une bestiole, pas nouvelle mais comment l'éviter

Le
pxg
Bonjour

Je trimballe assez souvent un disque externe avec divers logiciels à
installer (Opera, Open Office, ).
Depuis quelques heures (1 ou 2 jours peut-être) j'ai remarqué un
comportement bizarre : lorsque je connectais mon disque, xp me demandait
l'exécution d'un programme pour chacune des trois partitions qu'il contient,
ce que je refusais bien évidemment.

En examinant les trois partitions qu'il contient, je ne vois rien, puis en
utilisant la commande attrib, j'ai découvert sur chacune des partitions les
fichiers suivants

SHR G:autorun.inf
A SHR G:Boot.exe
SHR G:d.com
SHR G:m1t8ta.com
SHR G:tde1ect.com
SHR G:usdeiect.com

Le type appliqué au fichier autorun.inf n'affiche rien pour deux de mes
partitions et je vois ceci dans celui de la troisième. Avant la première
éradication, il m'a semblé en voir vu un exemplaire plus conséquent

[AutoRun]
open=ntde1ect.com
;shellopen=Open(&O)
shellopenCommand=ntde1ect.com
shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=ntde1ect.com

Bon, j'ai bien compris que je m'étais fait pourrir et j'ai pu enlever les
fichiers en utilisant un os sur livecd, mais je m'inquiète :
De ce que je pu distribuer cette peste, heureusement sur un nombre
heureusement restreint de machines clairement identifiées.
Avez vous connaissance d'un outil efficace d'éradication de ce bazard. J'ai
vu un outil "Flash_Disinfector.exe" pour enlever sur les périphériques flash
mais, à ce que j'ai expérimenté, il ne prend pas en compte les disques
externes
Comment éviter que cela se reproduise en sachant qu'il n'existe pas de
dispostifs forçant la lecture seule sur mon disque (ce qui m'apparaît bien
regrettable). Les machines sur lesquelles j'interviens ponctuellement et
souvent dans l'urgence ont des os M$ différents, des antivirus différents
(lorsqu'il y en a) et des niveaux de mise à jour laisant à désirer. Dans
l'immédiat je vais graver des cd depuis une machine saine.

J'ai regardé mes clés usb que je trimballe aussi parfois, elles ne me
semblent pas atteintes je vais pouvoir chercher plus finement l'origine du
sinistre.

Je vous remercie pour toute suggestion, de protection et d'automatisation de
l'éradication. Ce que j'ai trouvé sur la toile me parait bien maigrichon et
j'ai même eu la surprise de trouver un site qui, non content de m'offrir un
scan gratuit de la base de registres, me propose une solution pour accélerer
un des programmes suspects résultant de l'infection.

Cordialement

pxg
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
beepee
Le #1694004
merci pour le gag !


pxg avait prétendu :
Bonjour

Je trimballe assez souvent un disque externe avec divers logiciels à
installer (Opera, Open Office, ...).
Depuis quelques heures (1 ou 2 jours peut-être) j'ai remarqué un comportement
bizarre : lorsque je connectais mon disque, xp me demandait l'exécution d'un
programme pour chacune des trois partitions qu'il contient, ce que je
refusais bien évidemment.

En examinant les trois partitions qu'il contient, je ne vois rien, puis en
utilisant la commande attrib, j'ai découvert sur chacune des partitions les
fichiers suivants

SHR G:autorun.inf
A SHR G:Boot.exe
SHR G:d.com
SHR G:m1t8ta.com
SHR G:ntde1ect.com
SHR G:usdeiect.com

Le type appliqué au fichier autorun.inf n'affiche rien pour deux de mes
partitions et je vois ceci dans celui de la troisième. Avant la première
éradication, il m'a semblé en voir vu un exemplaire plus conséquent

[AutoRun]
open=ntde1ect.com
;shellopen=Open(&O)
shellopenCommand=ntde1ect.com
shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=ntde1ect.com

Bon, j'ai bien compris que je m'étais fait pourrir et j'ai pu enlever les
fichiers en utilisant un os sur livecd, mais je m'inquiète :
De ce que je pu distribuer cette peste, heureusement sur un nombre
heureusement restreint de machines clairement identifiées.
Avez vous connaissance d'un outil efficace d'éradication de ce bazard. J'ai
vu un outil "Flash_Disinfector.exe" pour enlever sur les périphériques flash
mais, à ce que j'ai expérimenté, il ne prend pas en compte les disques
externes
Comment éviter que cela se reproduise en sachant qu'il n'existe pas de
dispostifs forçant la lecture seule sur mon disque (ce qui m'apparaît bien
regrettable). Les machines sur lesquelles j'interviens ponctuellement et
souvent dans l'urgence ont des os M$ différents, des antivirus différents
(lorsqu'il y en a) et des niveaux de mise à jour laisant à désirer. Dans
l'immédiat je vais graver des cd depuis une machine saine.

J'ai regardé mes clés usb que je trimballe aussi parfois, elles ne me
semblent pas atteintes je vais pouvoir chercher plus finement l'origine du
sinistre.

Je vous remercie pour toute suggestion, de protection et d'automatisation de
l'éradication. Ce que j'ai trouvé sur la toile me parait bien maigrichon et
j'ai même eu la surprise de trouver un site qui, non content de m'offrir un
scan gratuit de la base de registres, me propose une solution pour accélerer
un des programmes suspects résultant de l'infection.

Cordialement

pxg


Bruno S
Le #1694003

unp157942966.tmp Virus: INF:Autorun-C [Trj] Deleted


avast! : Le corps du message a été retiré car il contient un virus.
Pas si mal le vieil avast ;o))

DePassage
Le #1694002
pxg wrote:
Bonjour

Je trimballe assez souvent un disque externe avec divers logiciels à
installer (Opera, Open Office, ...).

Bon, j'ai bien compris que je m'étais fait pourrir


ah ca... :-)


Avez vous connaissance d'un outil efficace d'éradication de ce bazard. J'ai
vu un outil "Flash_Disinfector.exe" pour enlever sur les périphériques flash
mais, à ce que j'ai expérimenté, il ne prend pas en compte les disques
externes


Un antivirus va sur les disques externes
Quel est le tien ?

Ce truc circule depuis septembre 2007
A priori il s'agit du Trojan-Dropper.Win32.Agent.bsc (chez Kapersky)
mais a d'autres noms chez Antivir etc
Avast ne l'a pas détecte pendant plusieurs mois et le détecte maintenant
en tant que Win32:OnLineGames-BSQ[Trj, mais ne l'éradique pas (mais non
je ne focalise pas sur AVAST :-)

Sinon en plus récent tu as

http://www.sophos.com/security/analyses/w32autorunak.html

le pb étant qu'il y a multitude de noms pour les autres fichiers (c'est
de l'aléatoire)


M'enfin essaie déja de déterminer quelle est l'infection exacte

Comment éviter que cela se reproduise en sachant qu'il n'existe pas de
dispostifs forçant la lecture seule sur mon disque (ce qui m'apparaît bien
regrettable). Les machines sur lesquelles j'interviens ponctuellement et
souvent dans l'urgence ont des os M$ différents, des antivirus différents
(lorsqu'il y en a) et des niveaux de mise à jour laisant à désirer. Dans
l'immédiat je vais graver des cd depuis une machine saine.


Si tu vas sur des postes infectés, il y a de fortes chances que cela se
reproduise sur un media externe inséré (la mise en lecture seule des
fichiers ne suffit pas)


J'ai regardé mes clés usb que je trimballe aussi parfois, elles ne me
semblent pas atteintes je vais pouvoir chercher plus finement l'origine du
sinistre.


J'ai déja vu ce truc chez quelqu'un et le simple fait d'insérer un media
externe, clé USB ou autre reproduit l'infection

Je vous remercie pour toute suggestion, de protection et d'automatisation de
l'éradication.



