9847-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.) O51 - MPSK:{fe4f5576-131a-11df-988a-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.) O51 - MPSK:{fe6259e9-4a40-11df-98d7-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.) O53 - SMSR:HKLM\...\startupreg\cdoosoft [Key] . (...) -- C:\DOCUME~1\XPLODE~1\LOCALS~1\Temp\herss.exe => Infection USB (Trojan.USB) [MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\csrss.exe [42706] [MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\winlogon.exe [42706] [MD5.6278DB50D232776538CB1E5ED207D864] [SPRF][25/01/2013] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Bron.tok.A12.em.bin [12393] [MD5.0F3AFE52339807B01403891B1830D95E] [SPRF][25/01/2013] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Update.12.Bron.Tok.bin [12393] 007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe [42706] [MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\services.exe [42706]
Exemple d'infections visible sur un rapport USBfix :
################## | Éléments infectieux |
Supprimé! C:\Documents and Settings\HP\Application Data\inst.exe Supprimé! D:\Recycler\NokiaN73Tools.exe Supprimé! C:\Documents and Settings\hook.dl_ Supprimé! C:\Documents and Settings\tazebama.dl_ Supprimé! C:\Documents and Settings\tazebama.dll Supprimé! C:\zPharaoh.exe Supprimé! C:\Recycler\S-1-5-21-606747145-1336601894-725345543-1003 Supprimé! D:\Recycler\S-1-5-21-606747145-1336601894-725345543-1003 Supprimé! C:\autorun.inf Supprimé! D:\autorun.inf Supprimé! D:\zPharaoh.exe Supprimé! H:\UNUCI
(!) Fichiers temporaires supprimés.
################## | Mabezat |
Supprimé! C:\Documents and Settings\HP\Application Data\tazebama Supprimé! C:\Documents and Settings\HP\Bureau\Antivirus\tazebama.dll\Nouveau dossier\WinrRarSerialInstall.exe Supprimé! D:\Default\User StyleSheets\InstallMSN11En.exe Supprimé! D:\Default\WinrRarSerialInstall.exe Supprimé! D:\Rabo\bureau\appel d'offre\FloppyDiskPartion.exe Supprimé! D:\Rabo\bureau\Batiment\HP_LaserJetAllInOneConfig.exe Supprimé! D:\Rabo\bureau\dossier technique\Microsoft Windows Network.exe Supprimé! D:\Rabo\bureau\ETIJANI Mining\Adjust Time.exe Supprimé! D:\Rabo\bureau\ETIJANI Mining\Méthodes et matériels de prospection minière\LockWindowsPartition.exe Supprimé! D:\Rabo\bureau\Make Windows Original.exe Supprimé! D:\Rabo\bureau\materiels\Recycle Bin.exe Supprimé! D:\Rabo\bureau\Mines\WindowsXp StartMenu Settings.exe Supprimé! D:\Rabo\bureau\Recueil_de_Normes_EuroCodes__1\MakeUrOwnFamilyTree.exe Supprimé! D:\Rabo\bureau\Tests\image\BrowseAllUsers.exe Supprimé! D:\Rabo\bureau\Tests\Win98compatibleXP.exe Supprimé! D:\Rabo\Classement\Beton\autre\IDE Conector P2P.exe Supprimé! D:\Rabo\Classement\Beton\materiel\Sony Erikson DigitalCam.exe Supprimé! D:\Rabo\Classement\Beton\normes-essais\Microsoft MSN.exe Supprimé! D:\Rabo\Classement\Beton\route-essais-materiel\RadioTV.exe Supprimé! D:\Rabo\Classement\Beton\ShowDesktop.exe Supprimé! D:\Rabo\Classement\Ciment\autre\Antenna2Net.exe Supprimé! D:\Rabo\Classement\Ciment\CD Burner.exe Supprimé! D:\Rabo\Classement\Ciment\materiel\PanasonicDVD_DigitalCam.exe Supprimé! D:\Rabo\Classement\Diagnostique\Disk Defragmenter.exe Supprimé! D:\Rabo\Classement\Granulat\RecycleBinProtect.exe Supprimé! D:\Rabo\Classement\Sable\12 Dictionnaires indispensables\mm_ress\HTML\Aide\NokiaN73Tools.exe Supprimé! D:\Rabo\Classement\Sable\12 Dictionnaires indispensables\mm_ress\media\WinrRarSerialInstall.exe Supprimé! D:\Rabo\Classement\Sable\Windows Keys Secrets.exe Supprimé! D:\Rabo\Divers\09 06 09\2000 m2\Microsoft MSN.exe Supprimé! D:\Rabo\Divers\09 06 09\40 ha\RadioTV.exe Supprimé! D:\Rabo\Divers\09 06 09\AL IZDIHAR OMRANI\Antenna2Net.exe Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\Photos