Désinfecter une clé USB ou un disque amovible

De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !

Ce sont donc des infections qui se propagent par supports amovibles : clés USB (cas le plus fréquent), disque dur externe, carte flash, Ipod, lecteur MP3, appareil photo, etc...
Tout disque amovible inséré dans un ordinateur infecté sera infecté à son tour si l'infection est active. Autrement dit, l'infection se fera automatiquement par simple connexion si l'exécution automatique est activée pour les lecteurs amovibles.
Le simple fait d'ouvrir le poste de travail et de double-cliquer sur la clé usb/disque dur externe (ré)infectera le système d'exploitation ! La clé infectera à son tour un PC sain. Et ainsi de suite ...
Il suffit de choisir Explorer pour ne pas activer l'infection sur un PC sain !

Symptômes

• Le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.
• Si vous rendez visible les fichiers et dossiers cachés, vous vous rendrez compte que la clé contiendra plusieurs fichiers et processus inconnus et donc infectés ; ne surtout pas double-cliquer dessus pour les ouvrir car ils rendront active l'infection, si ce n'est déjà fait !
• L'élément clé pour que l'infection se propage automatiquement de clé en PC et de PC en clé est l'activation de fichier l'autorun.inf, en faisant un double-clic pour accéder aux fichiers d'une clé !

Méthode de désinfection

Avant de passer l'un de ces outils, assurez-vous d'avoir fermer tous les programmes en cours d'exécution et connecter au PC tous les périphériques externes qui auraient pu être contaminés (disques dur, clé USB, Ipod...), répétez l'opération de désinfection s'il y a plusieurs disques amovibles susceptibles d'avoir été infectés.

• Télécharger Flash_Disinfector (de sUBs) sur le bureau :
  • http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
  • Double-cliquer sur Flash_Disinfector.exe pour le lancer.
  • Si la clé n'est pas introduite, il sera demandé de la connecter.
  • Quand le message : "Plug in your flash drive & clic Ok to begin disinfection" apparaîtra :
  • connecter les clé USB et/ou périphériques USB externes susceptibles d'avoir été infectés.
  • Puis cliquer sur Ok
  • Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: "Done!!"
  • Appuyer ensuite sur "Ok", pour faire réapparaître le bureau.
• Télécharger RavAntivirus (d'Evosla) :
  • http://www.evosla.com/compteur.php?soft=rav_antivirus
  • Brancher les disques amovibles sans les ouvrir avant de lancer le Fix
  • Décompresser l'archive sur le bureau
  • Double-cliquer sur RAV.exe pour lancer l'outil
  • Une fois RAV ANTIVIRUS lancé, il scannera automatiquement tous les lecteurs susceptibles d'être infectés
  • S'il y a infection un rapport s'établira, sinon le logiciel affichera le message : « Votre Ordinateur est sain »
  • Retirer les disques amovibles et redémarrer l'ordinateur.

Voici deux autres outils que vous pouvez utiliser pour compléter la désinfection :

• L'outil Symantec : http://securityresponse.symantec.com/avcenter/FxRajump.exe
  • Sur le bureau, double-cliquer sur le fichier FxRajump.exe
  • Puis cliquer sur Start pour lancer le nettoyage.
  • En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
  • Le fichier FxRajump.log sera créé sur le bureau, avec le listing des suppressions de fichiers/clés registre.
• L'outil Mcafee : http://vil.nai.com/VIL/stinger/
  • Cliquer sur "Download v3.x.x" pour télécharger le fichier, puis le lancer.
  • Si les lettres correspondant aux périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, les rajouter manuellement en se servant du bouton "Browse" pour les sélectionner.
  • Puis lancer le nettoyage en cliquant sur le bouton "Scan Now".

Important : Tant que vous ne serez pas sûr(e) d'avoir éradiqué l'infection, n'ouvrez aucun des disques ou périphériques externes en vous servant du double-clic, sous peine de relancer l'infection ! Faire à la place un clic droit dessus pour les ouvrir !

Cas des ordinateurs en réseau

• Par exemple, le ver Rjump (AdobeR.exe, Ravmonlog...) en plus de se copier sur les périphériques externes, se propage aussi en utilisant les dossiers partagés sur les postes en réseau et ouvre une backdoor (= « porte dérobée ») en configurant à l'insu de la personne, une exception dans le pare-feu de windows. Il y a donc de fortes chances pour que le ver se soit propagé dans les fichiers partages réseau.
• Si un PC est en réseau, il faut l'isoler du réseau et vérifier que les dossiers/disques partagés sont propres, ne pas les reconnecter tant que vous n'êtes pas sûr(e) que les autres machines sont propres ou désinfectés elles aussi, sinon vous risquez de voir l'infection se propager de nouveau !

Comment se prémunir au quotidien sur des PC publiques ?

• Une précaution très simple à prendre avec les clés USB, si vous devez connecter la vôtre sur un PC public même infecté : il suffit tout simplement d'avoir une clé USB verrouillée en écriture contenant un dossier autorun.inf.
• Vous avez aussi la possibilité de vacciner votre clé USB en créant des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports que l'on connecterait sur un PC infecté, et leur attribuer la propriété lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager ! (Merci à Gof pour cette astuce ;-) ) Télécharger l'exécutable suivant : VaccinUSB.exe
  • Il vous suffit de copier-coller le fichier à la racine du disque que vous souhaitez "vacciner", puis de double-cliquer sur le fichier. Seront ainsi créés des répertoires du même nom que les fichiers infectieux les plus courants, vous pourrez ensuite supprimer le fichier VaccinUSB.exe
  • Cette astuce très pratique vous permettra de garder votre clé propre même en la connectant à un pc infecté !