Pour tes clés USB, soit tu en prends avec onglet de protection en
écriture, soit tu prends des carte SD avec lecteur et tu pourras faire
la meme chose.
J'ai cela sur des 4 et 8 Go. Aucune écriture ou effacement accidentel
possible.(et surtout prendre un lecteur SDHC sinon il ne pourra pas lire
les carte de grande capacité)

Ce que j'ai trouvé sur la toile me parait bien maigrichon et
j'ai même eu la surprise de trouver un site qui, non content de m'offrir un
scan gratuit de la base de registres, me propose une solution pour accélerer
un des programmes suspects résultant de l'infection.


y a toujours des profiteurs qui en rajoute une couche dans l'infection :-)

Le noml est différent mais peut etre que ...

http://www.thejackol.com/2007/09/10/removing-the-ntde1ectcom-and-autoruninf/


DePassage
Le #1694001
Bruno S wrote:

unp157942966.tmp Virus: INF:Autorun-C [Trj] Deleted


avast! : Le corps du message a été retiré car il contient un virus.
Pas si mal le vieil avast ;o))


Oui il vaut mieux qu'il le détecte et l'éradique AVANT :-)
D'autres n'ont pas eu cette joie


pxg
Le #1693999
beepee wrote:
merci pour le gag !


Je n'ai pas eu cette intention surtout que je n'écris qu'en texte seul.
Je pense que c'est la seule citation de l'autorun.inf qui fait beugler
l'antivirus de mon portable (avast dans ce cas) la reprise de ma citation
par un autre contributeur ne provoque pas de réaction car elle est préfixée
par >. La machine d'où j'ai posté était elle protégée par Norton corporate
(imposé mais à jour).


Cordialement

pxg
Le #1693998
DePassage wrote:
Oui il vaut mieux qu'il le détecte et l'éradique AVANT :-)
D'autres n'ont pas eu cette joie


Dans le cas présent, ils ne risquaient pas grand chose.

pxg

DePassage
Le #1693997
pxg wrote:
beepee wrote:
merci pour le gag !



Delphi fait des siennes ? :-)
MesNews le newsreader qui permet d'afficher les textes des newsgroups en
mode texte et... html (et poster idem du reste)

Je n'ai pas eu cette intention surtout que je n'écris qu'en texte seul.


Avast beugle là dessus ??
Il ne doit pas lire en mode texte


Je pense que c'est la seule citation de l'autorun.inf qui fait beugler
l'antivirus de mon portable (avast dans ce cas)


Fausse alarme donc.. et tu lis avec Outlook, ce qui n'arrange pas Avast :-)


pxg
Le #1693995
DePassage wrote:

Ce truc circule depuis septembre 2007
A priori il s'agit du Trojan-Dropper.Win32.Agent.bsc (chez Kapersky)
mais a d'autres noms chez Antivir etc
Avast ne l'a pas détecte pendant plusieurs mois et le détecte
maintenant en tant que Win32:OnLineGames-BSQ[Trj, mais ne l'éradique
pas (mais non je ne focalise pas sur AVAST :-)


Je viens de regarder quelques machines - équipées d'antivirus à jour (dont
avast) - elles comportent un fichier amvo.exe, et sur certaines un avpo.exe
en plus, Comme elles ne servent pas à parcourir les groupes de nouvelles je
pense que l'infection ne vient pas de ce vecteur. Certaines machines sont
des stations publiques et accueillent de utilisateurs qui arrivent et
repartent avec leur clé usb.

Je sens que ça va être une galère à virer le truc, et surtout, à ne pas le
reprendre.

http://www.sophos.com/security/analyses/w32autorunak.html


merci pour ce lien et le suivant que j'avais parcourus hier.

M'enfin essaie déja de déterminer quelle est l'infection exacte


ça va être le challenge du jour.

J'ai déja vu ce truc chez quelqu'un et le simple fait d'insérer un
media externe, clé USB ou autre reproduit l'infection


apparement c'est exactement ça.

Merci pour ta coopération.

Cordialement

pxg

DePassage
Le #1693994
pxg wrote:
DePassage wrote:

Je viens de regarder quelques machines - équipées d'antivirus à jour (dont
avast) - elles comportent un fichier amvo.exe, et sur certaines un avpo.exe
en plus,



La description comporte effectivement des noms de fichiers aléatoires
qui se renomment du reste si l'éradication est mal faite)mais ces deux
là sont les plus connus(

Comme elles ne servent pas à parcourir les groupes de nouvelles je
pense que l'infection ne vient pas de ce vecteur. Certaines machines sont
des stations publiques et accueillent de utilisateurs qui arrivent et
repartent avec leur clé usb.


