Voila comment cela fonctionne (schématiquement):
Pour pouvoir se propager, le ver va créer sur le support amovible un fichier autorun.inf. Dès l'insertion du support infecté, l'autorun va pourvoir lancer de façon invisible un programme placé sur la clé et ainsi infecté le pc.
C'est la méthode de propagation de AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe et Svchost.exe par exemple.
Comment s'en protéger? Dans un premier temps, désactiver l'execution automatique des supports amovibles.
En suivant cette procédure:
http://support.microsoft.com/kb/967715/fr
Ou avec cette clé registre:
- Code: Tout sélectionner
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
Copier ces lignes dans un fichier texte, renommez le avec l'extension .reg et executez le.
C'est deja un premier pas. Ensuite même en ayant pris cette précaution, un double-click sur l'icone de la cle usb, l'autorun s'executera.
Pour éviter cela, privilégiez le clic droit et l'option "explorer".
Une autre astuce efficace est de créer un autorun.inf soi-même en lui attribuant l'option "lecture seule". Mais certains vers sont capables de modifier cet attribut. Pour les en empêcher, créez simplement un dossier autorun.inf avec l'attribut lecture seule. Le fait de créer un dossier et non un fichier modifie la méthode utilisée pour changer l'attribut, de fait rendant inefficaces les moyens employés par les vers pour les modifier.
Il est également possible de créer des dossier aux noms des vers les plus répandus, avec l'attribut"lecture seule". Des utilitaires tels que vaccinUSB automatisent le procédé.
Ma méthode perso:
Sur une clé de 8go que j'ai formatée en NTFS, j'ai créé un fichier autorun.inf en supprimant les droits a tout le monde.
Cela permet même de personnaliser sa clé usb avec une jolie icone ( à la manière des CD de jeux ou de logiciel).
