Effectivement le piège est dans les actions "ouvrir" et "explorer" qui en
fait lancent le programme malveillant.
On pourrait penser qu'en choissisant une de ces 2 actions, on ne risque
rien.
Et bien non, en fait , c'est là que se trouve le piège.
Poutant j'ai lu pas mal de conseils sur le Net, ou il conseillait pour se
protéger de ne pas faire de double clic, mais de faire un clic droit et de
choisir "ouvrir" ou "explorer".
...et bien c'est suicidaire ce conseil.
En fait, si l'on a une clé USB, avec un doute, comment faire pour l'ouvrir
sans danger.
Donc, avec ce type d'autorun.inf, aucune action sans lancer le virus n'est
possible ?
Gilbert
Effectivement le piège est dans les actions "ouvrir" et "explorer" qui en
fait lancent le programme malveillant.
On pourrait penser qu'en choissisant une de ces 2 actions, on ne risque
rien.
Et bien non, en fait , c'est là que se trouve le piège.
Poutant j'ai lu pas mal de conseils sur le Net, ou il conseillait pour se
protéger de ne pas faire de double clic, mais de faire un clic droit et de
choisir "ouvrir" ou "explorer".
...et bien c'est suicidaire ce conseil.
En fait, si l'on a une clé USB, avec un doute, comment faire pour l'ouvrir
sans danger.
Donc, avec ce type d'autorun.inf, aucune action sans lancer le virus n'est
possible ?
Gilbert
Effectivement le piège est dans les actions "ouvrir" et "explorer" qui en
fait lancent le programme malveillant.
On pourrait penser qu'en choissisant une de ces 2 actions, on ne risque
rien.
Et bien non, en fait , c'est là que se trouve le piège.
Poutant j'ai lu pas mal de conseils sur le Net, ou il conseillait pour se
protéger de ne pas faire de double clic, mais de faire un clic droit et de
choisir "ouvrir" ou "explorer".
...et bien c'est suicidaire ce conseil.
En fait, si l'on a une clé USB, avec un doute, comment faire pour l'ouvrir
sans danger.
Donc, avec ce type d'autorun.inf, aucune action sans lancer le virus n'est
possible ?
Gilbert
*Bonjour Gilbert* !
On peut désinfecter systématiquement avant d'ouvrir une clé
http://forum.malekal.com/viewtopic.php?fE&tU44
Je pense à VaccinUSB.exe que tu as utilisé je crois.
Tu peux nous dire ton avis sur son utilisation ?
L'inconvénient me semble être qu'il écrase l'autorun.inf systématiquement.
Or ce dernier peut être légitime.
Ces solutions peuvent se heurter au problème d'une clé protégée en
écriture. Dans ce cas il n'est pas possible de neutraliser ou vacciner le
contenu. On pourra seulement provoquer un avertissement proposant
d'explorer le contenu de la clé avec ses fichiers systèmes et cachés
visibles.
Plus d'idée.
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Info:
www.libellules.ch/dotclear?2008/02/01/2406-la-config-securite-fevrier-2008
--------------------------------------------------------------------
*Bonjour Gilbert* !
On peut désinfecter systématiquement avant d'ouvrir une clé
http://forum.malekal.com/viewtopic.php?fE&tU44
Je pense à VaccinUSB.exe que tu as utilisé je crois.
Tu peux nous dire ton avis sur son utilisation ?
L'inconvénient me semble être qu'il écrase l'autorun.inf systématiquement.
Or ce dernier peut être légitime.
Ces solutions peuvent se heurter au problème d'une clé protégée en
écriture. Dans ce cas il n'est pas possible de neutraliser ou vacciner le
contenu. On pourra seulement provoquer un avertissement proposant
d'explorer le contenu de la clé avec ses fichiers systèmes et cachés
visibles.
Plus d'idée.
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Info:
www.libellules.ch/dotclear?2008/02/01/2406-la-config-securite-fevrier-2008
--------------------------------------------------------------------
*Bonjour Gilbert* !
On peut désinfecter systématiquement avant d'ouvrir une clé
http://forum.malekal.com/viewtopic.php?fE&tU44
Je pense à VaccinUSB.exe que tu as utilisé je crois.
Tu peux nous dire ton avis sur son utilisation ?
L'inconvénient me semble être qu'il écrase l'autorun.inf systématiquement.
Or ce dernier peut être légitime.
Ces solutions peuvent se heurter au problème d'une clé protégée en
écriture. Dans ce cas il n'est pas possible de neutraliser ou vacciner le
contenu. On pourra seulement provoquer un avertissement proposant
d'explorer le contenu de la clé avec ses fichiers systèmes et cachés
visibles.
Plus d'idée.
