Désinfecter une clé USB ou un disque amovible

De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !

Ce sont donc des infections qui se propagent par supports amovibles : clés USB (cas le plus fréquent), disque dur externe, carte flash, ipod, lecteur MP3, appareil photo, etc...
Tout disque amovible inséré dans un ordinateur infecté sera infecté à son tour si l'infection est active. Autrement dit, l'infection se fera automatiquement par simple connexion si l'exécution automatique est activée pour les lecteurs amovibles.
Le simple fait d'ouvrir le poste de travail et de double-cliquer sur la clé usb/disque dur externe (ré)infectera le système d'exploitation ! La clé infectera à son tour un PC sain. Et ainsi de suite ...

Symptômes

• Le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.
• Si vous rendez visible les fichiers et dossiers cachés, vous vous rendrez compte que la clé contiendra plusieurs fichiers et processus inconnus et donc infectés ; ne surtout pas double-cliquer dessus pour les ouvrir car ils rendront active l'infection, si ce n'est déjà fait !
• L'élément clé pour que l'infection se propage automatiquement de clé en PC et de PC en clé est l'activation de fichier par l'autorun.inf, en faisant un double-clic pour accéder aux fichiers d'une clé !

Méthode de désinfection

Avant de passer l'un de ces outils, assurez-vous d'avoir fermé tous les programmes en cours d'exécution et connectez au PC tous les périphériques externes qui auraient pu être contaminés (disques durs externes, clé USB, iPod...), répétez l'opération de désinfection s'il y a plusieurs disques amovibles susceptibles d'avoir été infectés.

Flash_Disinfector

• Télécharger Flash_Disinfector (de sUBs) sur le Bureau :
  • http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
  • Note : Ce programme risque de déclencher une alerte de l'antivirus : si c'est le cas, il faut le désactiver temporairement, c'est une fausse alerte.
  • Double-cliquer sur Flash_Disinfector.exe pour le lancer.
  • Si la clé n'est pas introduite, il sera demandé de la connecter.
  • Quand le message : "Plug in your flash drive & clic Ok to begin disinfection" apparaîtra :
  • connecter les clés USB et/ou périphériques USB externes susceptibles d'avoir été infectés.
  • Puis cliquer sur Ok
  • Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: "Finish"
  • Appuyer ensuite sur "Ok", pour faire réapparaître le bureau.

RavAntivirus

• Télécharger RavAntivirus (d'Evosla) :
  • http://www.evosla.com/compteur.php?soft=rav_antivirus
  • Brancher les disques amovibles sans les ouvrir avant de lancer le Fix
  • Décompresser l'archive sur le bureau
  • Double-cliquer sur RAV.exe pour lancer l'outil
  • Une fois RAV ANTIVIRUS lancé, il scannera automatiquement tous les lecteurs susceptibles d'être infectés
  • S'il y a infection un rapport s'établira, sinon le logiciel affichera le message : « Votre Ordinateur est sain »
  • Retirer les disques amovibles et redémarrer l'ordinateur.

UsbFix : Option 1

/!\Pour les utilisateurs de Vista, désactiver l'UAC /!\
Cliquez ici pour avoir la procédure pour désactiver l'UAC

• Télécharger UsbFix (de C_XX & Chiquitine29) sur le Bureau.
• Lancer l'installation avec les paramètres par défaut.
• Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-cliquer sur le raccourci UsbFix sur le Bureau.

(Sous Vista, il faut cliquer sur le raccourci UsbFix et choisir "Exécuter en tant qu'administrateur")

• Choisir l'option 1 (Recherche).
• Laisser travailler l'outil.
• Poster le rapport UsbFix.txt sur le forum si vous avez créé un sujet sur le forum Virus/Sécurité.

Note :
Le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

UsbFix : Option 2

/!\ Avant de passer l'option 2, il est recommandé de demander conseil sur le forum Virus/Sécurité. /!\

• Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-cliquer sur le raccourci UsbFix présent sur le Bureau.

(Sous Vista, il faut cliquer sur le raccourci UsbFix et choisir "Exécuter en tant qu'administrateur")

• Choisir l'option 2 (Suppression).
• Le Bureau disparaîtra et le PC redémarrera.
• Au redémarrage, UsbFix scannera le PC, laisser travailler l'outil.
• Ensuite, poster le rapport UsbFix.txt qui apparaîtra avec le Bureau si vous avez créé un sujet.

Note :
Le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Autres outils

Voici trois autres outils que vous pouvez utiliser pour compléter la désinfection :

• L'outil Symantec : http://securityresponse.symantec.com/avcenter/FxRajump.exe
  • Sur le bureau, double-cliquer sur le fichier FxRajump.exe
  • Puis cliquer sur Start pour lancer le nettoyage.
  • En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
  • Le fichier FxRajump.log sera créé sur le bureau, avec le listing des suppressions de fichiers/clés registre.
• L'outil McAfee : http://vil.nai.com/VIL/stinger/
  • Cliquer sur "Download v3.x.x" pour télécharger le fichier, puis le lancer.
  • Si les lettres correspondant aux périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, les rajouter manuellement en se servant du bouton "Browse" pour les sélectionner.
  • Puis lancer le nettoyage en cliquant sur le bouton "Scan Now".
• L'outil Autorun Plasma : Télécharger Autorun Plasma
  • Télécharger le fichier ZIP
  • Placer son contenu à la racine de votre clé USB

Important : Tant que vous ne serez pas sûr(e) d'avoir éradiqué l'infection, n'ouvrez aucun des disques ou périphériques externes, sous peine de relancer l'infection !

Cas des ordinateurs en réseau

• Par exemple, le ver Rjump (AdobeR.exe, Ravmonlog...) en plus de se copier sur les périphériques externes, se propage aussi en utilisant les dossiers partagés sur les postes en réseau et ouvre une backdoor (= « porte dérobée ») en configurant à l'insu de la personne, une exception dans le pare-feu de Windows. Il y a donc de fortes chances pour que le ver se soit propagé dans les fichiers partages réseau.
• Si un PC est en réseau, il faut l'isoler du réseau et vérifier que les dossiers/disques partagés sont propres, ne pas les reconnecter tant que vous n'êtes pas sûr(e) que les autres machines sont propres ou désinfectées elles aussi, sinon vous risquez de voir l'infection se propager de nouveau !

Comment se prémunir au quotidien sur des PC publics ?

• La plupart des ordinateurs publics, et beaucoup d'ordinateurs privés sont touchés par des infections se transmettant par disques amovibles. Pour éviter ça, une précaution très simple à prendre est de vacciner vos disques amovibles.
• Il suffit de créer des répertoires portant le nom des fichiers infectieux les plus courants, et surtout des répertoires portant le nom autorun.inf pour bloquer le mécanisme de propagation de ce type d'infection. Une fois ces répertoires vérouillés en lecture seule, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc pas se propager ! (Merci à Gof pour cette astuce ;-) )
• Pour faire ces vaccinations, vous pouvez utiliser le programme suivant : VaccinUSB.exe. Il vous suffit de le lancer pour créer des répertoires de vaccination, et vous pourrez ensuite supprimer le fichier VaccinUSB.exe.

Cette astuce très pratique vous permettra de garder votre clé USB propre même en la connectant à un pc infecté !