Les vers utilisent fréquemment Autorun.inf comme technique de démarrage automatique.
Ce fichier permet aux vers de s'exécuter automatiquement chaque fois que l'on accède à un disque infecté.
Entre-temps, les utilisateurs ont trouvé des solutions de rechange pour supprimer le fichier malveillant à la main.
Ils utilisent notamment la ligne de commande pour supprimer le fichier, désactiver la fonction AutoPlay ou utiliser l'explorateur Windows (clic droit et sélection de l'explorateur).
Cependant, les criminels ne sont pas non plus inactifs et ne cessent de trouver de nouvelles techniques pour diffuser leurs machinations malveillantes malgré les solutions de contournement.
L'une de ces techniques utilise Action Key dans le fichier autorun.inf, un paramètre de ce dernier qui n'est pris en charge que par les lecteurs amovibles et fixes.
La tâche principale de ce paramètre est de spécifier le texte qui apparaît dans la boîte de dialogue Auto Play du gestionnaire qui représente le programme spécifié dans l'entrée open ou shell execute.
Contourner ces problèmes
Trend Micro a identifié un de ces vers sous le nom de worm_kolab.cq. Son code Auto Run est présenté dans la capture d'écran suivante :
En raison de l'entrée action=Open pour la lecture des fichiers, le fichier malveillant est exécuté chaque fois qu'un utilisateur accède à un lecteur infecté via l'Explorateur Windows.
Les utilisateurs doivent faire preuve d'encore plus de prudence pour se protéger des logiciels malveillants.
Les périphériques externes tels que les cadres photo numériques, les iPods et autres lecteurs MP3, les PDA, les clés USB, les lecteurs flash et les appareils photo numériques peuvent contenir des logiciels malveillants qui corrompent le réseau domestique.
Des mesures de sécurité supplémentaires peuvent inclure la surveillance des dispositifs externes et la mise à jour de tous les logiciels de sécurité existants.
Services d'aide
Pour les utilisateurs professionnels, établissez et appliquez des politiques de sécurité à l'échelle de l'entreprise concernant l'accès aux données et l'utilisation de dispositifs externes.
Pour plus d'informations sur la protection des disques amovibles, voir "Comment optimiser la protection contre les programmes malveillants pour vos disques amovibles".
Le Smart Protection Network de Trend Micro protège les utilisateurs contre cette menace en utilisant le File Reputation Service pour identifier les fichiers comme étant des programmes malveillants.