Contamination par les lecteurs amovibles
Transcription
Contamination par les lecteurs amovibles
Contamination par les lecteurs amovibles Méfiez-vous des clés USB des amis et collègues ... la pire cyberattaque contre l'armée US est venue d'une clé USB ! Plus récemment, Stuxnet s'attaque à des postes en se déployant depuis des clés USB grâce à des failles zero day. Pire, on sait modifier une souris pour la rendre infectante : http://korben.info/teensy-sourisexploit.html On peut aussi vous envoyer une clé USB qui se fait passer pour un clavier par le système. Dès qu'elle est branchée elle peut alors envoyer des séquences de touches ... (commentaires) Dans une entreprise n'utilisez jamais sans précautions une clé USB trouvée "par hasard" (peut être un piège). Ne laissez jamais de documents sensibles sur une clé USB, sauf cryptage adéquat. Si vous intervenez sur des PC avec des clés bootables, pensez à les retirer avant de démarrer normalement. Protégez-les contre l'écriture, et vaccinez-les. La contamination via les clés USB et autres lecteurs amovibles est un phénomène répandu. Nous allons voir comment l'utilisateur se fait piéger, comment l'éviter, et comment décontaminer l'ordinateur infesté en même temps que tous les lecteurs amovibles réputés infestés à leur tour. Pour l'étude qui suit nous aurons besoin d'afficher les extensions des fichiers. On peut être amené à modifier le Registre ==> Prendre ses précautions. Quelques nouveautés apparues depuis la création du présent article : Sécurisation des Windows face aux menaces des périphériques amovibles (PDF) par GOF Addendum : le Guide de sécurisation de Windows face aux menaces des périphériques amovibles qui n'était jusque-là disponible seulement que sous la forme d'un document PDF est à présent publié intégralement sur le web : http://www.zebulon.fr/actualites/5151-proteger-infection-virus-malware-cles-usb.html Voici tous les liens de cet énorme réalisation de GOF : http://www.zebulon.fr/dossiers/128-guide-securite-windows-menaces-peripheriques-amovibles.html http://www.zebulon.fr/dossiers/128-2-preambule.html http://www.zebulon.fr/dossiers/128-3-differents-types-vulnerabilite.html http://www.zebulon.fr/dossiers/128-4-fonctionnement-autorun-windows.html http://www.zebulon.fr/dossiers/128-5-fichier-autorun-inf.html http://www.zebulon.fr/dossiers/128-6-protection-systeme.html http://www.zebulon.fr/dossiers/128-7-desactivation-execution-automatique-vista-windows-7.html http://www.zebulon.fr/dossiers/128-8-inhibition-fonction-autorun.html http://www.zebulon.fr/dossiers/128-9-nettoyage-cache-usb.html http://www.zebulon.fr/dossiers/128-10-nettoyage-historique-usb.html http://www.zebulon.fr/dossiers/128-11-fermeture-systeme-peripheriques-non-autorises.html http://www.zebulon.fr/dossiers/128-12-interdire-utilisation-periphériques-usb.html http://www.zebulon.fr/dossiers/128-13-interdire-ecriture-peripheriques-amovibles.html http://www.zebulon.fr/dossiers/128-14-vaccination-simple-supports.html http://www.zebulon.fr/dossiers/128-15-vaccination-noms-reserves-windows.html http://www.zebulon.fr/dossiers/128-16-vaccination-editeur-hexadecimal.html http://www.zebulon.fr/dossiers/128-17-vaccination-automatique-insertion-support-amovible.html http://www.zebulon.fr/dossiers/128-18-suggestions-situation.html http://www.zebulon.fr/dossiers/128-19-un-systeme-un-utilisateur.html http://www.zebulon.fr/dossiers/128-20-un-systeme-plusieurs-utilisateurs.html http://www.zebulon.fr/dossiers/128-21-plusieurs-systemes-un-utilisateur.html http://www.zebulon.fr/dossiers/128-22-plusieurs-systemes-plusieurs-utilisateurs.html http://www.zebulon.fr/dossiers/128-23-cas-particulier.html http://www.zebulon.fr/dossiers/128-24-creation-configuration-station-blanche.html http://www.zebulon.fr/dossiers/128-25-conclusion.html Annexe http://www.zebulon.fr/dossiers/128-26-peripheriques-amovibles.html http://www.zebulon.fr/dossiers/128-27-afficher-fichiers-dossiers-caches.html