picasso Opublikowano 24 Maja 2010 Zgłoś Udostępnij Opublikowano 24 Maja 2010 Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione. Artykuł stworzony przeze mnie w roku 2007, aktualnie obcięty o zdezaktualizowane dane. Infekcje z pendrivów Jest to kolekcja różnych szkodników, które przenoszą się poprzez media przenośne (pendrivy / karty pamięci / aparaty cyfrowe / telefony komórkowe etc) przy udziale funkcji Autoodtwarzania domyślnie w Windows włączonej. Zainfekowane urządzenie po podpięciu do komputera, natychmiast infekuje dyski twarde. 1. Zapis infekcji jest w plikach autoodtwarzania autorun.inf: Dopisany tam szkodnik jest autouruchamiany i przekopiowuje pliki z pena na dysk twardy, dociągając również inne trojany, oraz tworząc podobne pliki autorun.inf ale dla wszystkich dysków twardych, co przypisuje im "autoodtwarzanie" (czyli automatyczną reinfekcję w chwili otwierania dysku). Uwaga: nie wszystkie pliki autorun.inf są szkodliwe. Wiele programów w C:\Program files takie posiada, płytki CD z grami czy instalatorami programów / sterowników również. Mówimy tu o szczególnych plikach autorun.inf, które są umieszczone w roocie dysku twardego (główny katalog C:\, D:\, E:\... etc.) oraz na zarażonym penie i są ukryte (atrybuty H + S). 2. Korespondującym zapisem do pliku autorun.inf jest tworzenie wpisów w rejestrze w kluczu: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 Jest to klucz mapowania wszystkich dysków cachujący akcje. Szkodniki dodają swoje zapisy, które powodują że konkretna akcja Autoodtwarzania staje się domyślną akcją dla dysków. Szkodnik może zmodyfikować akcję Otwórz i Eksploruj. Objawy: 1. Skutkiem obecności ukrytych plików autorun.inf w rootach dysków jest problem z bezpośrednim otwieraniem dysków w Moim komputerze. Możliwe rozmaite wersje wydarzeń: - Z kliku na dysk jest zwracany błąd Access is denied / Odmowa dostępu (niesłusznie sugerujący np. brak uprawnień). - Klik na dysk powoduje pojawienie się komunikatu "Otwórz za pomocą.." wymagającego wskazania programu do otwierania dysków - Dyski mogą się otwierać w nowych oknach a nie tym samym. - Możliwe błędy punktujące braki plików (tak się dzieje, jeśli usunięto z dysku plik szkodnika) w stylu: "X nie jest prawidłową aplikacją systemu Win32" / "X is not a valid Win32 application", "System Windows nie może odnaleźć pliku X..." / "Windows cannot find X..." - Menu kontekstowe prawokliku dysków ulega modyfikacji. W zależności od wariantu infekcji, albo jest ustawiona dla dysków twardych domyślna akcja Autoplay / Autoodtwarzanie, albo też pojawia się nowa domyślna akcja Open(0), możliwe też inne dziwne zapisy. Zaś naturalne Otwórz / Open jest parę pozycji niżej i czasem można z tych opcji na dysk się jednak dostać. Ale nie z dwukliku. 2. Nie działające opcje przestawiające widoczność ukrytych plików i ukrytych plików systemowych. 3. Dodatkowe niespodzianki (choć niekoniecznie): to już zależy od infekcji. Metodą autorun.inf mogą się przenosić bardzo różne szkodniki. Problem jest obecnie skomplikowany. Tą metodą przenoszą się również cięższe infekcje takie jak rootkit Bagle czy wirusy niszczące wykonywalne takie jak np. Virut czy Sality. Odnośnik do komentarza
