Retour au site

Sécurité : un ver qui cible les clés USB

Publiée par Vincent Ramarques le Lundi 7 Mai 2007

Brève Sécurité

Envoyer par mail

Commenter

Plusieurs experts en sécurité mettent en garde les utilisateurs quant à l'arrivée d'un nouveau ver/virus informatique nommé « SillyFD-AA ». Ce ver serait capable de s'installer dans les systèmes d'exploitation Windows et d'intégrer le message « Hacked By 1BYTE » dans Internet Explorer.

Comme à l'époque des disquettes, le ver se placerait automatiquement sur toutes les Clés USB utilisées à partir d'un PC infecté. Associé à un fichier AutoRun.inf, SillyFD-AA serait ainsi capable de se propager simplement à partir d'une clé USB infectée dès lors qu'elle est connectée à un ou plusieurs PC. Certains experts recommandent de désactiver la fonction autorun (lancement automatique) de Windows pour éviter une infection automatisée. Une autre solution consiste à utiliser un antivirus à jour. Il est par ailleurs recommandé de placer le plus souvent possible le petit interrupteur des clés USB sur sa position lecture seule.

La clé USB, considérée comme la disquette du 21ème siècle risque d'être de plus en plus souvent utilisée comme vecteur de propagation par les virus / vers à venir. SillyFD-AA pourrait d'aileurs être décliné prochainement dans des variantes bien plus malicieuses.

Améliorez votre client mail avec la logithèque

Pas de Netscape 9, mais un Netscape Navigator 9

A voir aussi

Sécurité : Storm Worm chronique d'un ver à succès

Sécurité : le site Voyages-SNCF victime du Phishing

Sécurité : fausse alerte pour le virus dans Nero

Sécurité : des virus sur Myspace et Skype

Plusieurs mises à jour de sécurité Microsoft

Pas de mise à jour de sécurité Microsoft pour mars

Microsoft publie son bulletin de sécurité d'avril

Mac OS X : Apple bouche 25 trous de sécurité

Soldes informatique 2009

A voir sur le forum

Disque Sata 640 G° lecture USB

Je cherche un Pilote USB

Depannage d un vieux portable avec windows me installé

Installation USB (périphérique de stockage de masse): Accès refusé

Pb avec ma cle usb - un grand pb

Incompatibilité de matériel avec Windows Vista

Plus de controleurs de bus USB - Gros problème :S

Usb haut debit

Windows XP, Bios, Drivers, Carte Mère

Les Commentaires des lecteurs

Continuer sur le forum

32 messages

arachnosoft

le 07 Mai 07 à 09h56

Edition

Vincent a écrit:
Certains experts recommandent de désactiver la fonction autorun (lancement automatique) de Windows pour éviter une infection automatisée.

Dans ce cas, si le ver cible les clés USB, cette manipulation n'est valable que pour XP SP2, au moins. Car je crois savoir que l'AutoRun n'a été implémenté pour les clés USB qu'à partir du SP2 de XP (à vérifier).

Titalium

le 07 Mai 07 à 10h02

Edition

A part ajouter une petite ligne dans IE? il fait quoi ce virus ?
Si la réponse est "rien d'autre", cela n'est pas bien méchant mais à le mérite d'attirer l'attention sur un nouveau vecteur de propagation des virus. Si le virus s'en prend également au système, il serait bon de préciser quoi exactement.
D'autre part, y a-t-il, à part la désactivation de l'autorun, un patch permettant de combler la faille utilisée par ce virus ?

galaadol

le 07 Mai 07 à 10h02

Edition

Je viens de nettoyer plusieurs postes ce matin, dans la barre de titre d'IE est indiqué "HAcked by GodZilla"
Meme systeme, fichier autorun à la racine du disque, et un fichier C:\WINDOWS\MS32DLL.dll.vbs. Jolie cochonnerie ^^

arachnosoft

le 07 Mai 07 à 10h05

Edition

Titalium a écrit:
D'autre part, y a-t-il, à part la désactivation de l'autorun, un patch permettant de combler la faille utilisée par ce virus ?

Ce sera peut-être pour le prochain "Patch Tuesday" mensuel de Microsoft :neutre:
Mardi prochain ?

Ov3rSoul

le 07 Mai 07 à 10h18

Edition

merci d'avoir prévenu

Usedefault

le 07 Mai 07 à 10h29

Edition

Je travaille dans un cybercafe et ca fait deja un bon moment que je le vois "hacked by godzilla" je pense que ce "nouveau" ver est basé sur l'ancien
pour l'enlever il faut :
ctrl+alt+suppr
fermer toutes les applications wscript.exe
il faut aller dans l'editeur de base de registre regedit
si jamais la base de registre a ete desactivée on peut la reactiver en utilisant le fichier suivant :
Regtools.vbs
Ensuite il faut chercher MS32DLL.dll.vbs et effacer la ligne qui sert a le relancer
pour finir il y a 2 fichiers a enlever sur chaque lecteur en faisant par exemple un .bat tel quel :
attrib -S -H -R MS32DLL.dll.vbs
attrib -S -H -R autorun.inf
del MS32DLL.dll.vbs
del autorun.inf
un petit reboot et c'est bon :)

marin69

le 07 Mai 07 à 10h31

Edition

Décidemment, les hackers ne savent plus quoi inventer. Que c'est triste de voir un outil aussi formidable que l'informatique et internet gâché par une poignée (de plus en plus importante) d'emmerdeurs qui sous prétexte de vouloir se faire deux ronds de pognons cherchent par tous les moyens la meilleure façon de pourrir la vie des gens.

Quel gâchis ...

lekillerderpg

le 07 Mai 07 à 10h32

Edition

tu vires l'execution automatique et bye bye :pfff:

Papillon_

le 07 Mai 07 à 10h39

Edition

Ce sois disant virus ne sais pas inferter des fichier physiquement bloqué en lecture seule :-)

Et je vais bien rigoler quand se ver va se bruler la gueule contre mon os, qui n'est rien d'autre qu'un liveCD placé dans un lecteur cdrom dont il est impossible d'aller modifier quoi que se soit sans mon accord :-)

Et puis franchement c'est pas con d'aller faire des backups de ces clefs usb ou de les placer en lecture seule ;-)

A bon entendeur salut ! :-)

Titalium

le 07 Mai 07 à 11h05

Edition

Papillon_ a écrit:
Ce sois disant virus ne sais pas inferter des fichier physiquement bloqué en lecture seule :-)

Et je vais bien rigoler quand se ver va se bruler la gueule contre mon os, qui n'est rien d'autre qu'un liveCD placé dans un lecteur cdrom dont il est impossible d'aller modifier quoi que se soit sans mon accord :-)

Et puis franchement c'est pas con d'aller faire des backups de ces clefs usb ou de les placer en lecture seule ;-)

A bon entendeur salut ! :-)

Si tu tournes sur un liveCD, j'en conclue que tu tournes avec du Linux. Or ce vers ne s'attaque qu'à Windows, tu ne devrais pas le rencontrer donc.

Corentin1386

le 07 Mai 07 à 11h30

Edition

arachnosoft a écrit:
:/
Dans ce cas, si le ver cible les clés USB, cette manipulation n'est valable que pour XP SP2, au moins. Car je crois savoir que l'AutoRun n'a été implémenté pour les clés USB qu'à partir du SP2 de XP (à vérifier).

Sous windows 2000 l'autorun d'une clé usb fonctionne, je me suis meme amusé à mettre une icone avec cette fonction...

Αmour

le 07 Mai 07 à 11h48

Edition

normalement sous XP l'autorun ne se lance pas sur une clé USB, sauf clé U3 (émulation CDROM)

hisvin

le 07 Mai 07 à 11h50

Edition

Αmour a écrit:
normalement sous XP l'autorun ne se lance pas sur une clé USB, sauf clé U3 (émulation CDROM)

Chez moi,ça se lance;au taff,aussi. :neutre:

Corentin1386

le 07 Mai 07 à 11h54

Edition

Αmour a écrit:
normalement sous XP l'autorun ne se lance pas sur une clé USB, sauf clé U3 (émulation CDROM)

Hm.... meme la clé usb la plus pourrie au monde !
Y'a que les disquettes qui n'ont pas d'autorun !

Un disque dur, tu mets un autorun.inf, t'associes une icone et ca passe, comme un cd et une clé usb !

Imposeur

le 07 Mai 07 à 12h00

Edition

Mais a la base le virus on le reçoit par e-mail ?!

nikona24

le 07 Mai 07 à 13h32

Edition

Imposeur a écrit:
Mais a la base le virus on le reçoit par e-mail ?!

Non, c'est le facteur qui te l'apporte par clef USB :lol:

nikkoneo

le 07 Mai 07 à 13h32

Edition

En ce moment dans mon petit cercle de potes il y a un virus nommé ADOBER.exe qui traine avec un autorun aussi, ainsi q'une dll et encore je ne sais plus quoi.

Il se place a la racine des disques dur ou clé usb et se propage dès qu'un nouveau périphérique est connecté allant meme sur carte SD d'un appareil photo numérique connecté en UMS...Une vraie me***

Fury34

le 07 Mai 07 à 14h05

Edition

Titalium a écrit:
A part ajouter une petite ligne dans IE? il fait quoi ce virus ?
Si la réponse est "rien d'autre", cela n'est pas bien méchant mais à le mérite d'attirer l'attention sur un nouveau vecteur de propagation des virus. Si le virus s'en prend également au système, il serait bon de préciser quoi exactement.
D'autre part, y a-t-il, à part la désactivation de l'autorun, un patch permettant de combler la faille utilisée par ce virus ?

A ce que je lis il n'y a aucune faille à corriger. C'est une fonctionnalité qui est détournée: l'autorun. De même que les virus sur disquette utilisaient l'"autorun" de l'époque (secteur de boot de la disquette), là c'est une version plus évoluer qui est touchée et ce risque n'est pas nouveau.
La seule parade 100% efficace c'est la désactivation de l'autorun (moi ça ne me gène pas). L'antivirus sera utile quand même pour détecter/nettoyer et éviter de balader un support vérolé...

Ce virus n'est qu'une simple démonstration technologique. Ca met en évidence un risque qui est là depuis longtemps. Celui-ci n'est pas dangereux, mais des variantes pourraient faire bien plus de dégâts.

Ventilator

le 07 Mai 07 à 14h09

Edition

y-at'il moyen de configurer un disque dur externe formaté en ntfs en lecture seule?

Continuer sur le forum

32 messages

Retour en haut de page

Glossaire High-Tech : # A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Accès rapide : Ordinateur portable- Windows 7- Antivirus gratuit- Carte graphique- Appareil photo numérique- Télécharger logiciel gratuit- Télécharger jeu pc gratuit Dépannage informatique-