Protection contre virus Amvo.exo

Bonjour à tous

La question soulevée par Gilbert est intéressante. Nous ne nous
expliquons pas clairement par quelle procédure Windows XP a accepté
d'exécuter Autorun.inf car *par défaut WINXP ne permet pas l'autorun
aux volumes de stockage USB*

Tonio, qui a suivi le fil, a posé de son côté la question :
AUTORUN.INF sur CDROM et clef USB traités différemment ?
http://groups.google.com/groups?threadm=uqiby8foiha.3892%40tk2msftngp04.phx.gbl

La discussion qui a amené Gilbert sur votre NG est ici
http://groups.google.com/groups?threadm=%23m%24xz0foiha.3376%40tk2msftngp05.phx.gbl

L'un d'entre vous a-t-il étudié en profondeur ce type d'infection ?
Par quel scénario peut-on amener à rendre une clé USB exécutable par un
simple double-clic, c'est à dire avoir "Exécution automatique" en gras,
action par défaut, dans le Menu Contextuel de lecteurs externes ayant
un Autorun.inf ?

Merci d'avance pour Gilbert, pour ma lanterne, et pour les autres

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les vecteurs d'infection www.libellules.ch/dangers_logiciels.php

"Gilbert" <gilbert@nospam.fr>, le sam. 19 avr. 2008 10:43:28,
écrivait ceci:

Bonjour,
Salut,

J'ai été infecté par le virus Amv.exe simplement en faisant un
double clic sur la lettre d'un disque dur externe.
Ce virus crée simplement un fichier "autorun.inf" et un fichier

Pour protéger mes unités mobiles (clés usb, disques externes, dossiers
partagés) je créé un dossier nommé autorun.inf. Ainsi, sauf si le
programmeur de la saloperie y a pensé (ce qui est rare) il devient
impossible de créér un fichier autorun.inf.

"Gilles RONSIN" <nomail@please.invalid> a écrit dans le message de news:
fucppq.33s.1@d2r2.c6po...

"Gilbert" <gilbert@nospam.fr>, le sam. 19 avr. 2008 10:43:28,
écrivait ceci:

Bonjour,
Salut,

J'ai été infecté par le virus Amv.exe simplement en faisant un
double clic sur la lettre d'un disque dur externe.
Ce virus crée simplement un fichier "autorun.inf" et un fichier
--------

Pour protéger mes unités mobiles (clés usb, disques externes, dossiers
partagés) je créé un dossier nommé autorun.inf. Ainsi, sauf si le
programmeur de la saloperie y a pensé (ce qui est rare) il devient
impossible de créér un fichier autorun.inf.

-------------------------
Bonjour,

Bien sûr, c'est ce que j'ai fait pour "Vaccinner" mes propres unités
mobiles, en oubliant pas de donner l'attribution "lecture seule" au fichier
autorun .inf créé.

Par contre , cela ne me protège pas pour tous les autres lecteurs mobiles
(amis, travail) que je pourrais insérer sur mon PC. Je ne peux pas deviner à
l'avance, s'il exite un autorun malveillant dessus

Merci

"JF" <JF@-> a écrit dans le message de news:
eUr%230HgoIHA.2636@TK2MSFTNGP04.phx.gbl...

L'un d'entre vous a-t-il étudié en profondeur ce type d'infection ?
Par quel scénario peut-on amener à rendre une clé USB exécutable par un
simple double-clic, c'est à dire avoir "Exécution automatique" en gras,
action par défaut, dans le Menu Contextuel de lecteurs externes ayant un
Autorun.inf ?

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les vecteurs d'infection www.libellules.ch/dangers_logiciels.php

------------

Bonjour, j'ai trouvé cela qui pourrait éclairer nos lanterne sur le site de
JC Bellamy
Cela proviendra de la commande "Shell" à l'intérieur de fichier "autorun
.inf"

Voici :
Quand un utilisateur effectue un click droit sur l'icône du disque, un menu
contextuel apparaît. Si un fichier autorun.inf existe, la commande par
défaut est tirée de ce fichier s'il contient la commande shell=xxxx.
Cette commande est alors exécutée par un double-clic sur l'icône.
http://www.bellamyjc.org/fr/divers.html

Le fichier autorun malveillant pourrait contenir un commande "shell" pour
l'exécution automatique
Qu'en pensez-vous ?

Gilbert

*Bonjour Gilbert* !
<news:uCaQk7goIHA.4104@TK2MSFTNGP03.phx.gbl>

"JF" <JF@-> a écrit dans le message de news:
eUr%230HgoIHA.2636@TK2MSFTNGP04.phx.gbl...