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Info:
www.libellules.ch/dotclear?2008/02/01/2406-la-config-securite-fevrier-2008
--------------------------------------------------------------------
"JF" a écrit dans le message de news:
%*Bonjour Gilbert* !
On peut désinfecter systématiquement avant d'ouvrir une clé
http://forum.malekal.com/viewtopic.php?fE&tU44
Je pense à VaccinUSB.exe que tu as utilisé je crois.
Tu peux nous dire ton avis sur son utilisation ?
L'inconvénient me semble être qu'il écrase l'autorun.inf systématiquement.
Or ce dernier peut être légitime.
Ces solutions peuvent se heurter au problème d'une clé protégée en
écriture. Dans ce cas il n'est pas possible de neutraliser ou vacciner le
contenu. On pourra seulement provoquer un avertissement proposant
d'explorer le contenu de la clé avec ses fichiers systèmes et cachés
visibles.
Plus d'idée.
-- Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Info:
www.libellules.ch/dotclear?2008/02/01/2406-la-config-securite-fevrier-2008
--------------------------------------------------------------------
Merci Jean-François pour tous ces conseils.
A la lecture de tous ces tests et remarques, pour rester très simple, voici
ce que j'ai décidé de faire :
- A la racine toutes mes clés USB, APN, lecteurs externes, etc,... j'ai
rajouté un fichier "moi.bmp" et "autorun.inf" que voici :
[AUTORUN]
ICON=moi.bmp
Le fichier moi.bmp est ma photo (50x50)
--> Ce qui se passe, dès que je vais sur le poste de travail, mes lecteurs
externes doivent normalement afficher ma photo comme icone, et je peux donc
faire un double clic sans danger
SI MA PHOTO NE S'AFFICHE PAS, c'est que l'autorun.inf a été modifié et qu'il
y a DANGER.
Pour éviter un écrasement éventuel de ces 2 fichiers, je les ai mis en
attribut "lecture seule" et "caché"
(cette photo s'affiche également en haut et à gauche, dès l'insertion du
lecteur USB dans la fenêttre de Windows qui vous demande, ce que vous désirez
faire)
.... et pour le fun, chaque membre de la famille a sa clé personnalisée avec
sa photos, sympa, non ?
- et pour ce que concerne les autres clés, (amis, boulôt), je serais d'une
extrème prudence.
La règle sera :
1: afficher les fichiers cachés et systèmes.
2: ouverture avec l'explorateurr UNIQUEMENT en faisant "WIN + E" et
affichage des dossiers du lecteur dans la colonne de gauche
3: bien vérifier qu'il n'existe pas sur ce lecteur de fichiers
"autorun.inf" et "toto.com"
Je ne sais pas ce que vous en pensez, mais ça reste simple et pas trop
contraignant et à la portée de tous ceux qui n'ont pas de grandes
connaissances en informatique comme moi.
Si vous avez des commentaires, ou des suggestions........................
Gilbert
"JF" <JF@-> a écrit dans le message de news:
%23dl6B8ooIHA.264@TK2MSFTNGP05.phx.gbl...
*Bonjour Gilbert* !
On peut désinfecter systématiquement avant d'ouvrir une clé
http://forum.malekal.com/viewtopic.php?fE&tU44
Je pense à VaccinUSB.exe que tu as utilisé je crois.
Tu peux nous dire ton avis sur son utilisation ?
L'inconvénient me semble être qu'il écrase l'autorun.inf systématiquement.
Or ce dernier peut être légitime.
Ces solutions peuvent se heurter au problème d'une clé protégée en
écriture. Dans ce cas il n'est pas possible de neutraliser ou vacciner le
contenu. On pourra seulement provoquer un avertissement proposant
d'explorer le contenu de la clé avec ses fichiers systèmes et cachés
visibles.
Plus d'idée.
-- Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Info:
www.libellules.ch/dotclear?2008/02/01/2406-la-config-securite-fevrier-2008
--------------------------------------------------------------------
Merci Jean-François pour tous ces conseils.
A la lecture de tous ces tests et remarques, pour rester très simple, voici
ce que j'ai décidé de faire :
- A la racine toutes mes clés USB, APN, lecteurs externes, etc,... j'ai
rajouté un fichier "moi.bmp" et "autorun.inf" que voici :
[AUTORUN]
ICON=moi.bmp
Le fichier moi.bmp est ma photo (50x50)
--> Ce qui se passe, dès que je vais sur le poste de travail, mes lecteurs
externes doivent normalement afficher ma photo comme icone, et je peux donc
faire un double clic sans danger
SI MA PHOTO NE S'AFFICHE PAS, c'est que l'autorun.inf a été modifié et qu'il
y a DANGER.
