Comment supprimer le virus des raccourcis USB

Une vague d’infections règne actuellement, énormément d’ordinateurs sont touchés en France et à l’étranger.
Le laboratoire d’analyse virale de l’éditeur Antivirus Bitdefender (partenaire de SosVirus et de UsbFix) a testé cette infection.
Cette infection à plusieures dénominations suivant l’antivirus utilisé mais généralement on lui donne les doux noms de Houdini, Dinihou.

[fusion_builder_container hundred_percent= »yes » overflow= »visible » margin_top= »40″ margin_bottom= » » background_color= »rgba(255,255,255,0) »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_separator style= »shadow »/]

[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container][fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_title size= »3″]Voici quelques exemples de détection des principaux antivirus du marché : [/fusion_title]

[fusion_separator top= »20″ style= »none »/]

[/fusion_builder_column][fusion_builder_column type= »1_2″ last= »no » class= » » id= » »]
[fusion_checklist icon= »star » iconcolor= »dark » circle= »yes »]

[/fusion_checklist]
[/fusion_builder_column]
[fusion_builder_column type= »1_2″ last= »yes » class= » » id= » »]
[fusion_separator top= »10″ style= »none »/]
[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] Comment Supprimer ? [/fusion_imageframe]
[/fusion_builder_column]

[fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_separator top= »40″ style= »shadow »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_title size= »3″]L’infection :[/fusion_title]

[fusion_separator top= »20″ style= »none »/]

Le vecteur de propagation se présente sous la forme d’un périphérique de stockage Usb.
(Clé Usb, Disque dur externe mais aussi les téléphones portable & Appareil Photo via leurs cartes mémoires etc..).
A l’insertion du périphérique contaminé, le contenu visible coté utilisateur est tout à fait classique,
pour exemple voici une capture d’une clé USB infectée contenant deux photos et un MP3 :

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

Ci-dessous le contenu réel de la clé usb caché à l’utilisateur :

Notez que sur les fichiers de droite (Ceux que vous voyez si le support est infecté), il y a la présence d’une flèche qui stipule que le fichier est un raccourci, ceci peut être un indice d’infection …

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »40″ style= »shadow »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_title size= »3″]Le principe de l’infection est le suivant :[/fusion_title]

[fusion_separator top= »20″ style= »none »/]

En 1 se trouvent les raccourcis piégés qui sont visibles coté utilisateur et faisant penser (voir plus haut) qu’il s’agit là des vrais fichiers.
Cependant il n’en n’est rien et ces raccourcis vont une fois exécutés, lancer le malware (en 2) puis ouvrir le fichier original (en 3) qui est caché à l’utilisateur :

[fusion_separator top= »20″ style= »none »/]

[/fusion_builder_column][fusion_builder_column type= »1_2″ last= »no »]
[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]
[/fusion_builder_column]
[fusion_builder_column type= »1_2″ last= »yes »]
Ceci permettra de dissimuler son action.
(Vous aurez l’impression d’avoir lancé le fichier désiré et vous ne vous apercevrez donc pas du lancement du malware quelques millisecondes auparavant).
[fusion_separator top= »10″ style= »none »/]
[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]
[/fusion_builder_column]

[fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_separator top= »40″ style= »shadow »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_title size= »3″]Détails du malware :[/fusion_title]

[fusion_separator top= »20″ style= »none »/]

Le fichier malware est un VBS (Microsoft Visual Basic Scripting Edition), ce type de script est couramment utilisé par les administrateurs systèmes et réseaux pour faire des « applications » légères et ainsi automatiser certaines actions.

Dans le cas étudié ici, le malware est encapsulé sous plusieurs formes d’encodage laissant penser à un système de poupées russes,
cela dans l’objectif de se camoufler, c’est à dire de compliquer la tâche de détection des Antivirus :

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

Une fois décodé en mémoire le malware commence alors diverses actions :

[fusion_separator top= »20″ style= »none »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_checklist icon= »arrow » iconcolor= »dark » circle= »yes »]

  • Il crée une copie de son code dans les fichiers temporaires :

[/fusion_checklist]

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_checklist icon= »arrow » iconcolor= »dark » circle= »yes »]

  • Ainsi que dans le dossier « Démarrage » de Windows :

[/fusion_checklist]

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_checklist icon= »arrow » iconcolor= »dark » circle= »yes »]

  • Il se rend persistant via l’ajout de 2 clés registres lui permettant de se lancer au redémarrage de l’ordinateur :
    (De lancer la copie situé dans le dossier temporaire de Windows)

[/fusion_checklist]

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_checklist icon= »arrow » iconcolor= »dark » circle= »yes »]

  • Il part ensuite à la recherche de tous les périphériques amovibles afin de les parasiter pour en faire de nouveaux supports de propagation :

[/fusion_checklist]

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »40″ style= »shadow »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_title size= »3″]Du coté du cybercriminel :[/fusion_title]

[fusion_separator top= »20″ style= »none »/]

Le malware se connecte à son serveur C&C en lui spécifiant certaines informations :