L'un d'entre vous a-t-il étudié en profondeur ce type d'infection ?
Par quel scénario peut-on amener à rendre une clé USB exécutable par un
simple double-clic, c'est à dire avoir "Exécution automatique" en gras,
action par défaut, dans le Menu Contextuel de lecteurs externes ayant un
Autorun.inf ?

Bonjour, j'ai trouvé cela qui pourrait éclairer nos lanterne sur le site de
JC Bellamy
Cela proviendra de la commande "Shell" à l'intérieur de fichier "autorun
.inf"

Voici :
Quand un utilisateur effectue un click droit sur l'icône du disque, un menu
contextuel apparaît. Si un fichier autorun.inf existe, la commande par
défaut est tirée de ce fichier s'il contient la commande shell=xxxx.
Cette commande est alors exécutée par un double-clic sur l'icône.
http://www.bellamyjc.org/fr/divers.html

Le lien exact, que je t'avais donné, est :
Création de fichiers autorun.inf
www.bellamyjc.org/fr/divers.html#autorun
Remarquer qu'on ne parle que du traitement des CDROM.

Le fichier autorun malveillant pourrait contenir un commande "shell" pour
l'exécution automatique
Qu'en pensez-vous ?

Gilbert

Ce n'est pas ça, il te suffisait d'essayer !
Voici le contenu de l'autorun.inf de ma Framakey

[autorun]
icon=start.exe
label=Framakey
shell=FramaKey
shellexecute=start.exe
shellFramaKey=FramaKey
shellFramaKeycommand=start.exe

Et voici son menu contextuel :
http://photomaniak.com/upload/out.php/i248848_framakey.gif
Le premier item "Exécution automatique" est pour l'AutoRun
Le second item "Exécution automatique" est pour l'AutoPlay
L'action par défaut est en gras : *Développer* (dans explorer)
Le troisième item, "Framakey", est créé par la ligne
shellFramaKey=FramaKey

C'est la ligne
shellexecute=start.exe
qui ajoute le premier item "Exécution automatique"

Cette clé ne démarre pas son programme sans passer par une action
volontaire de l'utilisateur qui doit sélectionner le premier item
"Exécution automatique" ou directement l'exécutable start.exe

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46

"JF" <JF@-> a écrit dans le message de news:
uWoVuxhoIHA.552@TK2MSFTNGP06.phx.gbl...

Gilbert

Ce n'est pas ça, il te suffisait d'essayer !
Voici le contenu de l'autorun.inf de ma Framakey

[autorun]
icon=start.exe
label=Framakey
shell=FramaKey
shellexecute=start.exe
shellFramaKey=FramaKey
shellFramaKeycommand=start.exe

Et voici son menu contextuel :
http://photomaniak.com/upload/out.php/i248848_framakey.gif
Le premier item "Exécution automatique" est pour l'AutoRun
Le second item "Exécution automatique" est pour l'AutoPlay
L'action par défaut est en gras : *Développer* (dans explorer)
Le troisième item, "Framakey", est créé par la ligne
shellFramaKey=FramaKey

C'est la ligne
shellexecute=start.exe
qui ajoute le premier item "Exécution automatique"

Cette clé ne démarre pas son programme sans passer par une action
volontaire de l'utilisateur qui doit sélectionner le premier item
"Exécution automatique" ou directement l'exécutable start.exe

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46


-----------------------

J'ai trouvé l'autorun créé par Amvo.exe

[AutoRun]
open=xn1i9x.com
;shellopen=Open(&O)
shellopenCommand=xn1i9x.com
shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=xn1i9x.com

Voilà, avec ça que se passe-t-il ?


Gilbert

"Gilbert" <gilbert@nospam.fr>, le sam. 19 avr. 2008 13:02:33,
écrivait ceci:

Salut,

Bien sûr, c'est ce que j'ai fait pour "Vaccinner" mes propres
unités mobiles, en oubliant pas de donner l'attribution "lecture
seule" au fichier autorun .inf créé.

On parle bien de dossier hein ? pas de fichier. L'attribut de lecture
seule n'est d'aucune utilité.

Par contre , cela ne me protège pas pour tous les autres lecteurs
mobiles (amis, travail) que je pourrais insérer sur mon PC. Je ne
peux pas deviner à l'avance, s'il exite un autorun malveillant
dessus
Pour cela il faut gérer les autorisations NoDriveTypeAutorun .

*Bonjour Gilbert* !
<news:eimHORioIHA.5096@TK2MSFTNGP02.phx.gbl>

"JF" <JF@-> a écrit dans le message de news:
uWoVuxhoIHA.552@TK2MSFTNGP06.phx.gbl...