Pour éviter un écrasement éventuel de ces 2 fichiers, je les ai mis en
attribut "lecture seule" et "caché"
(cette photo s'affiche également en haut et à gauche, dès l'insertion du
lecteur USB dans la fenêttre de Windows qui vous demande, ce que vous désirez
faire)
.... et pour le fun, chaque membre de la famille a sa clé personnalisée avec
sa photos, sympa, non ?
- et pour ce que concerne les autres clés, (amis, boulôt), je serais d'une
extrème prudence.
La règle sera :
1: afficher les fichiers cachés et systèmes.
2: ouverture avec l'explorateurr UNIQUEMENT en faisant "WIN + E" et
affichage des dossiers du lecteur dans la colonne de gauche
3: bien vérifier qu'il n'existe pas sur ce lecteur de fichiers
"autorun.inf" et "toto.com"
Je ne sais pas ce que vous en pensez, mais ça reste simple et pas trop
contraignant et à la portée de tous ceux qui n'ont pas de grandes
connaissances en informatique comme moi.
Si vous avez des commentaires, ou des suggestions........................
Gilbert
"JF" a écrit dans le message de news:
%*Bonjour Gilbert* !
On peut désinfecter systématiquement avant d'ouvrir une clé
http://forum.malekal.com/viewtopic.php?fE&tU44
Je pense à VaccinUSB.exe que tu as utilisé je crois.
Tu peux nous dire ton avis sur son utilisation ?
L'inconvénient me semble être qu'il écrase l'autorun.inf systématiquement.
Or ce dernier peut être légitime.
Ces solutions peuvent se heurter au problème d'une clé protégée en
écriture. Dans ce cas il n'est pas possible de neutraliser ou vacciner le
contenu. On pourra seulement provoquer un avertissement proposant
d'explorer le contenu de la clé avec ses fichiers systèmes et cachés
visibles.
Plus d'idée.
-- Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Info:
www.libellules.ch/dotclear?2008/02/01/2406-la-config-securite-fevrier-2008
--------------------------------------------------------------------
Merci Jean-François pour tous ces conseils.
A la lecture de tous ces tests et remarques, pour rester très simple, voici
ce que j'ai décidé de faire :
- A la racine toutes mes clés USB, APN, lecteurs externes, etc,... j'ai
rajouté un fichier "moi.bmp" et "autorun.inf" que voici :
[AUTORUN]
ICON=moi.bmp
Le fichier moi.bmp est ma photo (50x50)
--> Ce qui se passe, dès que je vais sur le poste de travail, mes lecteurs
externes doivent normalement afficher ma photo comme icone, et je peux donc
faire un double clic sans danger
SI MA PHOTO NE S'AFFICHE PAS, c'est que l'autorun.inf a été modifié et qu'il
y a DANGER.
Pour éviter un écrasement éventuel de ces 2 fichiers, je les ai mis en
attribut "lecture seule" et "caché"
(cette photo s'affiche également en haut et à gauche, dès l'insertion du
lecteur USB dans la fenêttre de Windows qui vous demande, ce que vous désirez
faire)
.... et pour le fun, chaque membre de la famille a sa clé personnalisée avec
sa photos, sympa, non ?
- et pour ce que concerne les autres clés, (amis, boulôt), je serais d'une
extrème prudence.
La règle sera :
1: afficher les fichiers cachés et systèmes.
2: ouverture avec l'explorateurr UNIQUEMENT en faisant "WIN + E" et
affichage des dossiers du lecteur dans la colonne de gauche
3: bien vérifier qu'il n'existe pas sur ce lecteur de fichiers
"autorun.inf" et "toto.com"
Je ne sais pas ce que vous en pensez, mais ça reste simple et pas trop
contraignant et à la portée de tous ceux qui n'ont pas de grandes
connaissances en informatique comme moi.
Si vous avez des commentaires, ou des suggestions........................
Gilbert
Hello !
Il y a une autre protection :
Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les vecteurs d'infection www.libellules.ch/dangers_logiciels.php
---------------------------------------------------------
Hello !
Il y a une autre protection :
Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les vecteurs d'infection www.libellules.ch/dangers_logiciels.php
---------------------------------------------------------
Hello !
Il y a une autre protection :
Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les vecteurs d'infection www.libellules.ch/dangers_logiciels.php
---------------------------------------------------------
Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
---------------------------------------------------------
Merci
Très bien réalisé ton article
Gilbert
Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
---------------------------------------------------------
Merci
Très bien réalisé ton article
Gilbert
Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
---------------------------------------------------------
Merci
Très bien réalisé ton article
Gilbert
*Bonjour Gilbert* !
