Contamination par les lecteurs amovibles

Contamination par les lecteurs amovibles
Méfiez-vous des clés USB des amis et collègues ... la pire cyberattaque contre l'armée US est
venue d'une clé USB !
Plus récemment, Stuxnet s'attaque à des postes en se déployant depuis des clés USB grâce à des
failles zero day.
Pire, on sait modifier une souris pour la rendre infectante : http://korben.info/teensy-sourisexploit.html
On peut aussi vous envoyer une clé USB qui se fait passer pour un clavier par le système. Dès
qu'elle est branchée elle peut alors envoyer des séquences de touches ... (commentaires)
Dans une entreprise n'utilisez jamais sans précautions une clé USB trouvée "par hasard" (peut être
un piège).
Ne laissez jamais de documents sensibles sur une clé USB, sauf cryptage adéquat.
Si vous intervenez sur des PC avec des clés bootables, pensez à les retirer avant de démarrer
normalement.
Protégez-les contre l'écriture, et vaccinez-les.
La contamination via les clés USB et autres lecteurs amovibles est un phénomène répandu. Nous
allons voir comment l'utilisateur se fait piéger, comment l'éviter, et comment décontaminer
l'ordinateur infesté en même temps que tous les lecteurs amovibles réputés infestés à leur tour.
Pour l'étude qui suit nous aurons besoin d'afficher les extensions des fichiers.
On peut être amené à modifier le Registre ==> Prendre ses précautions.
Quelques nouveautés apparues depuis la création du présent article :
Sécurisation des Windows face aux menaces des périphériques amovibles (PDF) par GOF
Addendum : le Guide de sécurisation de Windows face aux menaces des périphériques amovibles
qui n'était jusque-là disponible seulement que sous la forme d'un document PDF est à présent publié
intégralement sur le web :
http://www.zebulon.fr/actualites/5151-proteger-infection-virus-malware-cles-usb.html
Voici tous les liens de cet énorme réalisation de GOF :
http://www.zebulon.fr/dossiers/128-guide-securite-windows-menaces-peripheriques-amovibles.html
http://www.zebulon.fr/dossiers/128-2-preambule.html
http://www.zebulon.fr/dossiers/128-3-differents-types-vulnerabilite.html
http://www.zebulon.fr/dossiers/128-4-fonctionnement-autorun-windows.html
http://www.zebulon.fr/dossiers/128-5-fichier-autorun-inf.html
http://www.zebulon.fr/dossiers/128-6-protection-systeme.html
http://www.zebulon.fr/dossiers/128-7-desactivation-execution-automatique-vista-windows-7.html
http://www.zebulon.fr/dossiers/128-8-inhibition-fonction-autorun.html
http://www.zebulon.fr/dossiers/128-9-nettoyage-cache-usb.html
http://www.zebulon.fr/dossiers/128-10-nettoyage-historique-usb.html
http://www.zebulon.fr/dossiers/128-11-fermeture-systeme-peripheriques-non-autorises.html
http://www.zebulon.fr/dossiers/128-12-interdire-utilisation-periphériques-usb.html
http://www.zebulon.fr/dossiers/128-13-interdire-ecriture-peripheriques-amovibles.html
http://www.zebulon.fr/dossiers/128-14-vaccination-simple-supports.html
http://www.zebulon.fr/dossiers/128-15-vaccination-noms-reserves-windows.html
http://www.zebulon.fr/dossiers/128-16-vaccination-editeur-hexadecimal.html
http://www.zebulon.fr/dossiers/128-17-vaccination-automatique-insertion-support-amovible.html
http://www.zebulon.fr/dossiers/128-18-suggestions-situation.html
http://www.zebulon.fr/dossiers/128-19-un-systeme-un-utilisateur.html
http://www.zebulon.fr/dossiers/128-20-un-systeme-plusieurs-utilisateurs.html
http://www.zebulon.fr/dossiers/128-21-plusieurs-systemes-un-utilisateur.html
http://www.zebulon.fr/dossiers/128-22-plusieurs-systemes-plusieurs-utilisateurs.html
http://www.zebulon.fr/dossiers/128-23-cas-particulier.html
http://www.zebulon.fr/dossiers/128-24-creation-configuration-station-blanche.html
http://www.zebulon.fr/dossiers/128-25-conclusion.html
Annexe
http://www.zebulon.fr/dossiers/128-26-peripheriques-amovibles.html
