dimanche 19 mai 2013

securiser-cle-usb


Nous allons voir  quelques-unes des fausses idées  et des méthodes de désinfection et de prévention de l'infection des cles usb, en particulier sur les logiciels malveillants autorun.

Mythe: Le fichier autorun.inf est un virus.

Vérité: Le fichier autorun.inf est un fichier système utilisé par Windows pour automatiser les tâches courantes impliquant des supports externes. Techniquement, ce n'est pas un virus et il n'était pas destiné à être une menace. Qu'est-ce que c'est, cependant, est une vulnérabilité exploitée par des virus ainsi que lors de la fixation d'un clé USB, lance immédiatement le virus, ce qui lui permet d'infecter l'ordinateur hôte.

Prévention: La meilleure méthode pour prévenir une infection del'autorun.inf est d'annuler cette option. Windows 7 n'utilise pas automatiquement le fichier autorun.inf qui est bon. Pour les autres, vous pouvez utiliser l'utilitaire gratuit Panda USB Vaccine. Pour les ordinateurs personnels, vous pouvez simplement choisir de désactiver la fonction AutoRun (google).

DIY: Vous pouvez retirer protéger Autoruns à la fois dans les clés USB et Windows manuellement. Toutefois, cela nécessite l'utilisation de l'invite de commande. Pour ce faire, il suffit de:
1. Fenêtres Press + r. La boîte de dialogue "Exécuter" devrait apparaître.
2. Entrée dans le champ "cmd" sans les guillemets.
L'invite de commande devrait apparaître (une fenêtre avec un fond noir. Un peu comme celui que vous voyez être utilisé par des pirates dans les films).
3. Accédez au fichier autorun.inf. On le trouve habituellement dans le lecteur système principal et le répertoire racine de la clé USB (pour le localiser manuellement, allez dans Outils> Options> Sous l'onglet Affichage, décochez Masquer les fichiers protégés du système, puis cocher Afficher les fichiers et dossiers cachés> Appliquer puis sur OK . maintenant chercher).
4. Maintenant, supprimez le fichier autorun.inf. Tapez "attrib-s-h-r autorun.inf" et appuyez sur Entrée. Le fichier doit être maintenant visible. Vous pouvez sauter cette étape comme dans la plupart des ordinateurs, ce n'est pas nécessaire. Toutefois, elle assure la supression du fichier.
5. Puis entrée "del autorun.inf" sans les guillemets.

Maintenant, pour faire un dossier autorun.inf non supprimable (un dossier est beaucoup plus difficile à supprimer et trouver pour le virus. Cette méthode déjoue la plupart des tentatives de suppression, mais pas tous).
1. Pour ce faire, l'entrée «MD autorun.inf" sans les guillemets.
2. Maintenant, pour le rendre plus difficile à enlever, entrée "attrib + s + h + r + un autorun.inf" sans les guillemets. Le dossier doit désormais caché (parce que certains virus ne rien placer dans des dossiers cachés. Ne sais pas pourquoi. Inutile peut-être).

Prendre un peu plus loin, on peut faire la autorun.inf pratiquement impossible de supprimer sans un outil ou un reformatage complet de l'USB (ne pas procéder pour ce faire sur un ordinateur Windows. Cela pourrait provoquer des conflits. Pas tous les systèmes sont touchés, mais mieux vaut ne pas risquer si vous n'êtes pas encore familier avec les systèmes réparation).
4. Naviguez dans le dossier en tapant "cd autorun.inf" sans les guillemets.
5. Cette fois-ci, faire un autre répertoire. Entrée «md. \ Con \" sans les guillemets. Le dossier qui sera créé ne peut être supprimé par les méthodes conventionnelles. Utiliser des outils pour débloquer le dossier, y compris les résultats de célèbres unlocker de Collomb dans un BSOD comme testé 01:10:51, 09/21/11. Maintenant, les virus ne peuvent pas lancer automatiquement à infecter un PC hôte. Il ne peut pas cependant  prévenir l'infection. Il empêche simplement le virus de se lancer.

Exemple:
Microsoft Windows [version 6.1.7601]
Droit d'auteur <c> 2009 Microsoft Corporation. Tous droits réservés.

