Virus ... et j'suis pas venu parler d'un faux positif ;-)

[oulala6]

Bonjour,

Je commence par un petit constat : de plus en plus de lieux commerciaux propose une "option" cyber-café, un poste ou deux en libre accès pour les clients (c'est à la mode, plus "commercial" et ça attire du monde). Ça ne me choque pas, c'est juste dans l'air du temps, ils s'adaptent quoi...

C'est de plus en plus le cas pour des bars, des loueurs de vidéos, des fastfoods, des offices du tourismes, des stations services, des gites ... j'ai même vu ça chez un disquaires et dernièrement dans une boite de nuit (on m'y a trainer de force )

Le hic, c'est que ça n'est pas leur activité principale ... et la maintenance de ces postes est -comment dire- souvent négligée et plus ou moins sans aucune surveillance !
J'veux pas faire de généralité, mais ces ordi là sont souvent vérolés jusqu'à la moelle !!!

Vous vous demandez certainement pourquoi je viens parler de ça sur le forum framakey ... c'est pour faire une petite proposition :
Hier j'étais dans un de ces lieux, avec ma framakey sur moi, et l'inévitable c'est produit ... j'avais choppé un virus ! (presque rien rassurez-vous, mais merci de vous être inquiété )

Mon autorun.inf avait été modifié et un vbs ajouter à la racine de ma clef (en fichier caché évidemment)... je sais bien qu'il y a des millions de virus avec des fonctionnements différents, mais beaucoup de ceux qui peuvent toucher une framakey ont un point commun : La modification de l'autorun.inf (ça permet de lancer un script afin d'infecter les ordinateurs où vous insérerez vos périphériques USB par la suite).

[hors sujet : à ce propos, j'avais lu que windows seven bloquerait l'exécution automatique pour l'usb, gênant ainsi peut-être l'utilisation d'une framakey ... si quelqu'un peut m'éclairer là dessus ...]

Ma proposition serait d'avoir un petit soft qui avertirait d'une différence entre l'autorun de la clef et un autorun de référence (par exemple dans \Framakey\Autorun_sav.inf) et informerait l'utilisateur qu'"il faut regarder ça, remette son autorun et éventuellement qu'il fasse un scan de sa clef" ...
(il serait même intéressant qu'il vérifie l'absence de vbs à la racine de la clef, mais il faudrait que ça soit une option désactivable pour ceux qui n'ont pas une framakey standart et en ont mis...)

Je pense lier ce soft à la fermeture/éjection de ma clef ("waituntilterminated" avant ejectUSB dans le framalauncher) afin qu'à chaque fois que je quitte un ordi, j'ai l'assurance qu'il n'y a pas eu de modification à ce niveau là...

Seulement voilà, je ne sais pas faire ce soft ... alors si une bonne âme compétente en ce domaine pouvait m'aider .

(et si quelqu'un se penche là dessus, je pense qu'il faudrait l'intégrer à la framakey car la fréquence à laquelle je rencontre ce type chose et de lieux s'est beaucoup accrue durant cette année je trouve ... mais bon pour ça faudra l'accord d'autres personnes ...)

Voilà, je vous remercie par avance.

[pyg]

Je pense lier ce soft à la fermeture/éjection de ma clef ("waituntilterminated" avant ejectUSB dans le framalauncher) afin qu'à chaque fois que je quitte un ordi, j'ai l'assurance qu'il n'y a pas eu de modification à ce niveau là...

Ce n'est pas très compliqué/long à développer, effectivement.
J'essaie de mettre ça sur ma todo-list.

[oulala6]

Re,

Promis j'ai pas créer un second FramaCompte dans l'aprèm
Du coup je te propose que ce soft vérifie aussi la "non présence" d'exe (autre que start.exe et aussi wubi.exe,VirtualBox-installation.exe pour la FUR ) à la racine.

Merci de t'en occuper, je pense que ça sera un truc vraiment très utile ... même si j'ai bien conscience qu'il y a biens d'autres moyen de se faire infecter !
Mais bon, les exe, vbs et autorun.inf, représente un fort %age des infections pour les supports usb...alors ce serait déjà pas si mal...

Merci Pyg

[Invité]

En fait, pas d'autorun du tout. On ouvre la clé, on double clic sur le laucher et c'est ok.
Mon petit conseil pour ne plus avoir ces méchants petits vilains virus sur une clé ?

Après avoir vérifié la lettre de lecteur de la clé (poste de travail) tape les commandes suivantes dans une fenêtre dos (Invite de commande) :

Code: Tout sélectionner

x: (remplace x par la lettre de lecteur notée auparavant)
delete autorun.inf (au cas où il y en a un)
md autorun.inf (Création d'un répertoire avec le nom autorun.inf)
attrib +h +s +r autorun.inf (On lui donne les attributs hidden(caché), System(souvent caché par défaut) et Read-Only(pour ne pas permettre son effacement).

Et voila, un petit vaccin bien sympa. :p

[Vulcain]

Code: Tout sélectionner

x: (remplace x par la lettre de lecteur notée auparavant)
delete autorun.inf (au cas où il y en a un)
md autorun.inf (Création d'un répertoire avec le nom autorun.inf)
attrib +h +s +r autorun.inf (On lui donne les attributs hidden(caché), System(souvent caché par défaut) et Read-Only(pour ne pas permettre son effacement).

Et voila, un petit vaccin bien sympa. :p

Je suis un simple néophyte, mais il faut pas avoir sauvegarder l'autorun.inf original avant de faire cette manip ? Quand tu parle read-only, l'effacement n'est pas autorisé à l'administrateur? (non parce que beaucoup de windows sont en droit administrateur)

[Marnic]

[...]
C'est de plus en plus le cas pour des bars, des loueurs de vidéos, des fastfoods, des offices du tourismes, des stations services, des gites ... j'ai même vu ça chez un disquaires et dernièrement dans une boite de nuit (on m'y a trainer de force )
[...]

C'est plus les virus se trouvant sur le clavier et la souris qui m'inquiète dans ces lieux

[oulala6]

C'est plus les virus se trouvant sur le clavier et la souris qui m'inquiète dans ces lieux

J'suis relativement d'accord avec toi

Quand tu parle read-only, l'effacement n'est pas autorisé à l'administrateur? (non parce que beaucoup de windows sont en droit administrateur)

Oui, c'est bien ça le pb avec ce genre de lieux ... mon autorun était bel et bien en lecture seule...

C'est donc bien une vérification avant éjection (pour comparer) qui serait plus utile que cette manip (un peu barbare je trouve ...)

[Marnic]

Il me semble qu'en formatant la clé USB en NTFS il est possible de limiter l'accès en "lecture et exécution" pour "tous les utilisateur" ainsi que le groupe administrateur et en "contrôle total" pour son propre compte.

Il faut le faire que pour ces fichiers important sinon cela risque de planter ou gêner fortement l'utilisation des applications.

C'est beaucoup plus sur mais cela limite fortement les manip si on a pas son PC souvent à porté.

[oulala6]

Salut,

Oui restouble, je pense que ça doit marcher, mais t'avouera que c'est pas trop "Tata Janine approuved"
(au fait, Pyg, si elle existe vraiment faudrait que tu lui demandes si on peut utiliser son nom en copyleft )

C'est pour ça qu'une simple vérif de l'autorun et d'absence de VBS à la racine, qui avertirait l'utilisateur s'il y a un problème, ça serait plus pratique (enfin pour ce type de virus - car malheureusement bien y'a d'autres formes - mais actuellement ce type-là explose ...)

[pyg]

au fait, Pyg, si elle existe vraiment faudrait que tu lui demandes si on peut utiliser son nom en copyleft

HS : la véritable histoire de Tata Jeannine

En fait, j'en avais marre de parler de "Madame Michu" pour parler de l'utilisateur lambda, et comme j'avais déjà honteusement balancé ma soeur sur youtube, j'ai décidé de trouver une personne neutre. Alors, je brise le mystère : non, je n'ai pas de tata Jeannine, mais c'était le nom de donné à une nourrice de ma chtite soeur (encore elle). Je me suis dit qu'au moins, là, personne ne se sentirai véxé. J'ai googlé et à l'époque y avait quasiment pas de réponses.
Du coup, j'ai utilisé Tata Jeannine sur le framablog en 2008.

Depuis, le truc marrant, c'est qu'un groupe Facebook s'est créé (peut être et même probablement rien à voir avec "ma" tata jeannine) et qu'il carbure avec plus de 1000 membres (et des groupes anti Tata Jeannine)

fin du HS

C'est pour ça qu'une simple vérif de l'autorun et d'absence de VBS à la racine, qui avertirait l'utilisateur s'il y a un problème

C'est dans la Todo pour la 1.11