Projet\NokiaN73Tools.exe Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\Plan côté\Make Windows Original.exe Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\VUES\Office2007 Serial.txt.exe Supprimé! D:\Rabo\Divers\09 06 09\Make Windows Original.exe Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Envoyé le 14 07 2009\Crack_GoogleEarthPro.exe Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Envoyé le 14 07 2009\VOIRIE envoyé le 30 07 2009\HP_LaserJetAllInOneConfig.exe Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Office2007 Serial.txt.exe Supprimé! D:\Rabo\Divers\Adobe Photoshop CS4 Me\adobe_epic\Adjust Time.exe Supprimé! D:\Rabo\Divers\BAHAR\InstallMSN11Ar.exe Supprimé! D:\Rabo\Divers\Brouillon\InstallMSN11En.exe Supprimé! D:\Rabo\Divers\Caprari pump\Lock Folder.exe Supprimé! D:\Rabo\Divers\cv\Crack_GoogleEarthPro.exe Supprimé! D:\Rabo\Divers\EP\AmericanOnLine.exe Supprimé! D:\Rabo\Divers\Fourretout\FloppyDiskPartion.exe Supprimé! D:\Rabo\Divers\Hayki\HP_LaserJetAllInOneConfig.exe Supprimé! D:\Rabo\Divers\IB\Microsoft Windows Network.exe Supprimé! D:\Rabo\Divers\JC\Adjust Time.exe Supprimé! D:\Rabo\Divers\JC 2011\Recycle Bin.exe Supprimé! D:\Rabo\Divers\Nachat\WindowsXp StartMenu Settings.exe Supprimé! D:\Rabo\Divers\Nouveau dossier\MakeUrOwnFamilyTree.exe Supprimé! D:\Rabo\Divers\Office2007 Serial.txt.exe Supprimé! D:\Rabo\Divers\Parler arabe\Win98compatibleXP.exe Supprimé! D:\Rabo\Divers\PDF Memoires IAV\Lock Folder.exe Supprimé! D:\Rabo\Divers\photo\LockWindowsPartition.exe Supprimé! D:\Rabo\Divers\pilote hp Sani\BrowseAllUsers.exe Supprimé! D:\Rabo\Divers\PROJET SANI AEP\ShowDesktop.exe Supprimé! D:\Rabo\Divers\S.Boukar\CD Burner.exe Supprimé! D:\Rabo\Divers\Sissoko\Disk Defragmenter.exe Supprimé! D:\Rabo\Divers\Téléchargements\RecycleBinProtect.exe Supprimé! D:\Rabo\Divers\Voirie et assanissement modif 40 ha du 23 06 2009\Windows Keys Secrets.exe Supprimé! D:\Rabo\Divers\WinRAR\IDE Conector P2P.exe Supprimé! D:\Rabo\Divers\Zénith\Sony Erikson DigitalCam.exe Supprimé! H:\Fourretout\CV\NokiaN73Tools.exe Supprimé! D:\System Volume Information\_restore{73CDC212-CA3D-48CB-AFA4-CE79A855137C}\RP406\A0241213.exe
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\F Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2afa83b6-f299-11e0-b1e7-001cbfb7d7a6} Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{52b34318-1cc7-11e1-b233-001e3708856a} Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7985572b-029e-11e2-b2ed-001cc4cb0dd7} Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b26b1ef0-24ed-11e2-b30e-001cc4cb0dd7} Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c2270caf-3fa9-11e1-b269-001e3708856a}
Comment faire pour s'en débarasser :
- Utiliser Usbfix (créé par El Desaparecido) pour désinfecter sa clé USB ainsi que tous les autres supports
- Ensuite passez cet outil généraliste MalwareBytes Anti-Malware afin de supprimer d'éventuels restes.
Certains antivirus peuvent scanner les supports USB c'est le cas d' Avast
Comment faire pour les éviter :
Vacciner les ports USB et les clés par le biais de USBfix
Désactiver la détection automatique des supports amovibles
- Ou quand vous installez un programme, il faut faire attention aux logiciels qui sont proposés en plus de celui que vous souahitez installer. Il sont directement pré-cochés à l'installation donc si vous ne faites pas attention, le logiciel installera le logiciels tiers tout ça sans s'en rendre compte.
Si vous éprouvez des difficultés à retirer cette infection, nous vous invitons à venir nous demander conseil sur notre forum : => https://faei-entraide.forumactif.org/f4-virus-securite
Fiche réalisé par lilidurhone
|
| |
|