C: \ Users \ Palbie> E:

E: \> del autorun.inf → supprime le autorun.inf

E:> md autorun.inf crée un dossier \ → nommé autorun.inf

E: \> attrib + s + h + r + un autorun.inf → rend le système des attributs de dossier, caché, en lecture seule, archive

E:> cd autorun.inf → répertoire \ changement

E: \ autorun.inf \> md \ con \ → \ con \ est un dossier système de Windows... Il ne peut pas être supprimé de manière conventionnelle.

E: \ autorun.inf \> exit → Invite de commande des sorties. Entrée "aide" sans les guillemets pour une liste de commandes.

Désinfection:
Le plus simple serait de brancher la clé USB à un système d'exploitation Linux, puis supprimer le fichier suspect. Ou vous pouvez
1. aller à l'invite de commande.
2. Maintenant entrée "attrib-s-h-r-a *. *" Sans les guillemets (*. * Signifie n'importe quel nom de fichier avec une extension quelconque. En d'autres termes, tous les fichiers et dossiers).
3. Puis "del virusname.extension autorun.inf".

Si l'hôte est déjà infecté, il sera un peu plus difficile.
1. Trouvez le fichier suspect. Cela devrait être la priorité de sorte que vous pouvez facilement supprimer tous les cas. Autoruns, des listes de démarrage et MSConfig peuvent vous aider. Ne supprimez pas n'importe quoi. Il suffit de savoir où ils sont. Habituellement, il ya trois copies du fichier. Dans le dossier de l'utilisateur, dans le lecteur principal, et dans les autres lecteurs présenter.
2. Redémarrez en mode sans échec et répétez le processus ci-dessus (invite de commande suppression). Pour être sur le côté sécuritaire, lancez CCleaner et les précédentes images de restauration de système propre.

Ou si le safe mode n'est pas disponible,
1. aller à l'invite de commande.
2. Entrée «liste de tâches» et identifier le nom de l'image de virus.
3. Maintenant entrée "taskkill / f / t imagename« tuer avec force le virus du processus et tous les autres processus lancé par le virus.
4. Maintenant, vous pouvez procéder au nettoyage / supprimer le virus.

Dans d'autres cas, les mesures sont moins compliqués. Il suffit d'aller dans Outils> Options> onglet Affichage, décochez Masquer les extensions des types de fichiers connus, puis appliquer. Maintenant, enlevez les extensions du virus (es) et le remplacer par quelque chose comme *. Quarantaine ou *. P4l8! 3. Redémarrez. Localisez les fichiers renommés puis sur Supprimer. Redémarrez à nouveau puis utilisez un nettoyeur de registre et d'un scanner antivirus pour supprimer les restes.

Une variante serait d'utiliser le format de fichier NTFS. Cependant, j'ai eu l'expérience et des rapports provenant d'autres personnes que Mac et quelques variantes de Linux ont des difficultés à lire le format si elle n'est pas tout à fait défaut dans ce domaine.

Mise a jour 1  :



Eh bien, depuis un de mes amis échangé son USB pour ma clé USB qui a été fixé par NTFS, je devais faire un autre. Bien que le lien fourni par Loverboy ne fournit les autorisations indispensables et plutôt basiques nécessaires, j'ai vite découvert (à la dure) qu'il ne protège pas complètement contre les vers les plus récentes et assez répandue et ennuyeux. Ou alors, vous renoncer à l'écriture de fichiers (et donc, toute la capacité de la copie à partir d'autres ordinateurs). En outre, si dans les rares cas où votre PC est infecté, la clé USB est complètement exposé ayant été accordé un accès complet à l'hôte. Paranoid que je suis, ce que je ne peux ignorer (d'autant plus que ce PC n'est pas exclusivement le mien). Donc, je vais partager quelques-unes des permissions que j'utilise.

Pour commencer, familiarisez-vous avec les permissions NTFS .