http://www.zebulon.fr/dossiers/128-27-afficher-fichiers-dossiers-caches.html
http://www.zebulon.fr/dossiers/128-28-rechercher-presence-mise-a-jour.html
http://www.zebulon.fr/dossiers/128-29-retablir-double-clic-pour-ouvrir-volume.html
http://www.zebulon.fr/dossiers/128-30-notes.html
On pourra ainsi communiquer facilement des extraits. J'aime bien en particulier :
• Pour la technique utilisée :
http://www.zebulon.fr/dossiers/128-15-vaccination-noms-reserves-windows.html
• Parce que c'est en général la plainte des internautes qui cherchent de l'aide sur les forums :
http://www.zebulon.fr/dossiers/128-29-retablir-double-clic-pour-ouvrir-volume.html
USB-set
Suite à son étude GOF souhaitait un utilitaire facilitant la protection des clés USB. Souhait exaucé
avec l'aide d'un autre membre de l'équipe Sécurité de www.zebulon.fr ==>
http://www.zebulon.fr/actualites/5054-proteger-infections-usb.html (Exemple d'utilisation)
USB-set est également cité dans l'article de CommentÇaMarche :
http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible
KB971029 : Mise à jour pour la fonctionnalité exécution automatique dans Windows
KB971029 : Update to the AutoPlay functionality in Windows (la traduction automatique fr laisse à
désirer)
On voit avec cette nouvelle màj que le sujet continue à être sensible. Désactiver l'autorun.inf était
une première étape, mais encore fallait-il que lors de l'AutoPlay (fonction qui propose diverses
actions lors de l'insertion de la clé USB) il ne soit pas trop facilement possible de faire exécuter un
exécutable-surprise par l'utilisateur.
KB967940 : Mise à jour de la fonctionnalité de lancement automatique (Autorun) dans
Windows
KB967715 : Comment faire pour désactiver la fonctionnalité exécution automatique dans Windows
Le 25/02/2009 une mise à jour KB967715 a introduit la nouvelle stratégie HonorAutorunSetting..
Cette stratégie corrige partiellement la faille décrite dans ce présent article permettant de lancer une
action en cliquant sur le répertoire racine d'une clé si présence d'un fichier autorun.inf
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HonorAutorunSetting = 1 (par défaut) autorun.inf n'est plus
exécuté en cliquant
Ouvrir ou Explorer si
NoDriveTypeAutoRun = FF
HonorAutorunSetting = 0
désactive la stratégie,
l'autorun.inf de la clé USB est exploité
même avec NoDriveTypeAutoRun=FF
NoDriveTypeAutoRun = FF
correspond à la Stratégie "Désactiver la
lecture automatique"
activée pour tous les lecteurs.
En complément :
KB962007 : Alerte concernant le ver Win32/Conficker.B
[INFO] Recrudescence du ver Conficker = Kido = Downadup
Fonctionnalité "Autorun" mise à jour par Microsoft par Gof (voir en fin d'article - c'est bien
expliqué)
La KB967715 sans cesse reproposée, solution.
http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible
Sommaire
•
•
•
•
•
•
•
•
•
Désinfection
Les lecteurs amovibles ne démarrent pas automatiquement
Comment être infecté
Autorun.inf
Scénario d'infection
Infection !
Impossibilité d'afficher les fichiers cachés
Comment se protéger
Une clé USB 100% Autorun
Désinfection
Comme en général on s'intéresse au sujet seulement une fois que l'on a été infecté, commençons par
... la désinfection. D'autant que des articles très bien faits ont été rédigés à ce sujet, et qu'ils
expliquent clairement une bonne partie du mécanisme. Leur lecture sera une excellente introduction
à ce qui sera raconté plus loin.
Info : le principe des protections proposées ci-dessous est de créer un dossier nommé autorun.inf
pour empêcher les parasites d'installer leur fichier du même nom. Il faut signaler un léger
inconvénient passager sur Win7, le nom donné à la partition redevient le nom par défaut, à savoir
"Disque local". Il suffit de renommer à nouveau le volume.