<news:Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
---------------------------------------------------------
Merci
Très bien réalisé ton article
Gilbert
Rien à corriger ? Bon. Merci de ton avis positif, ça fait plaisir.
J'ai encore besoin de ton expérience :
FURTIVITÉ
J'ai cru comprendre que le virus accompli son infection sans se soucier de
passer inaperçu. Je veux dire que son concepteur ne s'est pas soucié de
donner à la victime l'opération attendue, à savoir l'ouverture du lecteur.
C'est bien ce que tu as observé ?
Si c'est bien cela, on peut s'attendre à voir un jour apparaître une forme
corrigeant ce manque de furtivité.
AUTORUN++
Autre question : est-ce que l'un des fichiers installés par le parasite
sur le PC hôte faisait en sorte que le contenu de autorun.inf était
exécuté dans sa totalité (exécutable inclu, comme pour les CDROM) sans
intervention de l'utilisateur, contournant ainsi l'interdiction de XP ?
C'est une hypothèse de ma part. Ce serait logique de la part de l'auteur
d'inclure cette fonctionnalité. Je cherche actuellement si un utilitaire
de ce type existe, ce serait un début de démonstration.
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t46
-----------------------------------------------------------------
*Bonjour Gilbert* !
<news:ulPn1s2oIHA.5096@TK2MSFTNGP02.phx.gbl>
Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
---------------------------------------------------------
Merci
Très bien réalisé ton article
Gilbert
Rien à corriger ? Bon. Merci de ton avis positif, ça fait plaisir.
J'ai encore besoin de ton expérience :
FURTIVITÉ
J'ai cru comprendre que le virus accompli son infection sans se soucier de
passer inaperçu. Je veux dire que son concepteur ne s'est pas soucié de
donner à la victime l'opération attendue, à savoir l'ouverture du lecteur.
C'est bien ce que tu as observé ?
Si c'est bien cela, on peut s'attendre à voir un jour apparaître une forme
corrigeant ce manque de furtivité.
AUTORUN++
Autre question : est-ce que l'un des fichiers installés par le parasite
sur le PC hôte faisait en sorte que le contenu de autorun.inf était
exécuté dans sa totalité (exécutable inclu, comme pour les CDROM) sans
intervention de l'utilisateur, contournant ainsi l'interdiction de XP ?
C'est une hypothèse de ma part. Ce serait logique de la part de l'auteur
d'inclure cette fonctionnalité. Je cherche actuellement si un utilitaire
de ce type existe, ce serait un début de démonstration.
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t46
-----------------------------------------------------------------
*Bonjour Gilbert* !
<news:Ne pas travailler en tant qu'Administrateur !
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
---------------------------------------------------------
Merci
Très bien réalisé ton article
Gilbert
Rien à corriger ? Bon. Merci de ton avis positif, ça fait plaisir.
J'ai encore besoin de ton expérience :
FURTIVITÉ
J'ai cru comprendre que le virus accompli son infection sans se soucier de
passer inaperçu. Je veux dire que son concepteur ne s'est pas soucié de
donner à la victime l'opération attendue, à savoir l'ouverture du lecteur.
C'est bien ce que tu as observé ?
Si c'est bien cela, on peut s'attendre à voir un jour apparaître une forme
corrigeant ce manque de furtivité.
AUTORUN++
Autre question : est-ce que l'un des fichiers installés par le parasite
sur le PC hôte faisait en sorte que le contenu de autorun.inf était
exécuté dans sa totalité (exécutable inclu, comme pour les CDROM) sans
intervention de l'utilisateur, contournant ainsi l'interdiction de XP ?
C'est une hypothèse de ma part. Ce serait logique de la part de l'auteur
d'inclure cette fonctionnalité. Je cherche actuellement si un utilitaire
de ce type existe, ce serait un début de démonstration.
--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t46
-----------------------------------------------------------------
FURTIVITÉ
J'ai cru comprendre que le virus accompli son infection sans se soucier de
passer inaperçu. Je veux dire que son concepteur ne s'est pas soucié de
donner à la victime l'opération attendue, à savoir l'ouverture du lecteur.
C'est bien ce que tu as observé ?
Si c'est bien cela, on peut s'attendre à voir un jour apparaître une forme
corrigeant ce manque de furtivité.
AUTORUN++
Autre question : est-ce que l'un des fichiers installés par le parasite sur
le PC hôte faisait en sorte que le contenu de autorun.inf était exécuté
dans sa totalité (exécutable inclu, comme pour les CDROM) sans intervention
de l'utilisateur, contournant ainsi l'interdiction de XP ?
C'est une hypothèse de ma part. Ce serait logique de la part de l'auteur
d'inclure cette fonctionnalité. Je cherche actuellement si un utilitaire de
ce type existe, ce serait un début de démonstration.
-- Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t46
-----------------------------------------------------------------
Jean-François,
Pour répondre à ta première question.
Quand j'ai double cliqué sur l'icône du lecteur infecté, j'ai eu l'apparition
d'une fenêtre « AMVO.exe » avec un message d'erreur pour une instruction
avec une adresse. Je n'ai pas noté cette adresse.
Je ne crois pas que la fenêtre du lecteur se soit ouverte. J'ai dû cliquer
une nouvelle fois, et là, plus de message d'erreur et fonctionnement
apparemment normal.
Pour ta seconde question, je ne la comprends pas trop. Tout ce que je peux te
dire, c'est un message d'erreur au moment de l'infection. Sur la clé, il y a
seulement 2 fichiers cachés : l'autorun + un fichier .com
Moi j'ai également une question à la suite de la lecture de ton article :
A la fin de cet article, tu conseilles de désactiver l'Autoplay (par le
registre ou par Tweak UI).
Personnellement, je ne vois pas ce que cela peut apporter pour la sécurité,
car tu dis qu'il faut toujours ouvrir l'explorateur par WIN +E et ne jamais
cliquer dans le panel de droite.
Pour moi l'Autoplay n'est pas dangereux et peut même s'avérer utile, car à
partir de sa fenêtre, on peut choisir « Ouvrir le dossier pour afficher les
fichiers »
De plus si l'on a créé un autorun.inf avec photo, l'icône de celle-ci
apparait en haut à gauche de cette fenêtre, ce qui est rassurant.
Tu pourrais aussi suggérer l'astuce proposé par Gilles Ronsin, la plus simple
pour vacciner une clé USB : simplement créer un dossier (pas un fichier) à la
racine du lecteur et le nommé « autorun.inf »
Il sera alors impossible pour Windows, d'accepter la création d'un fichier «
autorun.inf », donc protection de ce lecteur.
FURTIVITÉ
J'ai cru comprendre que le virus accompli son infection sans se soucier de
passer inaperçu. Je veux dire que son concepteur ne s'est pas soucié de
donner à la victime l'opération attendue, à savoir l'ouverture du lecteur.
C'est bien ce que tu as observé ?
Si c'est bien cela, on peut s'attendre à voir un jour apparaître une forme
corrigeant ce manque de furtivité.
AUTORUN++
Autre question : est-ce que l'un des fichiers installés par le parasite sur
le PC hôte faisait en sorte que le contenu de autorun.inf était exécuté
dans sa totalité (exécutable inclu, comme pour les CDROM) sans intervention
de l'utilisateur, contournant ainsi l'interdiction de XP ?
C'est une hypothèse de ma part. Ce serait logique de la part de l'auteur
d'inclure cette fonctionnalité. Je cherche actuellement si un utilitaire de
ce type existe, ce serait un début de démonstration.
-- Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t46
-----------------------------------------------------------------
Jean-François,
Pour répondre à ta première question.
Quand j'ai double cliqué sur l'icône du lecteur infecté, j'ai eu l'apparition
d'une fenêtre « AMVO.exe » avec un message d'erreur pour une instruction
avec une adresse. Je n'ai pas noté cette adresse.
Je ne crois pas que la fenêtre du lecteur se soit ouverte. J'ai dû cliquer
une nouvelle fois, et là, plus de message d'erreur et fonctionnement
apparemment normal.
Pour ta seconde question, je ne la comprends pas trop. Tout ce que je peux te
dire, c'est un message d'erreur au moment de l'infection. Sur la clé, il y a
seulement 2 fichiers cachés : l'autorun + un fichier .com
Moi j'ai également une question à la suite de la lecture de ton article :
A la fin de cet article, tu conseilles de désactiver l'Autoplay (par le
registre ou par Tweak UI).
Personnellement, je ne vois pas ce que cela peut apporter pour la sécurité,
car tu dis qu'il faut toujours ouvrir l'explorateur par WIN +E et ne jamais
cliquer dans le panel de droite.
Pour moi l'Autoplay n'est pas dangereux et peut même s'avérer utile, car à
partir de sa fenêtre, on peut choisir « Ouvrir le dossier pour afficher les
fichiers »
De plus si l'on a créé un autorun.inf avec photo, l'icône de celle-ci
apparait en haut à gauche de cette fenêtre, ce qui est rassurant.
Tu pourrais aussi suggérer l'astuce proposé par Gilles Ronsin, la plus simple
pour vacciner une clé USB : simplement créer un dossier (pas un fichier) à la
racine du lecteur et le nommé « autorun.inf »
Il sera alors impossible pour Windows, d'accepter la création d'un fichier «
autorun.inf », donc protection de ce lecteur.