picasso Opublikowano 24 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2010 Sprawdzanie dysku z niedziałającą opcją Pokaż ukryteNiektóre warianty infekcji wyłączają opcje pokazywania ukrytych plików, tak że jest niemożliwym spod Windows Explorer wyłowić szkodliwe pliki umieszczone na każdym z dysków. Mimo zablokowanej opcji ukrytych, jest możliwe przejrzenie ukrytych plików na każdym z dysków (wlącznie z przenośnymi):1. Z pomocą linii komend:Start > Uruchom > cmd i wpisujemy następujące komendy:- Przejście na dysk (gdzie pod X podstawiacie literę dysku widzianą w Mój komputer): X:- Wylistowanie ukrytych obiektów na dysku: DIR /A:H- Idąc dalej, pozbawienie plików atrybutów ukryte: ATTRIB -S -H NazwaPliku- Skasowanie plików (o ile to możliwe): DEL NazwaPlikuPrzykładowa zawartość pendrive:2. Za pomocą zewnętrznych menedżerów plików takich jak np. komercyjny Total Commander czy darmowy FreeCommander, z ustawioną opcją przeglądania ukrytych.Likwidowanie efektu otwierania w nowym oknieProblemy z takimi infekcjami generują efekt otwierania dysków z Mój komputer w nowych oknach, zamiast w tym samym. Jeśli efekt ten nie zostanie zlikwidowan, mimo wyczyszczenia niektórymi narzędziami, można wykonać korektę przez edycję rejestru. Wklej do Notatnika: Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\Folder\shell][HKEY_CLASSES_ROOT\Folder\shell\explore]"BrowserFlags"=dword:00000022"ExplorerFlags"=dword:00000021[HKEY_CLASSES_ROOT\Folder\shell\explore\command]@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\00,25,00,49,00,2c,00,25,00,4c,00,00,00[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]@="[ExploreFolder(\"%l\", %I, %S)]""NoActivateHandler"=""[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]@="Folders"[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]@="[]"[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]@="AppProperties"[HKEY_CLASSES_ROOT\Folder\shell\open]"BrowserFlags"=dword:00000010"ExplorerFlags"=dword:00000012[HKEY_CLASSES_ROOT\Folder\shell\open\command]@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\00,25,00,4c,00,00,00[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]@="[ViewFolder(\"%l\", %I, %S)]""NoActivateHandler"=""[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]@="Folders"[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]@="[]"[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]@="AppProperties"[-HKEY_CLASSES_ROOT\Directory\shell\explore][-HKEY_CLASSES_ROOT\Directory\shell\open][-HKEY_CLASSES_ROOT\Drive\shell\open][HKEY_CLASSES_ROOT\Drive\shell]@="none"[HKEY_CLASSES_ROOT\Directory\shell]@="none"[HKEY_CLASSES_ROOT\Folder\shell]@=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REGDwuklik na plik, zatwierdź import do rejestru, dla zatwierdzenia zmian zresetuj komputer. Odnośnik do komentarza
picasso Opublikowano 24 Maja 2010 Autor Zgłoś Udostępnij Opublikowano 24 Maja 2010 Zapobieganie infekcji z pendriveMETODA 1 (WYŁĄCZENIE WBUDOWANEGO ODTWARZANIA)Wyłączenie Autoodtwarzania z poziomu Windows, prowadzone przez gpedit.msc (lub dla edycji Home via rejestr) będzie skuteczne tylko wtedy, gdy system zostanie zaktualizowany o stosowne poprawki bezpieczeństwa. Domyślnie funkcja Autoodtwarzania cierpi na defekt polegający na ignorowaniu ustawienia, plik autorun.inf jest nadal parsowany i może się wykonać. Jest to błąd rozwiązania Microsoftu. Zostały opublikowane artykuły i łatki adresujące tę przypadłość: Materiał referencyjny:KB953252: How to correct "disable Autorun registry key" enforcement in WindowsKB967715: How to disable the Autorun functionality in Windows Windows 7: Microsoft przeprowadził radykalny zabezpieczający krok wycięcia funkcjonalności autorun dla USB (informacje). W Windows 7 zadania w autorun.inf są zarezerwowane tylko dla dysków wymiennych typu CD/DVD. Windows XP/2003/Vista/2008 mogą zostać spatchowane przez aktualizację, otrzymując funkcję imitującą tę z Windows 7: Materiał referencyjny:KB971029: Update to the AutoPlay functionality in Windows METODA 2 (CAŁKOWITE WYŁĄCZENIE PARSOWANIA PLIKU AUTORUN.INF)Jest to najskuteczniejsza ze znanych metod. Polega na kompletnym wyłączeniu odczytu plików autorun.inf przez system. Plik tego rodzaju jest całkowicie ignorowany i nie ma żadnej możliwości jego wykonania. Skutki