•
•
•
•
•
•
JC Bellamy signale ici l'efficacité de ce désinfecteur spécialisé : RAV
Désinfecter une clé USB ou un disque amovible - Flash-Disinfector.exe
Infection sur disques amovibles (Malekal)
Les infections se propageant par les supports amovibles : USB, Flash, etc. (Malekal)
Le même article publié par Libellules
Et, à la source cette fois par son auteur Gof, lequel lui a donné plusieurs suites :
• Infections par supports amovibles
• Les infections se propageant par les supports amovibles : USB, Flash, etc.
• Restaurer le double-clic sur un lecteur suite à une infection
• Exercice de Propagation d'une infection par support amovible
• Autres articles dans La mare du Gof hébergé par Zebulon (Forums)
• W32.Yahack.A NTDETECT.EXE/UpDateWinc.exe est un Trojan qui se propage par disques
amovibles
Exemples de désinfections réussies
• Résolu : message d'erreur en cliquant sur un disque
• Résolu : double-clic devenu inopérant. Infection par Pagefile.sys.vbs
• Résolu avec MBAM : Virus récalcitrant écrivant un autorun.inf sur les clés USB
(Trojan.Autoit)
Autorun.inf reçoit souvent les Attributs Caché et Système, voir Afficher vraiment tous les fichiers.
L'infection peut rendre ce réglage impossible, voir la section Impossibilité d'afficher les fichiers
cachés
Le problème est souvent révélé par un message d'erreur en cliquant sur le disque.
Mais assez souvent on ne peut plus ouvrir le volume.
Savoir qu'il est simple d'accéder à un volume via Exécuter. par exemple :
DémarrerExécuter>C:
WIN+R, D:
Pour rendre visible autorun.inf et le renommer afin de l'inactiver, on peut utiliser ces commandes :
Démarrer>Exécuter>attrib C:\autorun.inf -H -S -R
Démarrer>Exécuter>ren C:\autorun.inf autorun.inf.txt
Il sera utile de connaître la syntaxe des fichiers Autorun.inf :
• Syntaxe du fichier Autorun.inf
• Créer un CD auto-exécutable
• Création de fichiers autorun.inf
(hotline-pc)
(developpez)
(JC Bellamy)
Ces derniers exemples sont historiquement pour CD-ROM. Ils fonctionnent de la même façon pour
les lecteurs amovibles tels que les clés USB, les appareils photos, les lecteurs MP3, et les disques
durs externes, à la différence près que seuls les CD sont autorisés à démarrer directement le
programme désigné par Autorun.inf
Les lecteurs amovibles ne démarrent pas automatiquement
What must I do to trigger Autorun on my USB storage device?
Si le programme désigné dans Autorun.inf d'un CD-ROM peut-être exécuté directement par
Windows lors de son insertion, il n'en va pas de même pour les lecteurs amovibles. Ils ne démarrent
pas automatiquement le programme. Et ceci même avec l'AutoPlay activé (l'Exécution automatique
est activée par défaut). C'est une protection de Windows afin que, pour les lecteurs amovibles,
l'exécution du programme désigné par Autorun.inf ne soit exécuté que suite à une action de
l'utilisateur. Windows n'exécute automatiquement que des parties jugées sans danger dans
Autorun.inf, comme la modification de l'icône du lecteur, son info-bulle, l'ajout d'items dans le
Menu Contextuel. On va voir que c'est ce dernier point qui est la faille.
Comment être infecté
Nous allons étudier par quel mécanisme l'utilisateur se fait piéger. Nous allons voir que les
fonctions Ouvrir (open) et Explorer (explore) sont détournées, mais pas la fonction Développer.
Pour commencer il faut que l'utilisateur soit Administrateur. C'est souvent le cas, par ignorance des
risques encourus, par habitude, par flegme, ou pour tout autre raison. Il faut un Autorun.inf bien
ficelé, et un exécutable véroleur. En guise d'exécutable nous allons utiliser le jeu Winmine qui
permettra de vérifier le bon fonctionnement du leurre.
Sur une clé USB copier le fichier C:\Windows\System32\Winmine.exe
Pour le fun renommer ce fichier Winmine.exe en xn1i9x.com
Ça fait peur, hein ? Les exécutables véroleurs changent souvent de nom pour ne pas être repérés par
les anti-virus (soyez constamment à jour de vos définitions virales !). Ils savent prendre aussi des
noms familiers inspirés des fichiers systèmes de Windows. Ils peuvent même se faire passer pour un
inoffensif dossier.
Quant à l'extension, elle aurait pu être .exe bien sûr, mais aussi .pif, .scr, etc...
Autorun.inf
Commencer par afficher les extensions des fichiers. Autorun.inf est un simple fichier texte, il suffit
de cliquer dessus pour l'ouvrir dans Bloc-Notes. Pour le créer il suffit donc de produire un nouveau
fichier texte et de le renommer "Autorun.inf" (avec Bloc-Notes utiliser des guillemets s'il vous
embête à vouloir ajouter une extension .txt). Voyons son contenu :
Voici notre exemple :
[AutoRun]
open=xn1i9x.com
shell\open\Command=xn1i9x.com
shell\explore\Command=xn1i9x.com
Explications :
open=
désigne le chemin vers l'exécutable à lancer à
l'insertion du lecteur (Remarque 1)
shell\open\Command
spécifie la commande par défaut (Ouvrir)
=
shell\explore\Comm l'item Explorer du menu Contextuel est ainsi
and=
également détourné
Remarques :
1. Normalement open n'est pas exécuté automatiquement pour un lecteur amovible. Mais ça
reste l'action par défaut, exécutée d'un simple clic double. C'est là le piège.
2. Si les noms des fonctions sont en anglais dans ces commandes, les noms des items dans le
Menu Contextuel seront localisés . Soit, en français, Ouvrir (action par défaut) et Explorer.
Le contenu de la clé est à présent :
Dans une clef véritablement infectée, ces fichiers sont cachés car ils ont les attributs System, Hide,
et ReadOnly. Pour faire bonne mesure l'ordinateur vérolé du propriétaire de la clé infectée n'a plus
la possibilité d'afficher les fichiers systèmes et cachés. La personne qui vous confie sa clé ignore
donc la présence de ces fichiers. Pour être plus réaliste pour la suite de notre simulation j'ai donc
masqué ces fichiers et leurs extensions, et j'ai ajouté une image et un dossier supposés intéresser la
future victime.
Scénario d'infection
Voici à présent comment l'utilisateur s'infecte lui-même. Il connecte la clé USB à son PC. Après
analyse du contenu afin de proposer les actions adaptées aux fichiers trouvés, Windows demande
l'action à exécuter. Comme il y a une image, les actions proposées sont les suivantes :
Le plus souvent l'utilisateur choisira "Ouvrir le dossier". Il n'est pas encore infesté.
Ci-dessous l'utilisateur visualise le contenu. Il ne voit pas les fichiers dangereux car les réglages par
défaut de Windows font que les fichiers systèmes et les fichiers cachés ne sont pas affichés. De
toutes façons la plupart du temps il y a de nombreux fichiers, et on ne fait pas attention.
Il va pouvoir copier l'image "Plans de montage" qui se trouve être la raison pour laquelle on lui a
confié cette clé. Il n'est toujours pas infecté.
Dans cette capture ci-après les deux actions encadrées servent à naviguer vers le Poste de Travail :
Une fois copié le fichier désiré, l'utilisateur va vouloir naviguer vers un dossier dans lequel il pourra
sauvegarder cette image. Il dispose de cela de divers moyens, dont deux sont en évidence sous ses
yeux. Les deux actions encadrées ci-dessus vont afficher le Poste de Travail :
L'utilisateur n'est pas encore infecté, mais ça va venir, car pour ouvrir à nouveau la clé et accéder à
son contenu, il y a de fortes chances qu'il clique directement le lecteur, activant par là même l'action
par défaut, c'est à dire "Ouvrir", en gras dans le Menu Contextuel.
Le Menu Contextuel propose Ouvrir qui est affiché en gras car c'est l'action par défaut, l'autre
possibilité étant Explorer.
"Exécution automatique" correspond à l'AutoPlay, et affiche les actions à choisir comme lors de
l'introduction de la clé. Cet item n'a donc rien à voir avec le problème d'infection.
Le piège est sur le point d'être actionné.
Infection !
Biloute double-clique sur l'icône de la clé, et ... il est infecté !