FURTIVITÉ
J'ai cru comprendre que le virus accompli son infection sans se soucier de
passer inaperçu. Je veux dire que son concepteur ne s'est pas soucié de
donner à la victime l'opération attendue, à savoir l'ouverture du lecteur.
C'est bien ce que tu as observé ?
Si c'est bien cela, on peut s'attendre à voir un jour apparaître une forme
corrigeant ce manque de furtivité.
AUTORUN++
Autre question : est-ce que l'un des fichiers installés par le parasite sur
le PC hôte faisait en sorte que le contenu de autorun.inf était exécuté
dans sa totalité (exécutable inclu, comme pour les CDROM) sans intervention
de l'utilisateur, contournant ainsi l'interdiction de XP ?
C'est une hypothèse de ma part. Ce serait logique de la part de l'auteur
d'inclure cette fonctionnalité. Je cherche actuellement si un utilitaire de
ce type existe, ce serait un début de démonstration.
-- Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t46
-----------------------------------------------------------------
Jean-François,
Pour répondre à ta première question.
Quand j'ai double cliqué sur l'icône du lecteur infecté, j'ai eu l'apparition
d'une fenêtre « AMVO.exe » avec un message d'erreur pour une instruction
avec une adresse. Je n'ai pas noté cette adresse.
Je ne crois pas que la fenêtre du lecteur se soit ouverte. J'ai dû cliquer
une nouvelle fois, et là, plus de message d'erreur et fonctionnement
apparemment normal.
Pour ta seconde question, je ne la comprends pas trop. Tout ce que je peux te
dire, c'est un message d'erreur au moment de l'infection. Sur la clé, il y a
seulement 2 fichiers cachés : l'autorun + un fichier .com
Moi j'ai également une question à la suite de la lecture de ton article :
A la fin de cet article, tu conseilles de désactiver l'Autoplay (par le
registre ou par Tweak UI).
Personnellement, je ne vois pas ce que cela peut apporter pour la sécurité,
car tu dis qu'il faut toujours ouvrir l'explorateur par WIN +E et ne jamais
cliquer dans le panel de droite.
Pour moi l'Autoplay n'est pas dangereux et peut même s'avérer utile, car à
partir de sa fenêtre, on peut choisir « Ouvrir le dossier pour afficher les
fichiers »
De plus si l'on a créé un autorun.inf avec photo, l'icône de celle-ci
apparait en haut à gauche de cette fenêtre, ce qui est rassurant.
Tu pourrais aussi suggérer l'astuce proposé par Gilles Ronsin, la plus simple
pour vacciner une clé USB : simplement créer un dossier (pas un fichier) à la
racine du lecteur et le nommé « autorun.inf »
Il sera alors impossible pour Windows, d'accepter la création d'un fichier «
autorun.inf », donc protection de ce lecteur.
J'ai proposé cette solution, en même temps que l'idée de l'icône.
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm#comment-se-proteger
"Créer un Autorun.inf et le protéger contre l'écriture ....."
---------------------------------------------------------
Il y a une différence fondamentale entre un fichier et un dossier. Dans un
répertoire, il n'y a qu'un indicateur (attribut) qui différentie le fait
que le nom est attribué à un fichier ou un dossier. En fait c'est juste un
bit du champs attribut. Du point de vu du système, les commandes de
manipulations de fichier (creer, supprimer (DEL ou ERASE), renommer(REN))
sont différentes de commandes de manipulations de dossier (MkDir, RmDir,
Move) alors que physiquement elles traitent les mêmes objets (une entrée
dans la liste du répertoire).
Donc si dans un dossier racine je créé un DOSSIER qui s'appelle
autorun.inf (dans une console MD autorun.inf ou sous windows (clic droit,
nouveau, dossier), il sera impossible en utilisant les commandes fichier
de l'OS de modifier ou créér un FICHIER qui s'appelle autorun.inf puisque
le nom est déjà occupé par un dossier.
L'attribut de lecture seule, se désactive en une toute petite instruction
qui est systématiquement appliquée par les vers, donc ça ne sert à rien
pour s'en protéger. Son seul interêt, n'est que pour l'utilisateur qui
veut être averti s'il fait une fausse manip.
J'ai proposé cette solution, en même temps que l'idée de l'icône.
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm#comment-se-proteger
"Créer un Autorun.inf et le protéger contre l'écriture ....."
---------------------------------------------------------
Il y a une différence fondamentale entre un fichier et un dossier. Dans un
répertoire, il n'y a qu'un indicateur (attribut) qui différentie le fait
que le nom est attribué à un fichier ou un dossier. En fait c'est juste un
bit du champs attribut. Du point de vu du système, les commandes de
manipulations de fichier (creer, supprimer (DEL ou ERASE), renommer(REN))
sont différentes de commandes de manipulations de dossier (MkDir, RmDir,
Move) alors que physiquement elles traitent les mêmes objets (une entrée
dans la liste du répertoire).
Donc si dans un dossier racine je créé un DOSSIER qui s'appelle
autorun.inf (dans une console MD autorun.inf ou sous windows (clic droit,
nouveau, dossier), il sera impossible en utilisant les commandes fichier
de l'OS de modifier ou créér un FICHIER qui s'appelle autorun.inf puisque
le nom est déjà occupé par un dossier.
L'attribut de lecture seule, se désactive en une toute petite instruction
qui est systématiquement appliquée par les vers, donc ça ne sert à rien
pour s'en protéger. Son seul interêt, n'est que pour l'utilisateur qui
veut être averti s'il fait une fausse manip.
J'ai proposé cette solution, en même temps que l'idée de l'icône.
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm#comment-se-proteger
"Créer un Autorun.inf et le protéger contre l'écriture ....."
---------------------------------------------------------
Il y a une différence fondamentale entre un fichier et un dossier. Dans un
répertoire, il n'y a qu'un indicateur (attribut) qui différentie le fait
que le nom est attribué à un fichier ou un dossier. En fait c'est juste un
bit du champs attribut. Du point de vu du système, les commandes de
manipulations de fichier (creer, supprimer (DEL ou ERASE), renommer(REN))
sont différentes de commandes de manipulations de dossier (MkDir, RmDir,
Move) alors que physiquement elles traitent les mêmes objets (une entrée
dans la liste du répertoire).
Donc si dans un dossier racine je créé un DOSSIER qui s'appelle
autorun.inf (dans une console MD autorun.inf ou sous windows (clic droit,
nouveau, dossier), il sera impossible en utilisant les commandes fichier
de l'OS de modifier ou créér un FICHIER qui s'appelle autorun.inf puisque
le nom est déjà occupé par un dossier.
L'attribut de lecture seule, se désactive en une toute petite instruction
qui est systématiquement appliquée par les vers, donc ça ne sert à rien
pour s'en protéger. Son seul interêt, n'est que pour l'utilisateur qui
veut être averti s'il fait une fausse manip.
"JF" a écrit dans le message de news:
uu3t%
J'ai proposé cette solution, en même temps que l'idée de l'icône.
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm#comment-se-proteger
"Créer un Autorun.inf et le protéger contre l'écriture ....."
---------------------------------------------------------
Salut Jean-François
Ce que que je voulais te préciser, c'est que créer un Autorun.inf et le
protéger contre l'écriture, n'est apparament pas suffisant. Ce n'est pas un
fichier qu'il faut créer mais un Dossier portant le nom autorun.inf
En voici la raison que m'a expliqué Gilles Ronsin :Il y a une différence fondamentale entre un fichier et un dossier. Dans un
répertoire, il n'y a qu'un indicateur (attribut) qui différentie le fait
que le nom est attribué à un fichier ou un dossier. En fait c'est juste un
bit du champs attribut. Du point de vu du système, les commandes de
manipulations de fichier (creer, supprimer (DEL ou ERASE), renommer(REN))
sont différentes de commandes de manipulations de dossier (MkDir, RmDir,
Move) alors que physiquement elles traitent les mêmes objets (une entrée
dans la liste du répertoire).
Donc si dans un dossier racine je créé un DOSSIER qui s'appelle autorun.inf
(dans une console MD autorun.inf ou sous windows (clic droit, nouveau,
dossier), il sera impossible en utilisant les commandes fichier de l'OS de
modifier ou créér un FICHIER qui s'appelle autorun.inf puisque le nom est
déjà occupé par un dossier.
L'attribut de lecture seule, se désactive en une toute petite instruction
qui est systématiquement appliquée par les vers, donc ça ne sert à rien
pour s'en protéger. Son seul interêt, n'est que pour l'utilisateur qui veut
être averti s'il fait une fausse manip.
J'ai testé, et ça marche, s'il y un dossier autorun.inf, impossible de copier
à coté un fichier autorun.inf
Je trouve que cela est vraiment bien sécurisant.
De plus j'ai rajouté au dossier l'attribution "Caché", pas pour plus de
sécurité, mais tous simplement pour ne pas risquer de l'effacer par mégarde.
D'ailleurs si toutes les clés USB du marché avait ce petit dossier
protecteur par défaut, ce genre de virus aurait du mal à se répendre.
Voilà.................C'est vrai que c'est très calme ici.
Bonne soirée et encore merci.
Gilbert
"JF" <JF@-> a écrit dans le message de news:
uu3t%2378oIHA.4760@TK2MSFTNGP06.phx.gbl...