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_checklist icon= »arrow » iconcolor= »dark » circle= »yes »]

  • Le hwid (numéro unique basé sur un ou plusieurs composants, ici il s’agit du numéro de série des disques)
  • Le nom de l’ordinateur
  • Le nom de la session
  • Le système d’exploitation
  • La marque de l’éventuel antivirus qui serait installé

[/fusion_checklist]

[fusion_separator top= »20″ style= »none »/]

Le serveur pirate pourra répondre à l’ordinateur victime, plusieurs scénarios d’ordres sont possibles
(à l’initiative automatique ou manuelle du pirate) :

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

Il sera donc ainsi possible au pirate d’intervenir pour faire ce qu’il désire sur le poste victime :

[fusion_separator top= »20″ style= »none »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_checklist icon= »arrow » iconcolor= »dark » circle= »yes »]

  • Voler des données.
  • Mettre à jour le malware.
  • En installer d’autres.
  • L’autodétruire.
  • Etc …

[/fusion_checklist]

[fusion_separator top= »40″ style= »shadow »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_title size= »3″]Au delà du code :[/fusion_title]

[fusion_separator top= »20″ style= »none »/]

Le code VBS intégré à ce malware est réutilisé, enrichi et personnalisé par certains cybercriminels.
Voici d’ailleurs le type d’annonce « Pub » qui en est faite :

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

Voici ci-dessous une capture d’une console d’administration dédiée à ce type de malware
(Ce que voit le cybercriminel sur son écran) :

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

Celle-ci a été codée en Delphi et de manière à permettre au pirate de simplifier les tâches d’administration de base :

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

Ici c’est le cas et même si le code est d’une relative simplicité, il peut se suffire à lui-même pour corrompre la sécurité d’une organisation toute entière.
Cette manière de s’infiltrer directement ou indirectement par rebond permet d’accéder à un large spectre de personnes pour récupérer diverses informations personnelles comme confidentielles afin de préparer des stratégies et commanditer des attaques :

[fusion_separator top= »20″ style= »none »/]

[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] infection des raccourcis [/fusion_imageframe]

[fusion_separator top= »20″ style= »none »/]

Afin d’éviter que ces cybercriminels arrivent a créer un réseau Botnet via les postes victimes,
nous nous efforçons de signaler les serveurs pirates utilisés aux autorités compétentes.
Plusieurs de ces serveurs ont déjà été fermés et cela pas sans peine.

[fusion_separator top= »40″ style= »shadow »/]

[/fusion_builder_column][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_title size= »3″]Se désinfecter et se protéger :[/fusion_title]

[fusion_separator top= »20″ style= »none »/]

[/fusion_builder_column][fusion_builder_column type= »1_2″ last= »no »]
[fusion_imageframe style= »bottomshadow » lightbox= »yes » bordercolor= »#d1d1d1″ bordersize= »0px » stylecolor= »#ffffff » align= »center »] supprimer infection des raccourcis [/fusion_imageframe]
[/fusion_builder_column]

[fusion_builder_column type= »1_2″ last= »yes »]
[fusion_separator top= »15″ style= »none »/]

UsbFix supprime cette infection et ses variantes

Reportez vous au tutoriel pour son utilisation.

[fusion_checklist icon= »star » iconcolor= »dark » circle= »yes »]

  • Téléchargez UsbFix
  • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
  • Choisissez l’option Nettoyage.
  • Lire la suite …

[/fusion_checklist]

[fusion_separator top= »10″ style= »none »/]

UsbFix en action contre l’infection des raccourcis :

[fusion_separator top= »10″ style= »none »/]

[fusion_youtube id= »vUZYYASd7FE » width= »500″ height= »350″ autoplay= »no » api_params= » » class= » »/]

[fusion_separator top= »10″ style= »none »/]

En savoir plus sur les infections USB :

[fusion_separator top= »10″ style= »none »/]

[fusion_checklist icon= »star » iconcolor= »dark » circle= »yes »]

[/fusion_checklist]
[/fusion_builder_column]

[fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_separator style_type= »shadow » top_margin= »40″ bottom_margin= »40″ sep_color= » » icon= » » width= » » class= » » id= » »/]

[/fusion_builder_column][fusion_builder_column type= »1_2″ last= »no » class= » » id= » »][fusion_text]

[/fusion_text][fusion_title size= »3″ content_align= »left » style_type= » » sep_color= » » class= » » id= » »]Soutenir UsbFix[/fusion_title][fusion_text][sdonations]1[/sdonations]

[/fusion_text][/fusion_builder_column][fusion_builder_column type= »1_2″ last= »yes » class= » » id= » »][fusion_title size= »3″ content_align= »left » style_type= » » sep_color= » » class= » » id= » »]Notez cet article ![/fusion_title][fusion_separator style_type= »none » top_margin= »20″ bottom_margin= » » sep_color= » » icon= » » width= » » class= » » id= » »/][fusion_text][ratings][/fusion_text][/fusion_builder_column]
[fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][fusion_separator top= »40″ style= »none »/][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]

Laisser un commentaire

Panier
Retour en haut