autorun et verujmi.exe [Résolu]

[méphistopheles]

Bonjour.

J'ai récemment récupéré un virus windows sur ma clé usb (pour l'avoir abondamment prêté).
Étant sous Linux, j'ai donc voulu la nettoyer "manuellement".
J'ai regardé sur la clé et j'ai effectivement trouvé un virus (verujmi.exe) (caché) dans un dossier kratakspoj.

il y avait également un autorun avec. bref, jusque là, rien d'anormal.

Ce qui m'étonne, c'est que l'autorun a une forme particulière:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[autorun]

USEAUTOPLAY=1

shellexecute=kratakspoj\\\verujmi.exe

\

shell\\Install\\command=kratakspoj\\\verujmi.exe

shell\\open\\command=kratakspoj\\\verujmi.exe

shell\\explore\\command=kratakspoj\\\verujmi.exe

Shell\\open\\command=kratakspoj\\\verujmi.exe

open=kratakspoj\\\verujmi.exe

Icon=kratakspoj\\\verujmi.exe

action=Open folder*to view files using*Windows*Explore

On voit bien ligne 3,5-10 le triple backslash avant verujmi.exe et le double avant les dossiers ainsi que le simple backslash en ligne 4.

Ma question (de pure curiosité) est: à quoi servent tous ces antislashs ?
Il ne me semble pas qu'il soient nécessaires pour un autorun et, s'il le sont, cela permet-il d'exploiter une quelconque faille de l'autoplay Ou est-ce juste une "question de forme" ?

Question subsidiaire: un ami s'est fait infecter par ça et son antivirus n'arrive pas à le supprimer je me proposait de scanner ses disques depuis linux, mais existe-il des logiciels (libre ou a défaut gratuits) à même de repérer ce genre d'infection ? à moins que retirer ce virus soit trivial (un seul répertoire ou se trouve l'exe et pas de contamination de fichiers).

D'avance merci.

[tigzy]

Salut

Les doubles slash c'est la syntaxe pour les scripts Autorun (et pas mal de codes en API windows..)

Pour scanner les clés, tu peux utiliser USBFix de la teamScript (sur google tu vas trouver)

[méphistopheles]

Citation:

Envoyé par tigzy

Salut

Les doubles slash c'est la syntaxe pour les scripts Autorun (et pas mal de codes en API windows..)

c'est curieux... il me semble que ça marche également avec de simples slashs. de plus, je me demande ce que fait cet antislash tout seul.

Citation:

Envoyé par tigzy

Pour scanner les clés, tu peux utiliser USBFix de la teamScript (sur google tu vas trouver)

ça n'existe pas pour linux (ce qui n'est pas bien grave que que les exe sont facile a trouver ... et sans risques) et ça ne permet pas de retirer le virus qui s'est ensuite répandu dans les système. (c'est le DD que je cherche à scanner)

[tigzy]

Ba ton infection elle tourne uniquement sous windows, les autorun et les .exe ça marche pas sous linux. Je voit donc pas ou est le soucis...

[méphistopheles]

je voulais scanner le disque dur (interne, mais sortable) d'un ami car son antivirus était incapable de retirer cette chose .

J'ai réussi. j'ai utilisé clamAV.

[tigzy]

Ah ok