Une infection par clé USB est en cours sur des machines et des clés USB de l’université. Nos anti-virus (Norton, McAfee) ne détectent rien.
Détection et nettoyage d’un PC
Les postes XP infectés que nous avons analysé affichaient une erreur au démarrage, à propos d’un programme nommé ravfree.exe.
Pour supprimer le virus d’un PC :
renommer le fichier C :\Windows\svchost.exe en C :\Windows\svchost-bad.exe
supprimer le fichier C :\Windows\ravfree.exe
modifier la base de registre (avec le programme regedit) : dans [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], modifier la valeur Shell qui ne doit contenir que Explorer.exe
rebooter
supprimer le fichier C :\Windows\svchost-bad.exe
Détection et nettoyage d’une clé
Attention, avant de vérifier si une clé USB est infectée, soyez certains que vous avez désactivé la fonction autorun (voir ci-dessous) ou utilisez un autre système (Mac, Linux ...)
Si les fichiers suivants sont sur la clé, elle est infectée. Supprimez-les pour la nettoyer :
Autorun.inf
Recycler.exe
Comment se protéger des clés USB ?
La méthode de protection est pourtant très simple. Voir l’article Danger des clés USB