Au lieu d'ouvrir le contenu de la clé, c'est le sympathique Winmine, notre faux virus xn1i9x.com,
qui démarre :
Avec une véritable infection on pourrait ne rien détecter signalant le méfait. Le virus ferait ce qu'il a
à faire, tout en autorisant l'ouverture prévue, on n'y voit que du feu. On a parfois un message
d'erreur révélant le nom de l'exécutable, par exemple infectieux, par exemple AMVO.exe. Ceci est
causé par l'anti-virus qui réagit tardivement en supprimant l'exe, lequel n'est plus trouvé par
l'autorun.inf
Il reste une option d'ouverture qui n'est pas détournée. Il s'agit de l'action Développer disponible
dans le panel de gauche lorsqu'on affiche les Dossiers à la place des Tâches habituelles :
Cette fois, cliquer sur la clé dans le panel de gauche aura l'action attendue, car la fonction
Développer n'a pas été détournée. Le contenu de la clé est affiché à droite.
Mais c'est trop tard. Avec une clé véritablement infestée, ce PC serait devenu à son tour infectieux,
et polluerait tous les lecteurs amovibles non protégés en lecture qui lui seraient connectés.
L'autoplay peut proposer Exécuter lors de l'insertion de la clé :
Impossibilité d'afficher les fichiers cachés
Il a été rapporté que ce type de virus, afin de se cacher le mieux possible, désactive la possibilité
d'afficher les fichiers systèmes et cachés dans Options des dossiers. On peut décocher ou cocher les
items mais le réglage n'est pas conservé.
Pour rappel ces paramètres sont stockés dans le registre à la clé :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
•
•
•
•
Hidden=1
HideFileExt=0
ShowSuperHidden=1
SuperHidden=1
pour afficher les fichiers cachés (2 pour les masquer)
pour afficher les extensions des fichiers (1 pour les masquer)
pour afficher les fichiers systèmes (0 pour les masquer)
(juste pour info, car toujours égale à 1)
Comme l'impossibilité d'afficher les fichiers cachés n'est pas réparé par les anti-virus, il faut vérifier
les valeurs CheckedValue et DefaultValue présentent dans ces deux clés du Registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH
IDDEN
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO
WALL
Il est possible que dans la clé SHOWALL on trouve des choses comme CheckedValue=0 ou
DefaultValue=0
Avec CheckedValue=1 et DefaultValue=2 c'est mieux.
Télécharger et fusionner au registre le contenu de showall-defaultvalue-2.reg en cliquant dessus (ou
clic droit, Fusionner) pour faire cette réparation automatiquement et obtenir :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
• CheckedValue=1
• DefaultValue=2
Si nécessaire corriger également la clé NOHIDDEN ainsi :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\NOHIDDEN
• CheckedValue=2
• DefaultValue=2
Si cela était insuffisant faites-le moi savoir.
La première fois que j'ai été confronté au problème seule la valeur SHOWALL\DefaultValue était
concernée.
Mais on m'a signalé un cas où c'était SHOWALL\CheckedValue qui était à zéro.
Un fichier reg est disponible pour reconstruire totalement la clé Hidden.
Les valeurs de CheckedValue et DefaultValue sont celles indiquées ci-dessus pour SHOWALL et
NOHIDDEN.
Lire l'article Show Hidden Files and Folders Option Missing or Does Not Work.
Télécharger le fichier foldersettings.reg et comparer son contenu à celui de la clé Hidden.
Sauvegarder la clé Hidden et fusionner le reg. Il supprime la clé puis la répare.
Cette réparation globale de la clé Hidden a été appliquée avec succès ici.
Plus d'infos :
http://www.google.com/search?q=SHOWALL+site:symantec.com
http://images.google.com/images?q=SHOWALL+site:symantec.com
http://www.google.com/search?q=SHOWALL+site:symantec.com%2Ffr
On peut désactiver un autorun.inf en le renommant, même s'il est caché, système, et protégé contre
l'écriture (attributs H, S, R).
Ouvrir une console de commande (WIN+R ou Démarrer>Exécuter>cmd) et entrer les commandes :
attrib c:\autorun.inf
ren
c:\autorun.inf
-H -S -R
autorun.inf.txt
En renommant ainsi le fichier il est inactivé, et le volume C s'ouvre à nouveau en cliquant dessus
sans plus provoquer d'erreur dû au fichier appelé manquant. Faire de même pour les autres volumes.
