se débarrasser d'un autorun.inf sur une clef

In article <1jw2g10.14cdii11w8s8wzN%gquerat@luminybidon.univ-mrs.fr>,
gquerat@luminybidon.univ-mrs.fr (Gilles Querat) wrote:

J'ai ramassé ce que je suspecte être un virus sur ma clef en la mettant
sur un PC. J'ai un fichier autorun.inf et un xxx.vmx dans un dossier.

Oui. En général c'est la fabrication d'un autorun.inf qui ouvre quelque
chose de plus dangereux quand on double clique sur l'icone du volume
sous Windows.

Tout deux sont vérouillés et en lecture seule et je n'arrive pas à
chopper des droits plus étendus avec chmod.

???
!!!

Ta clef USB ne doit pas être formaté en HFS+, donc à priori chmod ne
pourra rien et en général les privilèges sont désactivés par défaut sur
les volumes démontables. Je suppose qu'elle est formatée en FAT32.

J'ai sorti le terminal et sudo et je l'ai viré, mais compte tenu de ma
dislexie de frappe (!) et de mes pauvres habitudes en cli c'est assez
long...

??

Comment faire pour s'en débarrasser simplement (à part le re-formatage
de la clef..) ?

Que dit "Lire les informations..." du dit fichier sur Mac OS X.

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France

Jacques Perrocheau <Jacques.Perrocheau@univ-rennes1.fr> wrote:

Ta clef USB ne doit pas être formaté en HFS+, donc à priori chmod ne
pourra rien et en général les privilèges sont désactivés par défaut sur
les volumes démontables. Je suppose qu'elle est formatée en FAT32.

Damned, oui elle est en FAT pour pouvoir se balader entre les divers PC
qui pilotent des machines et mon Mac. Donc je comprends pourquoi chmod
est sans effet.

> J'ai sorti le terminal et sudo et je l'ai viré, mais compte tenu de ma
> dislexie de frappe (!) et de mes pauvres habitudes en cli c'est assez
> long...

??

> Comment faire pour s'en débarrasser simplement (à part le re-formatage
> de la clef..) ?

Que dit "Lire les informations..." du dit fichier sur Mac OS X.

Ben, l'autorun et l'autre fichier enfouit dans 2 dossiers imbriqués
sont marqués "verouillés" et en "lecture seule" comme marqués plus haut.
Pour le reste je ne sais pas et comme on a nettoyé le PC, je ne saurais
peut être plus.

Notre problème (vis à vis des virus et autres vers) c'est qu'il y a 2
types de PC dans le labo
1) les PC des étudiants/chercheurs: Ils sont connectés à internet et
protégés par des antivirus du MESR et par un routage et ouverture de
ports extrémement restreints et surveillés.
2) Les PCs qui pilotent des appareillages scientifiques, en gros 1 par
machine et ça represente une dizaine de PCs qui ne sont pas sur le
réseau, qui n'ont quasiment aucun logiciels installés à part celui qui
pilote l'appareil et qui, pour notre malheur, sont aussi utilisés par le
personnel technique hospitalier qui vient y brancher des clefs USB perso
pour récupérer les résultats. Bonjour les virus et autres e**erdes !
Heureusement qu'ils sont visibles comme le nez au milieu de la figure
sous Mac OS X !

La soluce du labo: un pote admin Windows et Linux a créé une clef USB
avec un petit noyau linux (http://www.linuxliveusb.com/) et Avira: On
boote les PCs dessus et hop !


--
Gilles Querat
Luminy Les Calanques

In article <1jw41nm.a75rin1xzhcjgN%gquerat@luminybidon.univ-mrs.fr>,
gquerat@luminybidon.univ-mrs.fr (Gilles Querat) wrote:

> > Comment faire pour s'en débarrasser simplement (à part le re-formatage
> > de la clef..) ?
>
> Que dit "Lire les informations..." du dit fichier sur Mac OS X.