uboczne tego ustawienia: nie uruchomią się żadne pliki autorun.inf, a więc i te na płytkach gier czy określonego pożytecznego oprogramowania. Sticki typu U3 przestaną działać (ich LaunchPad wymaga używania autorun.inf). Jeśli któraś z tych okoliczności występuje, kompromisem jest wykorzystanie alternatywnych metod. Ręcznie Otwórz Notatnik i wklej do niego:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REGDwuklik na plik, zatwierdź import do rejestru, dla zatwierdzenia zmian zresetuj komputer. Automatycznie To samo lecz automatycznie prowadzą następujące narzędzia: Panda USB Vaccine (w sekcji Computer Vaccination) Autorun Protector (w sekcji PC Protection) AutoRunGuard (ma w paczce gotowe pliki REG) Programy opisane też szczegółowo w linkowni: KLIK. METODA 3 (WPROWADZENIE BLOKUJĄCYCH OBIEKTÓW O NAZWACH AUTORUN.INF)Metoda przez wprowadzenie niekasowalnych folderów lub plików o nazwie autorun.inf na każdym dysku, które uniemożliwiają generowanie rzeczywistych plików infekcji. Ich obecność powoduje, że pliki autorun.inf typu infekcyjnego nie mogą się zapisać w root dysków (= poza tą lokalizacją nie działają). Domyślna reakcja Windows: jeśli w danej lokalizacji istnieje folder o tej samej nazwie jak plik, który chce się zapisać = plik nigdy nie zapisze się obok folderu tylko od razu w nim (lub wcale). Ta metoda zabezpieczeń jest przydatna do ochrony urządzeń przenośnych USB. Narzędzia Panda USB Vaccine - Moduł USB Vaccination tworzy niekasowalny plik autorun.inf na dyskach USB sformatowanych w FAT / FAT32 oraz w NTFS (obsługa NTFS jest eksperymentalna i należy ją zaznaczyć w instalatorze Pandy). Przypuszczalnie użyto tutaj jakiś myk z wadą struktury nazwy w tablicy FAT oraz MFT. Tego pliku na FAT32 nie da się pozbyć żadną tradycyjną metodą, zaś na NTFS nawet go nie widać, a jedyny oficjalny tip odkręcenia tego to sformatowanie dysku. Rozwiązanie zaimplementowane w Panda to najskuteczniejsza z metod. Autorun Protector - Moduł Device Protection tworzy niekasowalny folder autorun.inf na dyskach NTFS i FAT. Operacja jest do odkręcenia: sam program umożliwia usuwanie takich plików, a ręcznie po prostu trzeba wiedzieć jak posługiwać się uprawnieniami.Flash Disinfector (przestarzały) - Nakłada blokadę przed infekcją w postaci tworzenia ukrytych niekasowalnych folderów o nazwie autorun.inf na każdym dysku twardym oraz przenośnych dostępnych dla tego czyściciela. Foldery zwracają błędy kasacji gdyż są w nich utworzone pliki ze sztuczką w nazwie uniemożliwiającą odczyt tego obiektu. Czy takie foldery da się skasować? Tak, są na to sposoby, ale chodzi nam o zabezpieczenia i nie będziemy tego omawiać. Uwaga:Jest wiele takich narzędzi zabezpieczających, które deklarują immunizację USB poprzez tworzenie folderów autorun.inf, ale ich metoda jest niewystarczająca. Przykładowo folder autorun.inf utworzony narzędziami typu AutoRunGuard / Sokx Pro / Ninja Pendisk bardzo łatwo skasować. Mimo, że jest on zaatrybutowany jako systemowy i tylko do odczytu, to nie jest 100% pewna bariera dla nowych infekcji. Aktualnie są takie zagrożenia USB, które potrafią ten folder wyeliminować. By folder był w pełni niekasowalny, musi zawierać w sobie podobiekt mający "wadę nazwy" lub nazwę z obszaru zastrzeżonego skutecznie uniemożliwiające kasację. Wyliczone powyżej Panda USB Vaccine i podobne realizują metodę błędów nazewniczych. INNE METODYOdebranie uprawnień (otwieranie dysków w Mój komputer nie spowoduje przypisania szkodliwej funkcji open+explore).Start > Uruchom > regedit i z prawokliku na klucz:HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2Opcja Uprawnienia > zaznaczyć dane konto użytkownika > zaznaczyć Odmów na Pełnej kontroli: Odnośnik do komentarza
Rekomendowane odpowiedzi