Sécurité : un ver qui cible les clés USB

Plusieurs experts en sécurité mettent en garde les utilisateurs quant à l'arrivée d'un nouveau ver/virus informatique nommé « SillyFD-AA ». Ce ver serait capable de s'installer dans les systèmes d'exploitation Windows et d'intégrer le message « Hacked By 1BYTE » dans Internet Explorer.
Comme à l'époque des disquettes, le ver se placerait automatiquement sur toutes les clés USB utilisées à partir d'un PC infecté. Associé à un fichier autorun.inf, SillyFD-AA serait ainsi capable de se propager simplement à partir d'une clé USB infectée dès lors qu'elle est connectée à un ou plusieurs PC. Certains experts recommandent de désactiver la fonction autorun (lancement automatique) de Windows pour éviter une infection automatisée. Une autre solution consiste à utiliser un antivirus à jour. Il est par ailleurs recommandé de placer le plus souvent possible le petit interrupteur des clés USB sur sa position lecture seule.
La clé USB, considérée comme la disquette du 21ème siècle risque d'être de plus en plus souvent utilisée comme vecteur de propagation par les virus / vers à venir. SillyFD-AA pourrait d'aileurs être décliné prochainement dans des variantes bien plus malicieuses.

Lire cette brève sur le site

:/

Vincent a écrit:
Certains experts recommandent de désactiver la fonction autorun (lancement automatique) de Windows pour éviter une infection automatisée.

Dans ce cas, si le ver cible les clés USB, cette manipulation n'est valable que pour XP SP2, au moins. Car je crois savoir que l'AutoRun n'a été implémenté pour les clés USB qu'à partir du SP2 de XP (à vérifier).

A part ajouter une petite ligne dans IE? il fait quoi ce virus ?
Si la réponse est "rien d'autre", cela n'est pas bien méchant mais à le mérite d'attirer l'attention sur un nouveau vecteur de propagation des virus. Si le virus s'en prend également au système, il serait bon de préciser quoi exactement.
D'autre part, y a-t-il, à part la désactivation de l'autorun, un patch permettant de combler la faille utilisée par ce virus ?

Je viens de nettoyer plusieurs postes ce matin, dans la barre de titre d'IE est indiqué "HAcked by GodZilla"
Meme systeme, fichier autorun à la racine du disque, et un fichier C:\WINDOWS\MS32DLL.dll.vbs. Jolie cochonnerie ^^

Titalium a écrit:
D'autre part, y a-t-il, à part la désactivation de l'autorun, un patch permettant de combler la faille utilisée par ce virus ?

Ce sera peut-être pour le prochain "Patch Tuesday" mensuel de Microsoft :neutre:
Mardi prochain ?

merci d'avoir prévenu

Je travaille dans un cybercafe et ca fait deja un bon moment que je le vois "hacked by godzilla" je pense que ce "nouveau" ver est basé sur l'ancien
pour l'enlever il faut :
ctrl+alt+suppr
fermer toutes les applications wscript.exe
il faut aller dans l'editeur de base de registre regedit
si jamais la base de registre a ete desactivée on peut la reactiver en utilisant le fichier suivant :
Regtools.vbs
Ensuite il faut chercher MS32DLL.dll.vbs et effacer la ligne qui sert a le relancer
pour finir il y a 2 fichiers a enlever sur chaque lecteur en faisant par exemple un .bat tel quel :
attrib -S -H -R MS32DLL.dll.vbs
attrib -S -H -R autorun.inf
del MS32DLL.dll.vbs
del autorun.inf
un petit reboot et c'est bon :)

Décidemment, les hackers ne savent plus quoi inventer. Que c'est triste de voir un outil aussi formidable que l'informatique et internet gâché par une poignée (de plus en plus importante) d'emmerdeurs qui sous prétexte de vouloir se faire deux ronds de pognons cherchent par tous les moyens la meilleure façon de pourrir la vie des gens.

Quel gâchis ...

tu vires l'execution automatique et bye bye :pfff:

Ce sois disant virus ne sais pas inferter des fichier physiquement bloqué en lecture seule :-)

Et je vais bien rigoler quand se ver va se bruler la gueule contre mon os, qui n'est rien d'autre qu'un liveCD placé dans un lecteur cdrom dont il est impossible d'aller modifier quoi que se soit sans mon accord :-)

Et puis franchement c'est pas con d'aller faire des backups de ces clefs usb ou de les placer en lecture seule ;-)

A bon entendeur salut ! :-)

Papillon_ a écrit:
Ce sois disant virus ne sais pas inferter des fichier physiquement bloqué en lecture seule :-)

Et je vais bien rigoler quand se ver va se bruler la gueule contre mon os, qui n'est rien d'autre qu'un liveCD placé dans un lecteur cdrom dont il est impossible d'aller modifier quoi que se soit sans mon accord :-)

Et puis franchement c'est pas con d'aller faire des backups de ces clefs usb ou de les placer en lecture seule ;-)

A bon entendeur salut ! :-)

Si tu tournes sur un liveCD, j'en conclue que tu tournes avec du Linux. Or ce vers ne s'attaque qu'à Windows, tu ne devrais pas le rencontrer donc.

arachnosoft a écrit:
:/
Dans ce cas, si le ver cible les clés USB, cette manipulation n'est valable que pour XP SP2, au moins. Car je crois savoir que l'AutoRun n'a été implémenté pour les clés USB qu'à partir du SP2 de XP (à vérifier).

Sous windows 2000 l'autorun d'une clé usb fonctionne, je me suis meme amusé à mettre une icone avec cette fonction...

normalement sous XP l'autorun ne se lance pas sur une clé USB, sauf clé U3 (émulation CDROM)

Αmour a écrit:
normalement sous XP l'autorun ne se lance pas sur une clé USB, sauf clé U3 (émulation CDROM)

Chez moi,ça se lance;au taff,aussi. :neutre:

Αmour a écrit:
normalement sous XP l'autorun ne se lance pas sur une clé USB, sauf clé U3 (émulation CDROM)

Hm.... meme la clé usb la plus pourrie au monde !
Y'a que les disquettes qui n'ont pas d'autorun !

Un disque dur, tu mets un autorun.inf, t'associes une icone et ca passe, comme un cd et une clé usb !

Mais a la base le virus on le reçoit par e-mail ?!

Imposeur a écrit:
Mais a la base le virus on le reçoit par e-mail ?!

Non, c'est le facteur qui te l'apporte par clef USB :lol:

En ce moment dans mon petit cercle de potes il y a un virus nommé ADOBER.exe qui traine avec un autorun aussi, ainsi q'une dll et encore je ne sais plus quoi.

Il se place a la racine des disques dur ou clé usb et se propage dès qu'un nouveau périphérique est connecté allant meme sur carte SD d'un appareil photo numérique connecté en UMS...Une vraie me***

Titalium a écrit:
A part ajouter une petite ligne dans IE? il fait quoi ce virus ?
Si la réponse est "rien d'autre", cela n'est pas bien méchant mais à le mérite d'attirer l'attention sur un nouveau vecteur de propagation des virus.  Si le virus s'en prend également au système, il serait bon de préciser quoi exactement.
D'autre part, y a-t-il, à part la désactivation de l'autorun, un patch permettant de combler la faille utilisée par ce virus ?

A ce que je lis il n'y a aucune faille à corriger. C'est une fonctionnalité qui est détournée: l'autorun. De même que les virus sur disquette utilisaient l'"autorun" de l'époque (secteur de boot de la disquette), là c'est une version plus évoluer qui est touchée et ce risque n'est pas nouveau.
La seule parade 100% efficace c'est la désactivation de l'autorun (moi ça ne me gène pas). L'antivirus sera utile quand même pour détecter/nettoyer et éviter de balader un support vérolé...

Ce virus n'est qu'une simple démonstration technologique. Ca met en évidence un risque qui est là depuis longtemps. Celui-ci n'est pas dangereux, mais des variantes pourraient faire bien plus de dégâts.

y-at'il moyen de configurer un disque dur externe formaté en ntfs en lecture seule?