http://www.zebulon.fr/dossiers/128-28-rechercher-presence-mise-a-jour.html http://www.zebulon.fr/dossiers/128-29-retablir-double-clic-pour-ouvrir-volume.html http://www.zebulon.fr/dossiers/128-30-notes.html On pourra ainsi communiquer facilement des extraits. J'aime bien en particulier : • Pour la technique utilisée : http://www.zebulon.fr/dossiers/128-15-vaccination-noms-reserves-windows.html • Parce que c'est en général la plainte des internautes qui cherchent de l'aide sur les forums : http://www.zebulon.fr/dossiers/128-29-retablir-double-clic-pour-ouvrir-volume.html USB-set Suite à son étude GOF souhaitait un utilitaire facilitant la protection des clés USB. Souhait exaucé avec l'aide d'un autre membre de l'équipe Sécurité de www.zebulon.fr ==> http://www.zebulon.fr/actualites/5054-proteger-infections-usb.html (Exemple d'utilisation) USB-set est également cité dans l'article de CommentÇaMarche : http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible KB971029 : Mise à jour pour la fonctionnalité exécution automatique dans Windows KB971029 : Update to the AutoPlay functionality in Windows (la traduction automatique fr laisse à désirer) On voit avec cette nouvelle màj que le sujet continue à être sensible. Désactiver l'autorun.inf était une première étape, mais encore fallait-il que lors de l'AutoPlay (fonction qui propose diverses actions lors de l'insertion de la clé USB) il ne soit pas trop facilement possible de faire exécuter un exécutable-surprise par l'utilisateur. KB967940 : Mise à jour de la fonctionnalité de lancement automatique (Autorun) dans Windows KB967715 : Comment faire pour désactiver la fonctionnalité exécution automatique dans Windows Le 25/02/2009 une mise à jour KB967715 a introduit la nouvelle stratégie HonorAutorunSetting.. Cette stratégie corrige partiellement la faille décrite dans ce présent article permettant de lancer une action en cliquant sur le répertoire racine d'une clé si présence d'un fichier autorun.inf HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer HonorAutorunSetting = 1 (par défaut) autorun.inf n'est plus exécuté en cliquant Ouvrir ou Explorer si NoDriveTypeAutoRun = FF HonorAutorunSetting = 0 désactive la stratégie, l'autorun.inf de la clé USB est exploité même avec NoDriveTypeAutoRun=FF NoDriveTypeAutoRun = FF correspond à la Stratégie "Désactiver la lecture automatique" activée pour tous les lecteurs. En complément : KB962007 : Alerte concernant le ver Win32/Conficker.B [INFO] Recrudescence du ver Conficker = Kido = Downadup Fonctionnalité "Autorun" mise à jour par Microsoft par Gof (voir en fin d'article - c'est bien expliqué) La KB967715 sans cesse reproposée, solution. http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible Sommaire • • • • • • • • • Désinfection Les lecteurs amovibles ne démarrent pas automatiquement Comment être infecté Autorun.inf Scénario d'infection Infection ! Impossibilité d'afficher les fichiers cachés Comment se protéger Une clé USB 100% Autorun Désinfection Comme en général on s'intéresse au sujet seulement une fois que l'on a été infecté, commençons par ... la désinfection. D'autant que des articles très bien faits ont été rédigés à ce sujet, et qu'ils expliquent clairement une bonne partie du mécanisme. Leur lecture sera une excellente introduction à ce qui sera raconté plus loin. Info : le principe des protections proposées ci-dessous est de créer un dossier nommé autorun.inf pour empêcher les parasites d'installer leur fichier du même nom. Il faut signaler un léger inconvénient passager sur Win7, le nom donné à la partition redevient le nom par défaut, à savoir "Disque local". Il suffit de renommer à nouveau le volume. • • • • • • JC Bellamy signale ici l'efficacité de ce désinfecteur spécialisé : RAV Désinfecter une clé USB ou un disque amovible - Flash-Disinfector.exe Infection sur disques amovibles (Malekal) Les infections se propageant par les supports amovibles : USB, Flash, etc. (Malekal) Le même article publié par Libellules Et, à la source cette fois par son auteur Gof, lequel lui a donné plusieurs suites : • Infections par supports amovibles • Les infections se propageant par les supports amovibles : USB, Flash, etc. • Restaurer le double-clic sur un lecteur suite à une infection • Exercice de Propagation d'une infection par support amovible • Autres articles dans La mare du Gof hébergé par Zebulon (Forums) • W32.Yahack.A NTDETECT.EXE/UpDateWinc.exe est un Trojan qui se propage par disques amovibles Exemples de désinfections réussies • Résolu : message d'erreur en cliquant sur un disque • Résolu : double-clic devenu inopérant. Infection par Pagefile.sys.vbs • Résolu avec MBAM : Virus récalcitrant écrivant un autorun.inf sur les clés USB (Trojan.Autoit) Autorun.inf reçoit souvent les Attributs Caché et Système, voir Afficher vraiment tous les fichiers. L'infection peut rendre ce réglage impossible, voir la section Impossibilité d'afficher les fichiers cachés Le problème est souvent révélé par un message d'erreur en cliquant sur le disque. Mais assez souvent on ne peut plus ouvrir le volume. Savoir qu'il est simple d'accéder à un volume via Exécuter. par exemple : DémarrerExécuter>C: WIN+R, D: Pour rendre visible autorun.inf et le renommer afin de l'inactiver, on peut utiliser ces commandes : Démarrer>Exécuter>attrib C:\autorun.inf -H -S -R Démarrer>Exécuter>ren C:\autorun.inf autorun.inf.txt Il sera utile de connaître la syntaxe des fichiers Autorun.inf : • Syntaxe du fichier Autorun.inf • Créer un CD auto-exécutable • Création de fichiers autorun.inf (hotline-pc) (developpez) (JC Bellamy) Ces derniers exemples sont historiquement pour CD-ROM. Ils fonctionnent de la même façon pour les lecteurs amovibles tels que les clés USB, les appareils photos, les lecteurs MP3, et les disques durs externes, à la différence près que seuls les CD sont autorisés à démarrer directement le programme désigné par Autorun.inf Les lecteurs amovibles ne démarrent pas automatiquement What must I do to trigger Autorun on my USB storage device? Si le programme désigné dans Autorun.inf d'un CD-ROM peut-être exécuté directement par Windows lors de son insertion, il n'en va pas de même pour les lecteurs amovibles. Ils ne démarrent pas automatiquement le programme. Et ceci même avec l'AutoPlay activé (l'Exécution automatique est activée par défaut). C'est une protection de Windows afin que, pour les lecteurs amovibles, l'exécution du programme désigné par Autorun.inf ne soit exécuté que suite à une action de l'utilisateur. Windows n'exécute automatiquement que des parties jugées sans danger dans Autorun.inf, comme la modification de l'icône du lecteur, son info-bulle, l'ajout d'items dans le Menu Contextuel. On va voir que c'est ce dernier point qui est la faille. Comment être infecté Nous allons étudier par quel mécanisme l'utilisateur se fait piéger. Nous allons voir que les fonctions Ouvrir (open) et Explorer (explore) sont détournées, mais pas la fonction Développer. Pour commencer il faut que l'utilisateur soit Administrateur. C'est souvent le cas, par ignorance des risques encourus, par habitude, par flegme, ou pour tout autre raison. Il faut un Autorun.inf bien ficelé, et un exécutable véroleur. En guise d'exécutable nous allons utiliser le jeu Winmine qui permettra de vérifier le bon fonctionnement du leurre. Sur une clé USB copier le fichier C:\Windows\System32\Winmine.exe Pour le fun renommer ce fichier Winmine.exe en xn1i9x.com Ça fait peur, hein ? Les exécutables véroleurs changent souvent de nom pour ne pas être repérés par les anti-virus (soyez constamment à jour de vos définitions virales !). Ils savent prendre aussi des noms familiers inspirés des fichiers systèmes de Windows. Ils peuvent même se faire passer pour un inoffensif dossier. Quant à l'extension, elle aurait pu être .exe bien