Autorun ou protection simple de Windows

Publié le par AiSpirit

Bonsoir bonsoir.

J'avais parlé il y a un petit moment du problème de différents vers venant sur mon PC,et surtout du fait que je ne voyais pas d''où ils venaient à part ma chère chère école, l'INSA et son service informatique (ou plutôt d'étudiant imprudent, car ce n'est pas du tout de la faute du CRI !). Voir par exemple vive SMALL.A.- et aussi des conseils pour le supprimer :) .

Les problèmes
Bien entendu, le problème 1, c'est
d'où il vient
Mais le problème 2 est aussi important :
comment c'est il installé sur mon PC ?
Je n'ai bien entendu pas double-cliqué sur un quelconque exécutable/script/batch (hum, pas idiot tout de même je ne suis :D)

Les causes
Alors bien sûr, cela veut dire qu'il s'est exécuté tout seul, en exploitant un "atout" de Windows.
<troll>
Car bien sûr, c'est sous Windows, notion tout de même évidente et donc sous entendue :)
</troll>

Bref, le truc utilisé, c'est l'autorun.

kesako l'autorun ??
Quand vous mettez un CD-ROM dans votre mimi lecteur (si si, il est mimi :D), le CD se lancera à 90% tout seul: jeu video, DVD, ... Si vous mettez une clé USB, il peut en être de même.

Et tout cela est controlé par l'autorun, qui se traduit par un fichier autorun.inf sur le média en question (CD, clé usb, ... voir plus loin).


Les protections via windows
1) Bien entendu, on pourrait supposer que tout cela est vérouillé par défaut.

Mais en fait, on apprend que par défaut sont autorisées les exécutions automatiques sur (mode 0x95) :
- volumes fixes
- CD-ROM

Par défaut la fonctionnalité "Autoplay" est désactivée sur les disques amovibles comme le lecteur de disquettes (sauf pour le lecteur CD-ROM), et sur les volumes réseaux. La valeur par défaut 0x95 (149) est la somme de 0x1, 0x81 (types inconnues), 0x4 (lecteur de disquettes), et 0x10 (volumes réseaux).

ou plutôt : "0x80 (types inconnus)" :D

Déjà moyen, hein. Et pire, j'ai constaté que pour moi, les supports amoivibles étaient eux aussi activés (mode 0x91)!

voir par exemple le super lien http://www.cert-ist.com/fra/ressources/Publications
_ArticlesBulletins/Environnement_Microsoft/Autorun_inf/


2) Comme indiqué dans le lien ci-dessus, la solution est d'aller faire quelques modifs dans le registre.
Attention : je ne serais pas responsable si jamais vous avez un problème après !! Evitez de faire des modifs si vous n'êtes pas sûr de vous, car les modifications sur le registre ne sont accessible qu'après un reboot et peuvent bloquer Windows. (http://aispirit.over-blog.com/article-6633344.html, 3- des petits conseils.)

cliquez sur Démarrez (WIN) puis l'item executer (comme d'habitude !). Tappez enfin regedit
Et là, comme indiqué par le CERT :
allez dans le dossier

HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer

Et modifiez ensuite la clé NoDriveTypeAutoRun selon vos goûts

3) Personnellement, afin de n'avoir aucun problème à ce sujet (notamment via les clés des copin(e)s, j'ai mis le registre à FF, désactivation totale de l'autorun. Et le seul problème, c'est que lorsque l'on met un média, il ne se lance pas tout seul (booo, un petit WIN+E et c'est bon !!)

Plus d'infos sur les modifs de la clé
NoDriveTypeAutoRun : http://support.microsoft.com/kb/136214




Publicité
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article