Mai 29
De plus en plus, les lieux publics ( cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !

Ce sont donc des infections qui se propagent par supports amovibles : clefs USB (cas le plus fréquent), disque dur externe, carte flash, Ipod, lecteur MP3, appareil photo, etc...
Tout disque amovible inséré dans un ordinateur infecté sera infecté à son tour si l'infection est active. Autrement dit, l'infection se fera automatiquement par simple connexion si l'exécution automatique est activée pour les lecteurs amovibles.

Le simple fait d'ouvrir le poste de travail et de double-cliquer sur la clef usb/disque dur externe (ré)infectera le système d'exploitation ! La clé infectera à son tour un PC sain. Et ainsi de suite ...

Il suffit de choisir Explorer pour ne pas activer l'infection sur un PC sain !

1°) Symptômes

Le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.
Si vous rendez visible les fichiers et dossiers cachés, vous vous rendrez compte que la clé contiendra plusieurs fichiers et processus inconnus et donc infectés, ne surtout pas double cliquer dessus pour les ouvrir car ils rendront actifs l'infection, si ce n'est pas déjà fait !
L'élément clé pour que l'infection se propage automatiquement de clé en pc et de pc en clé est l'activation de fichier, l'autorun.inf, en faisant un double clic pour accéder aux fichiers d'une clé !


2°) Méthode de désinfection

Avant de passer l'un de ces outils, assurez vous d'avoir fermé tous les programmes en cours d'exécution et connecté au pc tous les périphériques externes qui auraient pu être contaminés (disques dur, clé USB, Ipod...), répétez l'opération de désinfection s'il y a plusieurs disques amovibles susceptibles d'avoir été infectés.

Télécharger Flash_Disinfector (de sUBs) sur le bureau :
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double cliquer sur Flash_Disinfector.exe pour le lancer.
Si la clé n'est pas introduite, il sera demandé de la connecter.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaîtra :
connecter les clé USB et/ou périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquer sur Ok
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: "Done!!"
Appuyer ensuite sur "Ok", pour faire réapparaître le bureau.

Télécharger RavAntivirus (d'Evosla) :
http://www.evosla.com/compteur.php?soft=rav_antivirus

Brancher les disques amovibles sans les ouvrir avant de lancer le Fix
Décompresser l'archive sur le bureau
Double-cliquer sur RAV.exe pour lancer l'outil
Une fois RAV ANTIVIRUS lancé, il scannera automatiquement tous les lecteurs susceptibles d'être infectés
S'il y a infection un rapport s'établira, sinon le logiciel affichera le message : « Votre Ordinateur est sain »
Retirer les disques amovibles et redémarrer l'ordinateur.



Voici deux autres outils que vous pouvez utiliser pour compléter la désinfection :

L'outil Symantec : http://securityresponse.symantec.com/avcenter/FxRajump.exe
Sur le bureau, double cliquer sur le fichier FxRajump.exe
Puis cliquer sur Start pour lancer le nettoyage.
En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
Le fichier FxRajump.log sera crée sur le bureau, avec le listing des suppressions de fichiers/clés registre.

L'outil Mcafee : http://vil.nai.com/VIL/stinger/
Cliquez sur "Download v3.x.x" pour télécharger le fichier, puis lancez-le.
Si les lettres correspondant aux périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, rajouter-les manuellement se servant du bouton "Browse" pour les sélectionner.
Puis lancer le nettoyage en cliquant sur le bouton "Scan Now".



Important : Tant que vous ne serez pas sur d'avoir éradiqué l'infection, n'ouvrez aucun des disques ou périphériques externes en se servant du double clic, sous peine de relancer l'infection ! Faire à la place un clic droit dessus pour les ouvrir !


3°) Cas des ordinateurs en réseau

Par exemple, le ver Rjump (AdobeR.exe, Ravmonlog...) en plus de se copier sur les périphériques externes, se propage aussi en utilisant les dossiers partagés sur les postes en réseau et ouvre une backdoor (= « porte dérobée ») en configurant à l'insu de la personne une exception dans le pare-feu de windows. Il y a donc de fortes chances pour que le ver se soit propagé dans les fichiers partages réseau.

Si un pc est en réseau, il faut l'isoler du réseau et vérifier que les dossiers/disques partagés soient propres, ne pas les reconnecter tant que vous n'êtes pas sur que les autres machines soient propres ou désinfectés elles aussi, sinon vous risquez de voir l'infection se propager de nouveau !


4°) Comment se prémunir au quotidien sur des PC publiques

Une précaution très simple à prendre avec les clés USB si vous devez la connecter sur un pc publique même infecté : il suffit tout simplement d'avoir une clé usb verrouillée en écriture contenant un dossier autorun.inf.

* Vous avez aussi la possibilité de vacciner votre clé usb en créant des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports que l'on connecterait sur un pc infecté, et leur attribuer la propriété lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager ! Télécharger l'exécutable suivant : VaccinUSB.exe
Il vous suffit de copier-coller le fichier à la racine du disque que vous souhaitez "vacciner", puis de double-cliquer sur le fichier. Il sera ainsi crée des répertoires du même nom que les fichiers infectieux les plus courants, vous pourrez ensuite supprimer le fichier VaccinUSB.exe

Cette astuce très pratique vous permettra de garder votre clé propre même en la connectant à un pc infecté !



source : commentcamarche


Posté par Choumi

0 Rétroliens

  1. Pas de rétroliens

0 Commentaires

Afficher les commentaires en (Vue non groupée | Vue groupée)
Pas de commentaires
L'auteur n'a pas autorisé l'ajout de commentaires pour ce billet.