Virus par clé USB ou virus raccourcis USB

On désigne par virus par clé USB, les virus utilisant les clés USB (en réalité tous les médias amovibles, cartes DCIM, etc) comme support de diffusion.
Le bon terme est donc vers ou worms en anglais, puisqu’il s’agit de logiciel malveillant capable de se propager automatiquement d’un ordinateur à un autre.
Les virus par clé USB visent exclusivement Windows.

Ces virus sont particulièrement actifs dans les lieux publics, tels que les écoles, cyber-cafés ou réseaux d’entreprises.
Dès lors qu’un poste est touché, toute clé USB qui y sera utilisée sera infectée et pourra se propager d’ordinateur en ordinateur.

Cet article vous explique le fonctionnement de ces virus par clé USB.
Comment s’en protéger et les éviter.

Autorun.inf (Worm.Autorun)

Les premiers virus et méthodes pour se diffuser sur les clés USB s’appuyaient sur le fichier Autorun.inf
Initialement, le fichier autorun.inf était présent sur les CD-Rom, cela permettait lorsqu’un utilisateur insérait un CD-Rom de lancer un setup automatiquement.
Ce qui était assez pratique.
A l’époque, cela ne posait aucun problème puisqu’il est impossible d’écrire directement sur un CD-Rom et modifier le contenu.

Avec les clés USB, cette écriture est devenue possible et le fichier Autorun.inf fonctionnait exactement de la même manière sur les clés USB.
Il n’a pas fallu longtemps avant que des virus modifient les fichiers Autorun.inf pour faire lancer un trojan lors de l’insertion d’une clé USB.
Une fois actif dans l’ordinateur, le virus va remplacer les fichiers Autorun.inf de n’importe quelle clé USB qui sera utilisée.
Ainsi, le virus se propage d’ordinateurs en ordinateurs de cette manière.

Les détections généralistes étaient Worm.Autorun

Depuis Microsoft a publié une mise à jour de Windows qui désactive le fonctionnement Autorun.
A partir de Windows Vista, l’insertion automatique aussi été modifiée puisque maintenant lors de la connexion d’une clé USB, une popup s’ouvre vous demandant qu’elle action vous souhaitez effectuer.
Le fichier Autorun.inf n’est plus actif.

Vous trouverez toutefois, un vieux topic sur le forum qui explique plus en détail comment se protéger de ce type d’infection : Sécurité : Maitriser ses médias amovibles
Il ne sert plus à rien de suivre ces recommandations.

Worm.VBS

En 2013, un nouveau type de virus par clé USB est apparu.
Ces virus sont basés sur des scripts VBS, j’avais à l’époque publiait ce topic : « RAT » par VBS (VBS.Houdini – Worm:VBS/Jenxcus / Worm.VBS.Dunihi)

Lorsqu’un ordinateur est infecté par un Worm.VBS, lorsqu’une clé USB va être utilisée dessus, les données qui y sont présentes vont être cachées (parfois totalement supprimées).
Le virus active l’attribut caché sur les fichiers, ce qui les rend invisible.
Puis le virus va créer des raccourcis avec exactement les mêmes noms de dossiers et fichiers pour tromper l’utilisateur.
Tous les raccourcis vont pointer vers le script malveillants qui sera lui aussi copié sur la clé USB.

Ainsi, lorsque l’utilisateur de la clé rentre chez lui pour utiliser sa clé sur un nouvel ordinateur.
S’il ne fait pas attention, en croyant ouvrir ses documents ou dossier, il va en réalité lancer le script malveaillants.
Le Worm.VBS va s’installer dans l’ordinateur et se propager ainsi de suite sur toutes clés utilisées sur cet ordinateur.

C’est pour cela que ces Worm.VBS peuvent aussi être nommés Virus raccourcis USB par les internautes à cause de la création des raccourcis qui replacent les données.
Windows Defender peut détecter ces raccourcis malveillants en Worm:VBS/Jenxcus!lnk

Cette vidéo vous montre un virus USB en cours de fonctionnement :

Les virus USB les plus répandus :

Les scripts malveillants or virus USB

Les scripts malveillants VBS sont aussi utilisés par des campagnes de mails malicieux, notamment Décembre 2015, des campagnes d’emails pour le ransomware TeslaCrypt ont été utilisés.
Par la suite le Ransomware Locky a continué (avec aussi des documents Office malicieux).
Début 2015, j’avais déjà alerté sur la dangerosité de ces scripts malveillants à travers le dossier : Malware par VBS / WSH

La protection contre ce type d’infection est relativement simple, il suffit d’interdire l’exécution de scripts sur l’ordinateur.
En faisant cela, vous vous protéger des Worms VBS mais aussi des trojans qui se propagent par des emails malicieux.
L’utilitaire Marmiton a été créé à cet effet.

Marmiton

La page suivante explique comment se protéger des scripts malveillants sur Windows : Comment se protéger des scripts malicieux sur Windows

Marmiton est un programme qui permet d’intercepter les scripts et autoriser ou non l’exécution.
Marmiton fonctionne avec une liste blanche qui permet d’autoriser certains scripts légitimes de s’exécuter.

Marmiton va bloquer les scripts malveillants (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

Marmiton : bloquer les virus par clé USB

Supprimer les virus USB

Il existe deux utilitaires gratuits pour supprimer les virus USB.

vous pouvez lire la page : DÉSINFECTER CLEF USB OU CARTE SD (WORM.VBS)

Avant d’opérer toutes désinfection, installez d’abord Marmiton, afin d’avoir la paix.
Nettoyez ensuite l’ordinateur avec l’option A de Remediate VBS
puis nettoyez vos clés USB avec l’option B de Remediate VBS

(Visité 7 964 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet