On ne peut plus s’en passer, c’est si pratique!
Les clés USB sont omniprésentes pour les échanges dans les entreprises; les prestataires informatiques en usent aussi largement pour installer leurs mises à jours applicatives, patches et autres drivers…
Ces clés voient parfois des dizaines d’entreprises différentes, des centaines de postes en toute impunité.
Je vais être parano mais: cela met en péril l’informatique de ces entreprises (et le peu de crédibilité qui restaient aux prestataires).
Pourquoi et comment avec ce petit exemple (vrai)
Actuellement, mon métiers fait que j’interviens dans les entreprises pour réaliser la « connexion informatique » de copieurs multifonctions. Cela nécessite d’installer des pilotes (PCL, PS, PC-fax), certaines applications (de communications, serveurs FTP, …). Comme tout le monde j’ai une batterie de clés USB pour cela.
Aujourd’hui, j’ai remarqué une chose qui m’a amusé une bonne heure: sur l’une de ces clés, il y avait deux fichiers: autorun.inf et printer.exe
Ces deux fichiers à priori anodins, ne font pas partie de « mes » fichiers, je les ai donc supprimé sans chercher plus loin.
Sauf que… ils réapparaissaient systématiquement! Idem en les renommant…ou en formattant ma clé! (Yes! enfin un peu de sport!)
Je regarde les processus actifs et je repère un truc qui s’appelle cftmons.exe lancé par l’utilisateur (un processus légitime s’appelle ctfmon.exe).Je stoppe le processus et me lance dans le registre.
Dans HKCU/Software/…/run je trouve un appel étrange à mssql.exe. Comme pour mes 2 fichiers, il ne veux pas être supprimer… (pour l’anecdote: même si les propriétés laissent croire à un fichier de chez Microsoft, la langue d’origine chinoise trahit le malware).
J’ai arrêté là mon petit bricolage et j’ai lancé un scan complet ma machine….
Je ne vais pas m’étendre sur le fait que le moniteur temps réel de mon AV n’a rien vu… Après tout, celui des clients où cette clé est passée non plus!
Je rassure aussi mes lecteurs: je vérifie mes clés USB tous les jours. De plus, j ‘ai plusieurs clés (avec les même choses) c’est aussi pour éviter de propager les infections glaner ça et là.
La morale de cette histoire est double:
– Les entreprises font généralement trop confiance aux clés USB (cela rappellera des souvenirs à une grande entreprise du coin)
– les prestataires devraient être irréprochable sur la « propreté » de leurs lecteurs et autres médias amovibles.
« Je ne vais pas m’étendre sur le fait que le moniteur temps réel de mon AV n’a rien vu… Après tout, celui des clients où cette clé est passée non plus! »
S’agit il de Kaspersky ?
Non je suis passé sur KIS2010, lui fonctionne très bien et à bien vu le probléme…
Je parlais de mon AV au boulot (je n’ecris pas « pro » et ce n’est pas un hasard)
« (je n’ecris pas « pro » et ce n’est pas un hasard) »
Humm, je voie … 😉
Ca m’est arrivé assez de fois pour vous donner la parade: en effaçant ce fichier, il se reconstitue automatiquement pour créer une porte d’entrée au(x) virus; pour le contrer, il suffit de créer un fichier autorun.inf en lecture seul à partir du bloc-notes. Ce fichier vide empéchera le ver de se reconstituer et d’infester votre machine, votre carnet d’adresse, vos disques externes lecteurs MP3, etc..
Merci pour cette « astuce »!
Mon post date un peu et même si la prudence reste primordiale, les Antivirus (et les systèmes) ont fait de réels progrès.
Je vais tester ça asap!