Ben, l'autorun et l'autre fichier enfouit dans 2 dossiers imbriqués
sont marqués "verouillés" et en "lecture seule" comme marqués plus haut.

Humm! s'il sont enfouis dans un dossier à la racine c'est qu'il s'agit
sans doute de l'autorun original (en général inutile) de cette clef USB
et des ses fichiers associés que le "virus" a déplacé avant de mettre
son autorun à la place. Un autorun.inf n'est actif qu'à la racine d'un
volume.

Pour le reste je ne sais pas et comme on a nettoyé le PC, je ne saurais
peut être plus.

Mac OS X ne peut les déverrouiller ?

Si c'est le cas, il faudra faire la manip sous Windows.

Notre problème (vis à vis des virus et autres vers) c'est qu'il y a 2
types de PC dans le labo:
1) les PC des étudiants/chercheurs: Ils sont connectés à internet et
protégés par des antivirus du MESR et par un routage et ouverture de
ports extrémement restreints et surveillés.

2) Les PCs qui pilotent des appareillages scientifiques, en gros 1 par
machine et ça represente une dizaine de PCs qui ne sont pas sur le
réseau, qui n'ont quasiment aucun logiciels installés à part celui qui
pilote l'appareil et qui, pour notre malheur, sont aussi utilisés par le
personnel technique hospitalier qui vient y brancher des clefs USB perso
pour récupérer les résultats. Bonjour les virus et autres e**erdes !
Heureusement qu'ils sont visibles comme le nez au milieu de la figure
sous Mac OS X !

Eh! oui.. ;-(

Par défaut sur Mac OS X pour les volumes FAT et NTFS, on voit tous les
fichiers labelisés "cachés et system" sous Windows.

Ici on préfère mettre aussi ce genre de machines sur le réseau pour
qu'elles soient maintenues à jour (système et anti-virus).

La soluce du labo: un pote admin Windows et Linux a créé une clef USB
avec un petit noyau linux (http://www.linuxliveusb.com/) et Avira: On
boote les PCs dessus et hop !

Si j'avais à faire ceci j'y passerais tout mon temps.

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France

Gilles Querat <gquerat@luminybidon.univ-mrs.fr> wrote:

Comment faire pour s'en débarrasser simplement (à part le re-formatage
de la clef..) ?

rm ne fonctionne pas ?

--
[SbM]
<http://sebastienmarty.free.fr> - <http://tradintosh.free.fr>
<http://sbm.ordinotheque.free.fr> - <http://palmiciel.free.fr>
"If the French were really intelligent, they'd speak English" (W. Sheed)

Le 02/02/11 15:02, Gilles Querat a écrit :

Comment faire pour s'en débarrasser simplement (à part le re-format age
de la clef..) ?

Y'a pas moyen de les déverrouiller en utilisant les infos de fichiers?
Sous Mac OS X 10.6.6, j'ai remarqué qu'il fallait modifier les droits e n
lecture/écriture (au lieu de lecture seule), en se servant du mot de
passe admin, pour modifier l'icône de iTunes, par exemple. C'est p'tê t
aussi le cas pour ce fichier?

--
/)
-:oo= Guillaume
)
Je nettoyais mon clavier, et le coup est parti tout seul.

Jacques Perrocheau <Jacques.Perrocheau@univ-rennes1.fr> wrote:

> Ben, l'autorun et l'autre fichier enfouit dans 2 dossiers imbriqués
> sont marqués "verouillés" et en "lecture seule" comme marqués plus haut.

Humm! s'il sont enfouis dans un dossier à la racine c'est qu'il s'agit
sans doute de l'autorun original (en général inutile) de cette clef USB
et des ses fichiers associés que le "virus" a déplacé avant de mettre
son autorun à la place. Un autorun.inf n'est actif qu'à la racine d'un
volume.

L'autorun.inf est bien à la racine; le deuxieme fichier est lui enfoui
dans 2 dossiers, RECYCLER, puis un dossier avec un nom très long avec
des chiffres et enfin le fichier (extension .vmx, je crois mais pas sûr
à 100% !). Je pense qu'il s'agissait de Win32:Rootkit-gen [Rtk] ,
<http://forum.hardware.fr/hfr/WindowsSoftware/Virus-Spywares/virus-autor
un-recycler-sujet_310038_1.htm>

Mac OS X ne peut les déverrouiller ?

Non, impossible, probablement parce qu'ils sont interdits en
ecriture/execution; les anciennes générations de virus que je découvrais
étaient facilement déverouillables (donc mises à la trash et vidange
faciles) mais les récents sont plus difficiles à virer ! Heureusement
qu'ils restent accessibles en terminal sous sudo !

Ici on préfère mettre aussi ce genre de machines sur le réseau pour
qu'elles soient maintenues à jour (système et anti-virus).

Quand le labo sera finit d'installer, ce sera peut être le cas, mais je
doute un peu que le patron accepte de cabler avec suffisement de prises
RJ45 toutes les pieces scientifiques, y compris les labo de culture P2
et P3 pour les virus (les vrais, bien vivants qui rendent très malades
!). Sans compter que certains PCs qui abritent les banques de données de
souches virales sont eux carrément interdits de LAN.


--
Gilles Querat
Luminy Les Calanques

In article <1jw45ci.yw98nx1srv55jN%gquerat@luminybidon.univ-mrs.fr>,
gquerat@luminybidon.univ-mrs.fr (Gilles Querat) wrote:

Jacques Perrocheau <Jacques.Perrocheau@univ-rennes1.fr> wrote:


> > Ben, l'autorun et l'autre fichier enfouit dans 2 dossiers imbriqués
> > sont marqués "verouillés" et en "lecture seule" comme marqués plus haut.
>
> Humm! s'il sont enfouis dans un dossier à la racine c'est qu'il s'agit
> sans doute de l'autorun original (en général inutile) de cette clef USB
> et des ses fichiers associés que le "virus" a déplacé avant de mettre
> son autorun à la place. Un autorun.inf n'est actif qu'à la racine d'un
> volume.

L'autorun.inf est bien à la racine;

OK

le deuxieme fichier est lui enfoui dans 2 dossiers, RECYCLER, puis un
dossier avec un nom très long avec des chiffres et enfin le fichier
(extension .vmx, je crois mais pas sûr à 100% !).

Si le "reste" est dans un dossier "RECYCLER" cela veut dire qu'il a ou
qu'ils ont été mis à la poubelle sous Windows sans que celle-ci ait été
vidée. "RECYCLER" est un dossier "system" au nom obligé qui existe sur
tout volume et qui sert à gérer la ou les poubelles des sessions qui
apparaissent avec comme nom le SUID de la session, le truc en S-5-xxxxx.

Je pense qu'il s'agissait de Win32:Rootkit-gen [Rtk] ,
<http://forum.hardware.fr/hfr/WindowsSoftware/Virus-Spywares/virus-aut
or un-recycler-sujet_310038_1.htm>

Ouep, difficile à suivre depuis qu'il n'existe plus de consensus sur la
nomenclature des virus..

> Mac OS X ne peut les déverrouiller ?

Non, impossible, probablement parce qu'ils sont interdits en
ecriture/execution; les anciennes générations de virus que je découvrais
étaient facilement déverouillables (donc mises à la trash et vidange
faciles) mais les récents sont plus difficiles à virer ! Heureusement
qu'ils restent accessibles en terminal sous sudo !

Il faudra faire le nettoyage à la main sous un Windows parfaitement
débarrassé du dit virus en demandant l'affichage des "fichiers system"
(réglage dans le panneau de configuration "Dossiers").

> Ici on préfère mettre aussi ce genre de machines sur le réseau pour
> qu'elles soient maintenues à jour (système et anti-virus).

Quand le labo sera finit d'installer, ce sera peut être le cas, mais je
doute un peu que le patron accepte de cabler avec suffisement de prises
RJ45 toutes les pieces scientifiques,

Pour minimiser le coût, faire un compromis avec le minimum de prises
Ethernet au mur et utiliser des switch à 20-30 euros.

y compris les labo de culture P2 et P3 pour les virus (les vrais,
bien vivants qui rendent très malades !).

Ceux là devraient être configurés pour interdire l'usage des clef USB.

A priori en jouant sur les ACL des pilotes USB dans la base de registre
on devrait pouvoir faire cela sélectivement en fonction du type de
session, un peu comme on peut le faire pour les services d'impression,
mais là c'est plus facile on peut le faire en GUI un onglet "sécurité"
existe sur les fenêtres des services d'impression. Une manip analogue
pouvait se faire sur les pilotes de gravage CD de certains logiciels de
gravage (feu NERO).

Sans compter que certains PCs qui abritent les banques de données de
souches virales sont eux carrément interdits de LAN.

Sécurité et Windows ne vont pas bien ensemble. Cela dit ne pas les
connecter ne vous garantit pas contre le vol de données, par la clef USB
d'un visiteur au dessus de tout soupçon, qui contient ce qu'il faut pour
faire la manip, d'autant plus au dessus de tout soupçon qu'il ne sait
pas comment on peut faire. ;-)

Je constate statistiquement, que les machines les plus infectées sont
celles des "rang A" et des étudiants. ;-)

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France

SbM <sebastienmarty@yahoo.fr> wrote:

Gilles Querat <gquerat@luminybidon.univ-mrs.fr> wrote:

> Comment faire pour s'en débarrasser simplement (à part le re-formatage
> de la clef..) ?

rm ne fonctionne pas ?

si sous sudo, ça peut le faire mais la ligne de commande n'est pas ma
tasse de thè !

--
Gilles Querat
Luminy Les Calanques

Le Moustique <moustique@groumpf.org> wrote:

Le 02/02/11 15:02, Gilles Querat a écrit :
> Comment faire pour s'en débarrasser simplement (à part le re-formatage
> de la clef..) ?

Y'a pas moyen de les déverrouiller en utilisant les infos de fichiers?
Sous Mac OS X 10.6.6, j'ai remarqué qu'il fallait modifier les droits en
lecture/écriture (au lieu de lecture seule), en se servant du mot de
passe admin, pour modifier l'icône de iTunes, par exemple. C'est p'têt
aussi le cas pour ce fichier?

Non on ne peut rien faire via la fenêtre "lire les infos", ni
déverouiller ni modifier les droits pour rajouter lecture/écriture.
Batchmod lui se vautre carrément avec un log que je ne citerai pas (sauf
si c'est nécessaire). D'après Jacques cela viendrait du fait qu'ils sont
sur un FS FAT permettant les échanges Win-Mac.
--
Gilles Querat
Luminy Les Calanques

Gilles Querat <gquerat@luminybidon.univ-mrs.fr> wrote:

SbM <sebastienmarty@yahoo.fr> wrote:

> Gilles Querat <gquerat@luminybidon.univ-mrs.fr> wrote:
>
> > Comment faire pour s'en débarrasser simplement (à part le re-formatage
> > de la clef..) ?
>
> rm ne fonctionne pas ?

si sous sudo, ça peut le faire mais la ligne de commande n'est pas ma
tasse de thè !

Bah si tu veux vraiment pas faire l'effort : formatage (je ne vois pas
quel problème ça pose, d'ailleurs).

--
[SbM]
<http://sebastienmarty.free.fr> - <http://tradintosh.free.fr>
<http://sbm.ordinotheque.free.fr> - <http://palmiciel.free.fr>
"If the French were really intelligent, they'd speak English" (W. Sheed)