C'est là tout le problème des stations publiques...

la règle veut qu'il y ait un Ordi qui fera office de boite à sable
(sandbox)avec passage obligatoire, équipé de plusieurs gratuits
(Antivir, Bitdefender etc qu'il est possible d'installer conjointement
et ne feront office que de scanner)et d'un payant efficace (non je ne
donne pas de nom :-)plus quelques outils dédiés aux menaces spécifiques
Ne pas oublier non plus la configuration de windows...
Enfin tout cela c'est du BA-BA et est générique et la sécurisation c'est
tout un processus, ca ne repose pas que sur un antivirus (qui n'est
qu'un outil d'aide) et ca ne s'explique pas en quelques lignes


http://www.clubic.com/telecharger-fiche11128-bitdefender-free-edition.html

http://www.clubic.com/telecharger-fiche10821-antivir-personal-edition.html

un tuto pour aller au dela de la configuration par defaut (qui n'est
d'aucune protection comme tous les anti virus surtout pour le scan)
http://www.libellules.ch/tuto_antivir.php

Une solution pour obtenir les définitions de virus plus rapidement
http://www.libellules.ch/dotclear/index.php?2007/09/11/2127-antivir-mise-a-jour-rapide-des-definitions-de-virus-sans-attendre-les-serveurs

Peut etre intéressant, mais pas des plus facile à mettre en oeuvre (je
ne connais pas ton niveau)

http://www.clubic.com/telecharger-fiche41991-sandboxie.html

Je sens que ça va être une galère à virer le truc, et surtout, à ne pas le
reprendre.


Si elles sont équipées d'AVAST (en gratuit je suppose ?) peut etre
serait-il sage d'opter pour quelques chose de plus efficace ?

Pour ma part, cela avait été détecté avec une ancienne version du
dernier trimestre 2007 par le couple bitdefender/Spysweeper, sur un des
mes postes public,mais bon...
Normalement Norton détecte aussi (mal configuré ??)



http://www.sophos.com/security/analyses/w32autorunak.html


merci pour ce lien et le suivant que j'avais parcourus hier.

M'enfin essaie déja de déterminer quelle est l'infection exacte


ça va être le challenge du jour.


Si c'est celui ci :

http://www.malekal.com/Autorun-C_NSAnti.r.php


pxg
Le #1693993
DePassage wrote:

C'est là tout le problème des stations publiques...


La situation est simple, dans un centre de formation multi sites chaque
formateur dispose d'une ou plusieurs salles équipées de machines. Il n'y a
aucune gestion d'ensemble, même si elle est réclamée depuis fort longtemps.
Vu de la Direction un technicien informatique n'est pas productif, donc tout
s'autogère ou plutôt ne se gère pas. J'interviens le plus souvent pour la
maintenance du matériel et pour le déployement de salles complètes.

Si elles sont équipées d'AVAST (en gratuit je suppose ?) peut etre
serait-il sage d'opter pour quelques chose de plus efficace ?


Hélas, c'est pire que cela, certaines en ont d'autres pas et les mises à
jour sont défaillantes dans la plupart des cas.

Pour ma part, cela avait été détecté avec une ancienne version du
dernier trimestre 2007 par le couple bitdefender/Spysweeper, sur un
des mes postes public,mais bon...


Je confirme qu'Avast - famillial, dernière version à jour - passe à côté,
même en scan approfondi.

Normalement Norton détecte aussi (mal configuré ??)


Norton Corporate 10 n'a rien dit mais machine d'où je postais n'a pas été
contaminée. C'est ma citation de l'autorun dans le message qui a provoqué
l'alerte chez les lecteurs du groupe. .

http://www.malekal.com/Autorun-C_NSAnti.r.php


Merci, je vais l'ajouter à ma panoplie, et je vais vérifier à nouveau les
trois machines que j'ai identifié ce matin et que j'ai nettoyé à la main.

Cordialement

pxg

Publicité
Poster une réponse
Anonyme