Gilbert

Ce n'est pas ça, il te suffisait d'essayer !
Voici le contenu de l'autorun.inf de ma Framakey

[autorun]
icon=start.exe
label=Framakey
shell=FramaKey
shellexecute=start.exe
shellFramaKey=FramaKey
shellFramaKeycommand=start.exe

Et voici son menu contextuel :
http://photomaniak.com/upload/out.php/i248848_framakey.gif
Le premier item "Exécution automatique" est pour l'AutoRun
Le second item "Exécution automatique" est pour l'AutoPlay
L'action par défaut est en gras : *Développer* (dans explorer)
Le troisième item, "Framakey", est créé par la ligne
shellFramaKey=FramaKey

C'est la ligne
shellexecute=start.exe
qui ajoute le premier item "Exécution automatique"

Cette clé ne démarre pas son programme sans passer par une action
volontaire de l'utilisateur qui doit sélectionner le premier item
"Exécution automatique" ou directement l'exécutable start.exe

-- Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46

-----------------------

J'ai trouvé l'autorun créé par Amvo.exe

[AutoRun]
open=xn1i9x.com
;shellopen=Open(&O)
shellopenCommand=xn1i9x.com
shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=xn1i9x.com

Voilà, avec ça que se passe-t-il ?

Gilbert

Mais pourquoi tu ne testes pas toi-même ? Il te manquait sans doute une
astuce : comment créer un xn1i9x.com ? Réponse : en renommant ainsi un
exécutable connu.

J'ai copié cet Autorun.inf sur une clé.
J'ai copié Winmine.exe (system32) sur la clé.
J'ai renommé winmine.exe en xn1i9x.com

Résultats :
NON ! xn1i9x.com n'est pas exécuté automatiquement !
MAIS deux nouveaux items dans le Menu contextuel sont destinés à
tromper l'utilisateur :

- Ouvrir
- Explorer

Ils sont créés par les lignes
shellopenCommand=xn1i9x.com
shellexploreCommand=xn1i9x.com

Si l'utilisateur sélectionne, et clique, Ouvrir ou Explorer, le
programme est exécuté comme attendu (le jeu winmine démarre).

L'action par défaut, en gras, est toujours *Développer*
Pour info, si on utilise la commande regsvr32 /u shell32
l'item Développer devient inopérant (grisé). Ce qui inciterait
l'utilisateur à cliquer sur les autres items.
Une autre façon : vider la valeur de (par défaut) dans la clé
HKEY_CLASSES_ROOTDriveshell
La valeur normale est none
http://www.d2i.ch/pn/az/d.html#d015

Les commandes précédées d'un point-virgule sont mises en remarque et ne
servent donc à rien.

Je confirme au passage que l'AutoPlay est bien actif, et le Menu
"Quelle action voulez-vous que Windows exécute ?" proposé à
l'insertion.

Fais le test de ton côté, cela va peut-être révéler quelque chose ?

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46

Je m'y suis mal pris, c'est mieux à présent, et j'ai obtenu ceci :
http://photomaniak.com/upload/out.php/i250090_open.gif

Si j'ouvre Poste de Travail dans une Fenêtre (pas Explorer) et que je
clique sur la clé, le jeu Winmine démarre ! Plus possible d'explorer le
contenu de la clé !

Si bien sûr, il suffit de passer en mode explorer via l'icône de la
barre d'outils.

Explication pourquoi je n'obtenais pas le résultat escompté :
J'ouvre le Poste de Travail par défaut en mode explorer et en utilisant
la présentation classique, sans les tâches habituelles.

Dans ce mode c'est toujours *Développer* qui est l'action par défaut,
je n'avais donc pas vu le truc.

J'ai enlevé le point-virgule devant shellopen=Open(&O)
==>

[AutoRun]
open=xn1i9x.com
shellopen=Open(&O)
shellopenCommand=xn1i9x.com
;shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=xn1i9x.com


Ceci donne l'explication à ce que Gilbert a observé :
il a cliqué sur la clé, et l'infection a eu lieu.

Mais il n'y a pas infection (pas de démarrage de l'exécutable) avec la
simple introduction de la clé (autorun inactif by design sur les
volumes externes).

Merci Gilbert d'avoir retrouvé et transmis cet Autorun.inf
Ce n'est d'ailleurs pas la première fois qu'on me fait ce genre de
cadeau, j'ai déjà eu celui-ci, que l'on m'avait confié :

[AutoRun]
open=RavMon.exe
shellopen=´ò¿ª(&O)
shellopenCommand=RavMon.exe
shellexplore=×ÊÔ´¹ÜÀíÆ÷(&X)
shellexploreCommand="RavMon.exe -e"

Hors-sujet ?
Pour info il existe une méthode pour modifier l'action
par défaut des lecteurs ou dossiers en ajoutant une clé au registre :
www.hotline-pc.org/menucontextuel.htm
Exemple du résultat obtenu :
Création d'ne nouvelle commande par défaut
http://pix.nofrag.com/3f/a1/cfd0fbe4f32a03d489e1b84948b8.html
La commande par défaut est en gras dans le Menu Contextuel.
Cette commande ouvre notepad (pour faire le test).

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Info:
www.libellules.ch/dotclear?2008/02/01/2406-la-config-securite-fevrier-2008

"JF" <JF@-> a écrit dans le message de news:
%23eFvozioIHA.548@TK2MSFTNGP06.phx.gbl...

*Bonjour Gilbert* !
<news:eimHORioIHA.5096@TK2MSFTNGP02.phx.gbl>

"JF" <JF@-> a écrit dans le message de news:
uWoVuxhoIHA.552@TK2MSFTNGP06.phx.gbl...

Gilbert

Ce n'est pas ça, il te suffisait d'essayer !
Voici le contenu de l'autorun.inf de ma Framakey

[autorun]
icon=start.exe
label=Framakey
shell=FramaKey
shellexecute=start.exe
shellFramaKey=FramaKey
shellFramaKeycommand=start.exe

Et voici son menu contextuel :
http://photomaniak.com/upload/out.php/i248848_framakey.gif
Le premier item "Exécution automatique" est pour l'AutoRun
Le second item "Exécution automatique" est pour l'AutoPlay
L'action par défaut est en gras : *Développer* (dans explorer)
Le troisième item, "Framakey", est créé par la ligne
shellFramaKey=FramaKey

C'est la ligne
shellexecute=start.exe
qui ajoute le premier item "Exécution automatique"

Cette clé ne démarre pas son programme sans passer par une action
volontaire de l'utilisateur qui doit sélectionner le premier item
"Exécution automatique" ou directement l'exécutable start.exe

-- Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46

-----------------------

J'ai trouvé l'autorun créé par Amvo.exe

[AutoRun]
open=xn1i9x.com
;shellopen=Open(&O)
shellopenCommand=xn1i9x.com
shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=xn1i9x.com

Voilà, avec ça que se passe-t-il ?

Gilbert

Mais pourquoi tu ne testes pas toi-même ? Il te manquait sans doute une
astuce : comment créer un xn1i9x.com ? Réponse : en renommant ainsi un
exécutable connu.

J'ai copié cet Autorun.inf sur une clé.
J'ai copié Winmine.exe (system32) sur la clé.
J'ai renommé winmine.exe en xn1i9x.com

Résultats :
NON ! xn1i9x.com n'est pas exécuté automatiquement !
MAIS deux nouveaux items dans le Menu contextuel sont destinés à tromper
l'utilisateur :

- Ouvrir
- Explorer

Ils sont créés par les lignes
shellopenCommand=xn1i9x.com
shellexploreCommand=xn1i9x.com

Si l'utilisateur sélectionne, et clique, Ouvrir ou Explorer, le programme
est exécuté comme attendu (le jeu winmine démarre).

L'action par défaut, en gras, est toujours *Développer*
Pour info, si on utilise la commande regsvr32 /u shell32
l'item Développer devient inopérant (grisé). Ce qui inciterait
l'utilisateur à cliquer sur les autres items.
Une autre façon : vider la valeur de (par défaut) dans la clé
HKEY_CLASSES_ROOTDriveshell
La valeur normale est none
http://www.d2i.ch/pn/az/d.html#d015

Les commandes précédées d'un point-virgule sont mises en remarque et ne
servent donc à rien.

Je confirme au passage que l'AutoPlay est bien actif, et le Menu
"Quelle action voulez-vous que Windows exécute ?" proposé à l'insertion.

Fais le test de ton côté, cela va peut-être révéler quelque chose ?

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46


----------------------------------------------------------------------------------

Oui, j'ai fait le test

Effectivement le piège est dans les actions "ouvrir" et "explorer" qui en
fait lancent le programme malveillant.
On pourrait penser qu'en choissisant une de ces 2 actions, on ne risque
rien.
Et bien non, en fait , c'est là que se trouve le piège.

Poutant j'ai lu pas mal de conseils sur le Net, ou il conseillait pour se
protéger de ne pas faire de double clic, mais de faire un clic droit et de
choisir "ouvrir" ou "explorer".
...et bien c'est suicidaire ce conseil.

En fait, si l'on a une clé USB, avec un doute, comment faire pour l'ouvrir
sans danger.
Donc, avec ce type d'autorun.inf, aucune action sans lancer le virus n'est
possible ?

Gilbert