J'ai proposé cette solution, en même temps que l'idée de l'icône.
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm#comment-se-proteger
"Créer un Autorun.inf et le protéger contre l'écriture ....."
---------------------------------------------------------
Salut Jean-François
Ce que que je voulais te préciser, c'est que créer un Autorun.inf et le
protéger contre l'écriture, n'est apparament pas suffisant. Ce n'est pas un
fichier qu'il faut créer mais un Dossier portant le nom autorun.inf
En voici la raison que m'a expliqué Gilles Ronsin :
Il y a une différence fondamentale entre un fichier et un dossier. Dans un
répertoire, il n'y a qu'un indicateur (attribut) qui différentie le fait
que le nom est attribué à un fichier ou un dossier. En fait c'est juste un
bit du champs attribut. Du point de vu du système, les commandes de
manipulations de fichier (creer, supprimer (DEL ou ERASE), renommer(REN))
sont différentes de commandes de manipulations de dossier (MkDir, RmDir,
Move) alors que physiquement elles traitent les mêmes objets (une entrée
dans la liste du répertoire).
Donc si dans un dossier racine je créé un DOSSIER qui s'appelle autorun.inf
(dans une console MD autorun.inf ou sous windows (clic droit, nouveau,
dossier), il sera impossible en utilisant les commandes fichier de l'OS de
modifier ou créér un FICHIER qui s'appelle autorun.inf puisque le nom est
déjà occupé par un dossier.
L'attribut de lecture seule, se désactive en une toute petite instruction
qui est systématiquement appliquée par les vers, donc ça ne sert à rien
pour s'en protéger. Son seul interêt, n'est que pour l'utilisateur qui veut
être averti s'il fait une fausse manip.
J'ai testé, et ça marche, s'il y un dossier autorun.inf, impossible de copier
à coté un fichier autorun.inf
Je trouve que cela est vraiment bien sécurisant.
De plus j'ai rajouté au dossier l'attribution "Caché", pas pour plus de
sécurité, mais tous simplement pour ne pas risquer de l'effacer par mégarde.
D'ailleurs si toutes les clés USB du marché avait ce petit dossier
protecteur par défaut, ce genre de virus aurait du mal à se répendre.
Voilà.................C'est vrai que c'est très calme ici.
Bonne soirée et encore merci.
Gilbert
"JF" a écrit dans le message de news:
uu3t%
J'ai proposé cette solution, en même temps que l'idée de l'icône.
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm#comment-se-proteger
"Créer un Autorun.inf et le protéger contre l'écriture ....."
---------------------------------------------------------
Salut Jean-François
Ce que que je voulais te préciser, c'est que créer un Autorun.inf et le
protéger contre l'écriture, n'est apparament pas suffisant. Ce n'est pas un
fichier qu'il faut créer mais un Dossier portant le nom autorun.inf
En voici la raison que m'a expliqué Gilles Ronsin :Il y a une différence fondamentale entre un fichier et un dossier. Dans un
répertoire, il n'y a qu'un indicateur (attribut) qui différentie le fait
que le nom est attribué à un fichier ou un dossier. En fait c'est juste un
bit du champs attribut. Du point de vu du système, les commandes de
manipulations de fichier (creer, supprimer (DEL ou ERASE), renommer(REN))
sont différentes de commandes de manipulations de dossier (MkDir, RmDir,
Move) alors que physiquement elles traitent les mêmes objets (une entrée
dans la liste du répertoire).
Donc si dans un dossier racine je créé un DOSSIER qui s'appelle autorun.inf
(dans une console MD autorun.inf ou sous windows (clic droit, nouveau,
dossier), il sera impossible en utilisant les commandes fichier de l'OS de
modifier ou créér un FICHIER qui s'appelle autorun.inf puisque le nom est
déjà occupé par un dossier.
L'attribut de lecture seule, se désactive en une toute petite instruction
qui est systématiquement appliquée par les vers, donc ça ne sert à rien
pour s'en protéger. Son seul interêt, n'est que pour l'utilisateur qui veut
être averti s'il fait une fausse manip.
J'ai testé, et ça marche, s'il y un dossier autorun.inf, impossible de copier
à coté un fichier autorun.inf
Je trouve que cela est vraiment bien sécurisant.
De plus j'ai rajouté au dossier l'attribution "Caché", pas pour plus de
sécurité, mais tous simplement pour ne pas risquer de l'effacer par mégarde.
D'ailleurs si toutes les clés USB du marché avait ce petit dossier
protecteur par défaut, ce genre de virus aurait du mal à se répendre.
Voilà.................C'est vrai que c'est très calme ici.
Bonne soirée et encore merci.
Gilbert