sûr, mais aussi .pif, .scr, etc... Autorun.inf Commencer par afficher les extensions des fichiers. Autorun.inf est un simple fichier texte, il suffit de cliquer dessus pour l'ouvrir dans Bloc-Notes. Pour le créer il suffit donc de produire un nouveau fichier texte et de le renommer "Autorun.inf" (avec Bloc-Notes utiliser des guillemets s'il vous embête à vouloir ajouter une extension .txt). Voyons son contenu : Voici notre exemple : [AutoRun] open=xn1i9x.com shell\open\Command=xn1i9x.com shell\explore\Command=xn1i9x.com Explications : open= désigne le chemin vers l'exécutable à lancer à l'insertion du lecteur (Remarque 1) shell\open\Command spécifie la commande par défaut (Ouvrir) = shell\explore\Comm l'item Explorer du menu Contextuel est ainsi and= également détourné Remarques : 1. Normalement open n'est pas exécuté automatiquement pour un lecteur amovible. Mais ça reste l'action par défaut, exécutée d'un simple clic double. C'est là le piège. 2. Si les noms des fonctions sont en anglais dans ces commandes, les noms des items dans le Menu Contextuel seront localisés . Soit, en français, Ouvrir (action par défaut) et Explorer. Le contenu de la clé est à présent : Dans une clef véritablement infectée, ces fichiers sont cachés car ils ont les attributs System, Hide, et ReadOnly. Pour faire bonne mesure l'ordinateur vérolé du propriétaire de la clé infectée n'a plus la possibilité d'afficher les fichiers systèmes et cachés. La personne qui vous confie sa clé ignore donc la présence de ces fichiers. Pour être plus réaliste pour la suite de notre simulation j'ai donc masqué ces fichiers et leurs extensions, et j'ai ajouté une image et un dossier supposés intéresser la future victime. Scénario d'infection Voici à présent comment l'utilisateur s'infecte lui-même. Il connecte la clé USB à son PC. Après analyse du contenu afin de proposer les actions adaptées aux fichiers trouvés, Windows demande l'action à exécuter. Comme il y a une image, les actions proposées sont les suivantes : Le plus souvent l'utilisateur choisira "Ouvrir le dossier". Il n'est pas encore infesté. Ci-dessous l'utilisateur visualise le contenu. Il ne voit pas les fichiers dangereux car les réglages par défaut de Windows font que les fichiers systèmes et les fichiers cachés ne sont pas affichés. De toutes façons la plupart du temps il y a de nombreux fichiers, et on ne fait pas attention. Il va pouvoir copier l'image "Plans de montage" qui se trouve être la raison pour laquelle on lui a confié cette clé. Il n'est toujours pas infecté. Dans cette capture ci-après les deux actions encadrées servent à naviguer vers le Poste de Travail : Une fois copié le fichier désiré, l'utilisateur va vouloir naviguer vers un dossier dans lequel il pourra sauvegarder cette image. Il dispose de cela de divers moyens, dont deux sont en évidence sous ses yeux. Les deux actions encadrées ci-dessus vont afficher le Poste de Travail : L'utilisateur n'est pas encore infecté, mais ça va venir, car pour ouvrir à nouveau la clé et accéder à son contenu, il y a de fortes chances qu'il clique directement le lecteur, activant par là même l'action par défaut, c'est à dire "Ouvrir", en gras dans le Menu Contextuel. Le Menu Contextuel propose Ouvrir qui est affiché en gras car c'est l'action par défaut, l'autre possibilité étant Explorer. "Exécution automatique" correspond à l'AutoPlay, et affiche les actions à choisir comme lors de l'introduction de la clé. Cet item n'a donc rien à voir avec le problème d'infection. Le piège est sur le point d'être actionné. Infection ! Biloute double-clique sur l'icône de la clé, et ... il est infecté ! Au lieu d'ouvrir le contenu de la clé, c'est le sympathique Winmine, notre faux virus xn1i9x.com, qui démarre : Avec une véritable infection on pourrait ne rien détecter signalant le méfait. Le virus ferait ce qu'il a à faire, tout en autorisant l'ouverture prévue, on n'y voit que du feu. On a parfois un message d'erreur révélant le nom de l'exécutable, par exemple infectieux, par exemple AMVO.exe. Ceci est causé par l'anti-virus qui réagit tardivement en supprimant l'exe, lequel n'est plus trouvé par l'autorun.inf Il reste une option d'ouverture qui n'est pas détournée. Il s'agit de l'action Développer disponible dans le panel de gauche lorsqu'on affiche les Dossiers à la place des Tâches habituelles : Cette fois, cliquer sur la clé dans le panel de gauche aura l'action attendue, car la fonction Développer n'a pas été détournée. Le contenu de la clé est affiché à droite. Mais c'est trop tard. Avec une clé véritablement infestée, ce PC serait devenu à son tour infectieux, et polluerait tous les lecteurs amovibles non protégés en lecture qui lui seraient connectés. L'autoplay peut proposer Exécuter lors de l'insertion de la clé : Impossibilité d'afficher les fichiers cachés Il a été rapporté que ce type de virus, afin de se cacher le mieux possible, désactive la possibilité d'afficher les fichiers systèmes et cachés dans Options des dossiers. On peut décocher ou cocher les items mais le réglage n'est pas conservé. Pour rappel ces paramètres sont stockés dans le registre à la clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced • • • • Hidden=1 HideFileExt=0 ShowSuperHidden=1 SuperHidden=1 pour afficher les fichiers cachés (2 pour les masquer) pour afficher les extensions des fichiers (1 pour les masquer) pour afficher les fichiers systèmes (0 pour les masquer) (juste pour info, car toujours égale à 1) Comme l'impossibilité d'afficher les fichiers cachés n'est pas réparé par les anti-virus, il faut vérifier les valeurs CheckedValue et DefaultValue présentent dans ces deux clés du Registre : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL Il est possible que dans la clé SHOWALL on trouve des choses comme CheckedValue=0 ou DefaultValue=0 Avec CheckedValue=1 et DefaultValue=2 c'est mieux. Télécharger et fusionner au registre le contenu de showall-defaultvalue-2.reg en cliquant dessus (ou clic droit, Fusionner) pour faire cette réparation automatiquement et obtenir : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced \Folder\Hidden\SHOWALL • CheckedValue=1 • DefaultValue=2 Si nécessaire corriger également la clé NOHIDDEN ainsi : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced \Folder\Hidden\NOHIDDEN • CheckedValue=2 • DefaultValue=2 Si cela était insuffisant faites-le moi savoir. La première fois que j'ai été confronté au problème seule la valeur SHOWALL\DefaultValue était concernée. Mais on m'a signalé un cas où c'était SHOWALL\CheckedValue qui était à zéro. Un fichier reg est disponible pour reconstruire totalement la clé Hidden. Les valeurs de CheckedValue et DefaultValue sont celles indiquées ci-dessus pour SHOWALL et NOHIDDEN. Lire l'article Show Hidden Files and Folders Option Missing or Does Not Work. Télécharger le fichier foldersettings.reg et comparer son contenu à celui de la clé Hidden. Sauvegarder la clé Hidden et fusionner le reg. Il supprime la clé puis la répare. Cette réparation globale de la clé Hidden a été appliquée avec succès ici. Plus d'infos : http://www.google.com/search?q=SHOWALL+site:symantec.com http://images.google.com/images?q=SHOWALL+site:symantec.com http://www.google.com/search?q=SHOWALL+site:symantec.com%2Ffr On peut désactiver un autorun.inf en le renommant, même s'il est caché, système, et protégé contre l'écriture (attributs H, S, R). Ouvrir une console de commande (WIN+R ou Démarrer>Exécuter>cmd) et entrer les commandes : attrib c:\autorun.inf ren c:\autorun.inf -H -S -R autorun.inf.txt En renommant ainsi le fichier il est inactivé, et le volume C s'ouvre à nouveau en cliquant dessus sans plus provoquer d'erreur dû au fichier appelé manquant. Faire de même pour les autres volumes. Mettre Windows à jour, et voir les procédés de désinfection et de protection. Traiter ensuite les volumes amovibles. Informer son entourage. Comment se protéger ? Please disable Autorun asap ! • Windows doit être à jour du point de vue sécurité. • Utiliser un anti-virus à jour. • Activer la sécurité des clés pour interdire l'écriture. • Vacciner la clé en créant un dossier nommé Autorun.inf L'existence de ce dossier empêche la création d'un fichier du même nom et complique la tâche du virus. On peut donner à ce dossier les attributs Readonly, Hide, et System avec la commande attrib : attrib +r +h +s autorun.inf C'est le même principe illustré dans l'article Les infections se propageant par les supports amovibles lors de la désinfection et vaccination avec Flash Disinfector La technique a été améliorée : http://www.zebulon.fr/dossiers/128-15-vaccination-nomsreserves-windows.html • Utiliser Explorer (WIN+E) pour ouvrir la clé depuis le panel de gauche de l'explorateur de fichiers. • Désactiver l'Exécution Automatique Éventuellement on pourra désactiver l'Autoplay pour tous les volumes avec la valeur NoDriveTypeAutoRun : • XPPRO : En utilisant la Console Stratégie de Groupe : Démarrer>Exécuter>gpedit.msc Une fois dans la Console : Configuration Utilisateur>Système>Désactiver le lecteur automatique • En utilisant Regedit : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun=FF hexadécimal. La valeur habituelle pour XP est 91 hexa. • En utilisant TweakUI ==> En décochant la seconde case on désactive également l'Autorun des CD, dont la particularité, par rapport aux lecteurs amovibles, est d'exécuter immédiatement le programme désigné par Autorun.inf Quoique cette voie d'infection soit peu répandue, on se doit de connaître l'histoire du Rootkit qu'une célèbre marque de CD audio installait systématiquement sur les ordinateurs (article en français - source en anglais). À surveiller également les possibilités de détournement des clés U3. L'exécution automatique étant désactivée, on risque moins qu'un visiteur reproduise le scénario précédent. On procèdera dorénavant toujours de la manière suivante pour accéder au contenu d'un volume : 1. Connexion du lecteur amovible. Si l'AutoPlay est désactivé, rien ne s'affiche. 2. Exécuter le raccourci-clavier WIN+E WIN étant la touche Windows située entre la touche Ctrl et Alt. Ce raccourci ouvre Explorer.exe avec les dossiers dans le panel gauche 3. NE PAS CLIQUER DANS LE PANEL DE DROITE 4. Dans le panel de gauche on peut cliquer sur la clé sans danger. Commentaires : Désactiver l'Autoplay n'est qu'une option, on peut très bien laisser l'Exécution automatique en marche. TweakUI apporte de la souplesse, noter qu'on peut arrêter l'Autoplay par type de lecteur, mais aussi par lettre de lecteur. La variable concernée est alors NoDriveAutoRun. Certains utilisateurs se plaignent qu'ils doivent attendre que l'AutoPlay ait fini d'analyser le contenu de leur disque dur externe. Cette opération est très rapide avec une clé, mais peut être longue avec un disque dur bien rempli. TweakUI et WIN+E apportent une solution pratique à cet ennui. On a vu comment il était possible de piéger l'utilisateur pour l'amener a exécuter un programme d'une clé USB à son insu, et ce malgré la protection de Windows XP. On va voir plus bas qu'il est possible de contourner par programme cette protection, rendant possible l'exécution d'une action automatiquement dès l'insertion d'une clé. On a également compris qu'un ordinateur infecté infecte à son tour les lecteurs amovibles. Il existe d'autres attaques possibles, tel USBDumper qui récupère automatiquement les données d'une clé connectée à un PC piégé. • Détourner l'Autorun.inf Cette méthode est particulièrement intéressante car elle inhibe les autorun.inf, désactivant ainsi l'Autorun indépendamment de l'AutoPlay. La technique utilisée est originale et fait appel aux mécanismes mis en place dans le Registre pour assurer la compatibilité avec les fichiers.INI tels que system.ini et win.ini; on déroute donc