Comment supprimer le virus des raccourcis USB

Une vague d’infections règne actuellement, énormément d’ordinateurs sont touchés en France et à l’étranger.
Le laboratoire d’analyse virale de l’éditeur Antivirus Bitdefender (partenaire de SosVirus et de UsbFix) a testé cette infection.
Cette infection à plusieures dénominations suivant l’antivirus utilisé mais généralement on lui donne les doux noms de Houdini, Dinihou.

Voici quelques exemples de détection des principaux antivirus du marché :

Comment Supprimer ?

L’infection :

Le vecteur de propagation se présente sous la forme d’un périphérique de stockage Usb.
(Clé Usb, Disque dur externe mais aussi les téléphones portable & Appareil Photo via leurs cartes mémoires etc..).
A l’insertion du périphérique contaminé, le contenu visible coté utilisateur est tout à fait classique,
pour exemple voici une capture d’une clé USB infectée contenant deux photos et un MP3 :

infection des raccourcis

Ci-dessous le contenu réel de la clé usb caché à l’utilisateur :

Notez que sur les fichiers de droite (Ceux que vous voyez si le support est infecté), il y a la présence d’une flèche qui stipule que le fichier est un raccourci, ceci peut être un indice d’infection …

infection des raccourcis

Le principe de l’infection est le suivant :

En 1 se trouvent les raccourcis piégés qui sont visibles coté utilisateur et faisant penser (voir plus haut) qu’il s’agit là des vrais fichiers.
Cependant il n’en n’est rien et ces raccourcis vont une fois exécutés, lancer le malware (en 2) puis ouvrir le fichier original (en 3) qui est caché à l’utilisateur :

infection des raccourcis
Ceci permettra de dissimuler son action.
(Vous aurez l’impression d’avoir lancé le fichier désiré et vous ne vous apercevrez donc pas du lancement du malware quelques millisecondes auparavant).
infection des raccourcis

Détails du malware :

Le fichier malware est un VBS (Microsoft Visual Basic Scripting Edition), ce type de script est couramment utilisé par les administrateurs systèmes et réseaux pour faire des « applications » légères et ainsi automatiser certaines actions.

Dans le cas étudié ici, le malware est encapsulé sous plusieurs formes d’encodage laissant penser à un système de poupées russes,
cela dans l’objectif de se camoufler, c’est à dire de compliquer la tâche de détection des Antivirus :

infection des raccourcis

Une fois décodé en mémoire le malware commence alors diverses actions :

  • Il crée une copie de son code dans les fichiers temporaires :
infection des raccourcis
  • Ainsi que dans le dossier « Démarrage » de Windows :
infection des raccourcis
  • Il se rend persistant via l’ajout de 2 clés registres lui permettant de se lancer au redémarrage de l’ordinateur :
    (De lancer la copie situé dans le dossier temporaire de Windows)
infection des raccourcis
  • Il part ensuite à la recherche de tous les périphériques amovibles afin de les parasiter pour en faire de nouveaux supports de propagation :
infection des raccourcis

Du coté du cybercriminel :

Le malware se connecte à son serveur C&C en lui spécifiant certaines informations :

  • Le hwid (numéro unique basé sur un ou plusieurs composants, ici il s’agit du numéro de série des disques)
  • Le nom de l’ordinateur
  • Le nom de la session
  • Le système d’exploitation
  • La marque de l’éventuel antivirus qui serait installé

Le serveur pirate pourra répondre à l’ordinateur victime, plusieurs scénarios d’ordres sont possibles
(à l’initiative automatique ou manuelle du pirate) :

infection des raccourcis

Il sera donc ainsi possible au pirate d’intervenir pour faire ce qu’il désire sur le poste victime :

  • Voler des données.
  • Mettre à jour le malware.
  • En installer d’autres.
  • L’autodétruire.
  • Etc …

Au delà du code :

Le code VBS intégré à ce malware est réutilisé, enrichi et personnalisé par certains cybercriminels.
Voici d’ailleurs le type d’annonce « Pub » qui en est faite :

infection des raccourcis

Voici ci-dessous une capture d’une console d’administration dédiée à ce type de malware
(Ce que voit le cybercriminel sur son écran) :

infection des raccourcis

Celle-ci a été codée en Delphi et de manière à permettre au pirate de simplifier les tâches d’administration de base :

infection des raccourcis

Ici c’est le cas et même si le code est d’une relative simplicité, il peut se suffire à lui-même pour corrompre la sécurité d’une organisation toute entière.
Cette manière de s’infiltrer directement ou indirectement par rebond permet d’accéder à un large spectre de personnes pour récupérer diverses informations personnelles comme confidentielles afin de préparer des stratégies et commanditer des attaques :

infection des raccourcis

Afin d’éviter que ces cybercriminels arrivent a créer un réseau Botnet via les postes victimes,
nous nous efforçons de signaler les serveurs pirates utilisés aux autorités compétentes.
Plusieurs de ces serveurs ont déjà été fermés et cela pas sans peine.

Se désinfecter et se protéger :

supprimer infection des raccourcis

UsbFix supprime cette infection et ses variantes

Reportez vous au tutoriel pour son utilisation.

  • Téléchargez UsbFix
  • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
  • Choisissez l’option Nettoyage.

UsbFix en action contre l’infection des raccourcis :

En savoir plus sur les infections USB :

Soutenir UsbFix

Notez cet article !

1 Star2 Stars3 Stars4 Stars5 Stars
(17 votes, 4,06 / 5)
Loading...
2017-01-18T13:09:52+00:00

2 Comments

  1. […] Infection Dinihou, appelée aussi infection des raccourcis USB. […]

  2. […] l’instar de l’infection Houdini, Bondat ce propage sur les supports USB et se dissimule grâce à des raccourcis […]

Leave A Comment

0
0
Lire les articles précédents :
Mise à jour UsbFix 7.177 – Changelog

Fermer