Mettre Windows à jour, et voir les procédés de désinfection et de protection. Traiter ensuite les
volumes amovibles. Informer son entourage.
Comment se protéger ?
Please disable Autorun asap !
• Windows doit être à jour du point de vue sécurité.
• Utiliser un anti-virus à jour.
• Activer la sécurité des clés pour interdire l'écriture.
• Vacciner la clé en créant un dossier nommé Autorun.inf
L'existence de ce dossier empêche la création d'un fichier du même nom et complique la
tâche du virus.
On peut donner à ce dossier les attributs Readonly, Hide, et System avec la commande
attrib :
attrib +r +h +s autorun.inf
C'est le même principe illustré dans l'article Les infections se propageant par les supports
amovibles lors de la désinfection et vaccination avec Flash Disinfector
La technique a été améliorée : http://www.zebulon.fr/dossiers/128-15-vaccination-nomsreserves-windows.html
• Utiliser Explorer (WIN+E) pour ouvrir la clé depuis le panel de gauche de
l'explorateur de fichiers.
• Désactiver l'Exécution Automatique
Éventuellement on pourra désactiver l'Autoplay pour tous les volumes avec la valeur
NoDriveTypeAutoRun :
• XPPRO : En utilisant la Console Stratégie de Groupe :
Démarrer>Exécuter>gpedit.msc
Une fois dans la Console :
Configuration Utilisateur>Système>Désactiver le lecteur automatique
• En utilisant Regedit :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun=FF hexadécimal. La valeur habituelle pour XP est 91 hexa.
• En utilisant TweakUI ==>
En décochant la seconde case on désactive également l'Autorun des CD, dont la
particularité, par rapport aux lecteurs amovibles, est d'exécuter immédiatement le
programme désigné par Autorun.inf
Quoique cette voie d'infection soit peu répandue, on se doit de connaître l'histoire du
Rootkit qu'une célèbre marque de CD audio installait systématiquement sur les
ordinateurs (article en français - source en anglais).
À surveiller également les possibilités de détournement des clés U3.
L'exécution automatique étant désactivée, on risque moins qu'un visiteur
reproduise le scénario précédent. On procèdera dorénavant toujours de la
manière suivante pour accéder au contenu d'un volume :
1. Connexion du lecteur amovible. Si l'AutoPlay est désactivé, rien ne
s'affiche.
2. Exécuter le raccourci-clavier WIN+E
WIN étant la touche Windows située entre la touche Ctrl et Alt.
Ce raccourci ouvre Explorer.exe avec les dossiers dans le panel
gauche
3. NE PAS CLIQUER DANS LE PANEL DE DROITE
4. Dans le panel de gauche on peut cliquer sur la clé sans danger.
Commentaires :
Désactiver l'Autoplay n'est qu'une option, on peut très bien laisser
l'Exécution automatique en marche. TweakUI apporte de la souplesse, noter
qu'on peut arrêter l'Autoplay par type de lecteur, mais aussi par lettre de
lecteur. La variable concernée est alors NoDriveAutoRun.
Certains utilisateurs se plaignent qu'ils doivent attendre que l'AutoPlay ait
fini d'analyser le contenu de leur disque dur externe. Cette opération est
très rapide avec une clé, mais peut être longue avec un disque dur bien
rempli. TweakUI et WIN+E apportent une solution pratique à cet ennui.
On a vu comment il était possible de piéger l'utilisateur pour l'amener a
exécuter un programme d'une clé USB à son insu, et ce malgré la protection
de Windows XP. On va voir plus bas qu'il est possible de contourner par
programme cette protection, rendant possible l'exécution d'une action
automatiquement dès l'insertion d'une clé. On a également compris qu'un
ordinateur infecté infecte à son tour les lecteurs amovibles. Il existe d'autres
attaques possibles, tel USBDumper qui récupère automatiquement les
données d'une clé connectée à un PC piégé.
• Détourner l'Autorun.inf
Cette méthode est particulièrement intéressante car elle inhibe les autorun.inf,
désactivant ainsi l'Autorun indépendamment de l'AutoPlay. La technique utilisée
est originale et fait appel aux mécanismes mis en place dans le Registre pour
assurer la compatibilité avec les fichiers.INI tels que system.ini et win.ini; on
déroute donc Autorun.inf en créant une clé du même nom dans IniFileMapping,
complétée de paramètres qui empêcheront la lecture du contenu du fichier, et
l'associeront à une clef du registre inexistante. Voici le contenu du fichier REG à
télécharger et fusionner au Registre, inifilemapping-autorun-protectionactivee.reg :
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
L'effet est immédiat et ne peut être levé sans redémarrage complet après suppression de
la clé.
Avantages : Nécessite le redémarrage pour lever la protection. Facile à appliquer et
automatiser. La protection est globale (tous les comptes). Ne supprime pas l'AutoPlay
(le contenu s'affiche toujours automatiquement dans une fenêtre).
Inconvénients : Plus d'Autorun sur les CD également. La nécessité de redémarrer pour
revenir à l'état normal peut être vécu comme une contrainte. Ne convient pas pour un
Compte particulier. Il faudra garder à l'esprit cette manip peu connue si des utilisateurs
se plaignent que l'Autorun ne fonctionne pas.
Pour Vista on élargi encore les possibilités et les conséquences de l'utilisation de la clé
IniFileMapping dans une très intéressante étude citée en référence ci-après.
Sources :
Administering the Windows NT Registry
Windows NT Workstation Resource Kits : Chapter 26 - Initialization Files and the
Registry
Problems of Privilege: Find and Fix LUA Bugs : Use IniFileMapping
The Dangers of Windows AutoRun
Désactivation de la fonction autorun
Pour revenir à l'état normal fusionner inifilemapping-autorun-suppression-de-la-clef.reg
:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping\Autorun.inf]
La clé est supprimée. Redémarrage complet nécessaire.
Remerciements à VP pour avoir signalé cette possibilité de remapping des fichiers
Autorun.inf
• Désactiver totalement l'USB
On pourra durcir un peu les PC ouverts au public en interdisant l'utilisation des prises USB.
Désactiver pour cela le Service USBSTOR avec la commande sc config :
sc config usbstor start= disabled
Pour réactiver :
sc config usbstor start= demand
Ces commandes ont pour effet de modifier la valeur Start :
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
Start = 3 détection active
Start = 4 détection inop
Seconde solution :
1. Sauvegarder la clé USBSTOR
2. La supprimer totalement
3. Complément :
KB823732 : Comment faire pour désactiver l'utilisation des dispositifs de stockage
USB
Cet article de la Knowledge Base Microsoft propose de compléter la disposition
ci-dessus en mettant à Refuser l'autorisation d'accès à
%systemroot%\inf\Usbstor.inf
Le résultat étant qu'il devient alors difficile de réinstaller la fonctionnalité.
Une clé USB 100% Autorun
On a vu que Windows XP ne permet pas de démarrer directement le programme situé sur une clé
USB ou un lecteur amovible, alors que c'est possible avec les CDROM. Il paraissait probable qu'un
programme résident pouvait contourner cette limitation. Ce type de logiciel existe, en voici au
moins un exemple :
APO USB Autorun
Trouvé ici :
www.soswindows.net/usb
www.libellules.ch/dotclear/index.php?category/Utilitaires/page/9 APO USB Autorun
www.google.fr/search?q=APO+USB+Autorun
APO USB Autorun installe un raccourci dans le dossier Démarrage. Il démarre donc avec
Windows...
L'icône du Systray permet divers paramétrages, dont le choix de la langue.
L'auteur Arnaud Pons a stoppé le développement, le code est disponible :
www.archidune.com
www.archidune.com/index.php?id=6
Ceci ne démontre pas que le virus qui circule actuellement installe ce type de service.
Si vos clés USB démarrent toutes seules c'est anormal, écrivez-moi votre témoignage m'intéresse.
Autres articles en relation
Changer la Lettre d'un Lecteur Amovible
Déconnexion rapide des Périphériques de stockage de masse USB
Liens
AutoRun changes in Windows 7
http://blogs.msdn.com/e7/archive/2009/04/27/improvements-to-autoplay.aspx
http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
Merci d'avoir lu jusqu'ici !
Retour au début