Autorun.inf en créant une clé du même nom dans IniFileMapping, complétée de paramètres qui empêcheront la lecture du contenu du fichier, et l'associeront à une clef du registre inexistante. Voici le contenu du fichier REG à télécharger et fusionner au Registre, inifilemapping-autorun-protectionactivee.reg : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" L'effet est immédiat et ne peut être levé sans redémarrage complet après suppression de la clé. Avantages : Nécessite le redémarrage pour lever la protection. Facile à appliquer et automatiser. La protection est globale (tous les comptes). Ne supprime pas l'AutoPlay (le contenu s'affiche toujours automatiquement dans une fenêtre). Inconvénients : Plus d'Autorun sur les CD également. La nécessité de redémarrer pour revenir à l'état normal peut être vécu comme une contrainte. Ne convient pas pour un Compte particulier. Il faudra garder à l'esprit cette manip peu connue si des utilisateurs se plaignent que l'Autorun ne fonctionne pas. Pour Vista on élargi encore les possibilités et les conséquences de l'utilisation de la clé IniFileMapping dans une très intéressante étude citée en référence ci-après. Sources : Administering the Windows NT Registry Windows NT Workstation Resource Kits : Chapter 26 - Initialization Files and the Registry Problems of Privilege: Find and Fix LUA Bugs : Use IniFileMapping The Dangers of Windows AutoRun Désactivation de la fonction autorun Pour revenir à l'état normal fusionner inifilemapping-autorun-suppression-de-la-clef.reg : REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] La clé est supprimée. Redémarrage complet nécessaire. Remerciements à VP pour avoir signalé cette possibilité de remapping des fichiers Autorun.inf • Désactiver totalement l'USB On pourra durcir un peu les PC ouverts au public en interdisant l'utilisation des prises USB. Désactiver pour cela le Service USBSTOR avec la commande sc config : sc config usbstor start= disabled Pour réactiver : sc config usbstor start= demand Ces commandes ont pour effet de modifier la valeur Start : HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR Start = 3 détection active Start = 4 détection inop Seconde solution : 1. Sauvegarder la clé USBSTOR 2. La supprimer totalement 3. Complément : KB823732 : Comment faire pour désactiver l'utilisation des dispositifs de stockage USB Cet article de la Knowledge Base Microsoft propose de compléter la disposition ci-dessus en mettant à Refuser l'autorisation d'accès à %systemroot%\inf\Usbstor.inf Le résultat étant qu'il devient alors difficile de réinstaller la fonctionnalité. Une clé USB 100% Autorun On a vu que Windows XP ne permet pas de démarrer directement le programme situé sur une clé USB ou un lecteur amovible, alors que c'est possible avec les CDROM. Il paraissait probable qu'un programme résident pouvait contourner cette limitation. Ce type de logiciel existe, en voici au moins un exemple : APO USB Autorun Trouvé ici : www.soswindows.net/usb www.libellules.ch/dotclear/index.php?category/Utilitaires/page/9 APO USB Autorun www.google.fr/search?q=APO+USB+Autorun APO USB Autorun installe un raccourci dans le dossier Démarrage. Il démarre donc avec Windows... L'icône du Systray permet divers paramétrages, dont le choix de la langue. L'auteur Arnaud Pons a stoppé le développement, le code est disponible : www.archidune.com www.archidune.com/index.php?id=6 Ceci ne démontre pas que le virus qui circule actuellement installe ce type de service. Si vos clés USB démarrent toutes seules c'est anormal, écrivez-moi votre témoignage m'intéresse. Autres articles en relation Changer la Lettre d'un Lecteur Amovible Déconnexion rapide des Périphériques de stockage de masse USB Liens AutoRun changes in Windows 7 http://blogs.msdn.com/e7/archive/2009/04/27/improvements-to-autoplay.aspx http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx Merci d'avoir lu jusqu'ici ! Retour au début