1. Maintenant, après avoir traversé la peine de vacciner votre clé USB en plaçant un dossier autorun.inf undeletable, créez un dossier et nommez-le comme vous le souhaitez. Pour des questions de commodité et préférence personnelle, je l'ai appelé tout simplement «Fichiers».
2. Faites un clic droit sur le dossier Autorun.inf vous avez créé précédemment. Rendre «caché». Ensuite, sélectionnez Propriétés et passez à l'onglet Sécurité.
3. Sous sécurité, supprimer tous les noms d'utilisateur ou de groupe, sauf "Tout le monde" en cliquant sur Modifier puis Supprimer.
4. Cliquez sur OK, puis sur Avancé.
5. Cliquez sur Modifier les autorisations de la boîte de dialogue qui apparaît, puis sur Modifier.
6. Dans la boîte résultant, changer l'option Appliquer sur «Ce dossier et les fichiers", puis nier tout sauf "lire les attributs".
7. Sélectionnez le dossier "Fichiers". Allez à l'onglet Sécurité dans les Propriétés.
8. Répétez les étapes 3-5
9. Cette fois, changer l'option Appliquer à "sous-dossiers et fichiers", puis nier la ff:
une. Ecrire attributs
b. Donnez des attributs étendus
c. Parcours du dossier / exécuter
d. Prendre possession
e. Modifier les autorisations
10. Permettre, d'autre part:
une. Parcours du dossier / exécuter le fichier
b. Liste du dossier / lecture de données
c. Lire les attributs
d. Lire les attributs étendus
e. Création de fichiers / écriture de données
f. Créer des dossiers / Ajout de données
g. Supprimer des sous-dossiers et fichiers
h. Lire autorisations
11. Désélectionner le dossier et cliquez droit n'importe où en dehors de celui-ci. Sélectionnez Propriétés et passez à l'onglet Sécurité.
12. Sous sécurité, supprimer tous les noms d'utilisateur ou de groupe, sauf "Tout le monde" en cliquant sur Modifier puis Supprimer.
13. Cliquez sur OK, puis sur Avancé.
14. Cliquez sur Modifier les autorisations de la boîte de dialogue qui apparaît, puis sur Modifier.
15. Dans la boîte résultant, changer le option Appliquer sur «Ce dossier et les fichiers", puis nier la ff:
une. Parcours du dossier / exécuter le fichier
b. Lire les attributs étendus
c. Création de fichiers / écriture de données
d. Créer des dossiers / Ajout de données
e. Ecrire attributs
f. Supprimer des sous-dossiers et fichiers
g. Supprimer
h. Modifier les autorisations
i. Prendre possession
tout en permettant à tout le reste, puis cochez l'option "Appliquer ces autorisations aux objets ..."
16. Cliquez sur Appliquer puis sur OK.

Testez cette config. Il devrait vous empêcher de:
1. Création d'un fichier / dossier en dehors du dossier "Fichiers",
2. Suppression du dossier Fichiers,
3. Affichage du contenu, ce qui rend toute modification et la suppression du dossier autorun.inf et tout ce qu'elle contient,
4. Modification des attributs de fichiers ou le dossier soit Autorun.inf et tout ce qu'elle contient.

et vous permet de:
1. Créer des fichiers et des dossiers dans le dossier "Fichiers",
2. Voir, lire et exécuter le contenu du dossier "Files",
3. Supprimer les fichiers et dossiers dans le dossier "Fichiers",


Comme toutes les vaccinations, il ne vous protége pas complètement contre l'infection, mais empêche en ne permettant pas un ver ou un logiciel malveillant d'ailleurs de mettre un fichier autorun.inf pour l'utilisation et cachant un de vos fichiers. Cela rend plus facile de détecter les programmes malveillants ou de nouveaux éléments inconnus au sein de l'USB surtout avec des gens comme moi qui catégorise chaque fichier dans le dossier distinct (ce qui est une bonne habitude en fait, au lieu d'avoir seulement un dossier de fichiers unique, avoir plusieurs dossiers par catégories comme l'audio-vidéo, documents, programmes et photos). Si un fichier n'est pas dans le dossier où il doit être, je le supprimer. Eh bien, j'espère que ça aide.

[Mise a jours 2]
Il semble que l'option Parcours du dossier / exécuter le fichier ne peut en aucune manière affecter le déplacement d'un dossier à partir de l'explorateur contrairement à ce que j'avais déjà compris. Je recommande autorisations refusant à ce afin d'éviter n'importe quel exécutable de fonctionner, sauf si vous voulez un exécutable particulier disponible (c'est à dire un navigateur portable privé par exemple, dans ce cas, l'octroi de lui / leur seule autorisation d'exécution serait une solution tout en empêchant l'exécution de toute autre emplacement dans le lecteur). Toute autre fichier y compris les documents, vidéos, fichiers audio, etc fonctionne normalement.

Aucun commentaire: