av-school in Russia →   
Podręcznik Forum Wiki Pomoc Kanały RSS
Nawigacja
Nowości
Encyklopedia wirusów
Artykuły
Download
Galeria
Forum
Kontakt
Linki
O projekcie
Pomoc
Podręcznik
Komputerowy Biathlon
Logowanie
Nazwa:
Hasło:
Statystyki
Ilość postów: 6333
Użytkowników: 10824
Gości: 19

Ostatnio dołączył:
harryhbhernandez

Najwięcej postów:
kristoff

Online:
Orermlope
od 57 minut
Artykuły
Bezpieczeństwo Co to są szkodniki Autorun?
W ostatnim czasie coraz większą popularność zdobywają szkodliwe programy, zawierające w sobie element pełniący funkcję szkodnika, który dla swojego działania wykorzystuje różnego typu nośniki np. pamięć flash. W artykule omówimy tę odmianę szkodników i sposoby walki z nimi.

Typowa dla tych robaków jest możliwość rozprzestrzeniania się poprzez wymienne nośniki z wykorzystaniem skryptów autostartu autorun.inf. W chwili obecnej Kaspersky Lab wykrywa codziennie do 100 nowych modyfikacji robaków Autorun dla systemów operacyjnych Windows. Tempo opracowywania nowych wersji robaka z rodziny Worm.Win32.Autorun przedstawiono na wykresie:



Populacja rodziny Worm.Win32.Autorun


W sierpniu 2008 roku można było zauważyć niewielki wzrost liczby wykrytych przez Kaspersky Anti-Virus przedstawicieli tej rodziny - 361 wykrytych w porównaniu z 210 w lipcu.

Jednak to nic w porównaniu z przewidywaną ilością robaków we wrześniu 2008 roku, kiedy tylko w ciągu pierwszych trzech dni dodano 239 sygnatur.

Na szczęście, istnieje możliwość zabezpieczenia komputera przed natarciem całej armii robaków Autorun. Funkcjonowanie tych szkodników jest możliwe dopiero w przypadku, jeśli w założeniach lokalnej polityki bezpieczeństwa dozwolony jest autostart z wymiennych nośników.

Pliki ze skryptami znajdują się w głównych katalogach dysków wymiennych. Po zainstalowaniu nowego nośnika, otwierane są z pomocą Windowsa. Aby zmniejszyć szansę ich odnalezienia, dla pliku "Autorun.inf" i katalogu, w którym znajduje się szkodliwy plik, ustalane są atrybuty "ukryty" i/lub "systemowy". Również plikom i katalogom mogą zostać nadane nazwy imitujące foldery systemowe:

Recycler
System restrore
ScanDiskLog



  • wszystkie parametry pozwalają na przedstawienie dowolnej ścieżki do plików lokalnych (ścieżka nie jest ściśle związana z uruchomionym dyskiem) i wykorzystanie wykrycia zmiennych środowiska;
  • skrypt autostartu pozwala na ukazanie dowolnej ścieżki, którą można uruchomić poprzez Win32API ShelluteEx, a także zrealizować przejście na dowolny adres URI w Internecie;
  • istnieje również możliwość zastąpienia w menu kontekstowym "otwórz" ikoną dysku wymiennego;
  • większość produktów antywirusowych nie jest zdolnych do przeprowadzenia analiz zachowawczych odnośnie plików tego typu, ponieważ nie są wykonawcze dla systemu operacyjnego. Analiza sygnatur jest nieefektywna przy bardzo małych zmianach w kodzie.


Niedociągnięć jest sporo. Wystarczająco dużo, aby szkodliwy kod mógł się rozprzestrzeniać w postaci argumentów w parametrach startu dla odczytującego go programu. Wiadomo, że wśród standardowo wystepujących w Windows (bez uwzględniania DOS, który jest często blokowany przez ochronne oprogramowanie lub przez samego użytkownika) przeznaczonym do tego celu jest cmd.exe


W ten sposób, możliwości wprowadzenia zawirusowanego kodu z pomocą skryptu autostartu bezpośrednio zależą od możliwości decydującego procesora Windows.

Metody walki z zagrożeniami tego typu i ich wady:


1. Wyłączenie autostartu w wymiennych nośnikach. Nie zawsze jest to możliwe do przyjęcia dla zwykłego użytkownika, ponieważ zmniejsza wygodę korzystania z powłoki Windows.
2. Wyłączenie pakietowej obsługi poleceń. Nie jest uniwersalnym rozwiązaniem, ponieważ istnieje możliwość stworzenia realnego szkodliwego scenariusza, nie wykorzystującego tymczasowych plików pakietowych.
3. Zakaz dostępu użytkownika do interpretatora poleceń. Jest to wystarczająco skuteczne rozwiązanie w przypadku braku niezbędnego korzystania z interpretatora w systemie. Jednak przy korzystaniu z plików zewnętrznych scenariuszy lub systemowych narzędzi w rodzaju reg (niedostępny w Windows XP Home Edition) lub cacls wszystkie ograniczenia mogą zostać usunięte bezpośrednio z autorun.inf bez wywoływania edytora poleceń.
4. Odmowa wykorzystania wbudowanych komponentów przenoszenia plików na dyski przenośne. Często, ale nie zawsze akceptowana dla końcowego użytkownika.
5. Ustawienia polityki grupowej w celu podłączenia dysków przenośnych z unikalnymi identyfikatorami urządzenia, wchodzącymi w spis rozwiązań w ramach danej polityki (tylko dla Windows Vista i nowszych).


Ze wszystkich wymienionych wyżej metod, najprostszą i najbardziej efektywną jest wyłączenia autostartu zewnętrznych nośników. W Windows 2000, XP Professional, 2003, Vista, 2008 Server niezbędne jest urządzenie dla redagowania grupowej polityki gpedit.msc. Należy wybrać: "Konfiguracja komputera - Szablony administracyjne - system - wyłączyć autostart (wybierz, gdzie wyłączyć)". Następnie w konsoli zakładamy nową politykę "gp".

W Windows XP Home urządzenie grupowej polityki nie występuje, jednak ten sam efekt może być osiągnięty manualną edycją rejestru:

1. Start - wykonaj - "regedit" - ok.
2. Otwórz HKLMSOFTWAREMicrosoftWindowsCurrentVersionPolicies.
3. Stwórz nową partycję
4. Przemianuj stworzoną partycję w Explorer
5. Na partycji utwórz klucz NoDriveTypeAutoRun.

Dopuszczalne wartości klucza:

0x1 - wyłączyć autostart urządzeń nieznanych typów
0x4 - wyłączyć autostart urządzeń przenośnych
0x8 - wyłączyć autostart urządzeń stacjonarnych
0x10 - wyłączyć autostart dysków sieciowych
0x20 - wyłączyć autostart
0x40 - wyłączyć autostart RAM
0x80 - wyłączyć autostart urządzeń nieznanych typów
0xFF - wyłączyć autostart wszystkich dysków.


Wartości mogą być łączone sumowaniem ich wartości liczbowych. Jeszcze jednym (bardziej wygodnym) wariantem wyłączenia autostartu jest stworzenie pliku tekstowego z rozszerzeniem "*.reg" z następującą zawartością i wniesiem do rejestru informacji, która się w nim zawiera:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdrom]
<>=dword:00000000 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Micr?soft\\Windows\\CurrentVersion\\policies\\Explorer\\]
<>=dword:000000b5
<>=dword:3fffffff
[HKEY_CURRENT_USER\\Software\\Micr?soft\\Windows\\CurrentVersion\\Policies\\Explorer]
<>=dword:000000b5
<>=dword:3fffffff
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoplayHandlers\\CancelAutoplay\\Files]
<<*.*>>=<<>>


Koniecznie należy podkreślić, że w przypadku, kiedy urządzenie przenośne jest już podłączone do systemu przy włączonym autostarcie, to jego identyfikator został dodany do klucza rejestru:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerMountPoints2]
Przy kolejnym autostarcie, bez względu na jego wyłączenie, urządzenie będzie uruchomione, tak jak wcześniej.





Aby do tego nie doszło, niezbędne jest usunięcie przedstawionego wyżej klucza dla profilów wszystkich użytkowników. Przy następnym starcie systemu klucz będzie stworzony od nowa, ale nie będzie zawierał poprzedniej informacji autostartu.



źródło: av-school.ru
TEKST +   TEKST -  
Komentarze (0)
Brak komentarzy
Dodaj komentarz
Aby dodać komentarz musisz być zalogowany.
Patronat
Partnerzy
Wydarzenia
Ostatnio
Electronic Games Party 2012
Dzisiaj
Brak
Najbliższe
Brak
Statystyki zagrożeń
TOP 10 złośliwych
programów tygodnia

1. Malicious URL
2. Script.Iframer Troj
3. Win32.Generic Troj
4. Script.Generic Troj
5. Script.Generic Exp
6. Shopper.il AdW
7. Script.Generic TrD
8. Eorezo.heur AdW
9. Popupper.aw Troj
10. Shopper.jq AdW

Żródło: KSN
Imieniny
Czy wiesz, że...
Serwer DNS [Domain Name System] - Zlokalizowane w Internecie serwery DNS służą do przekładania nazw domen na adresy IP. Po wpisaniu przez użytkownika adresu IP najbliższy serwer DNS mapuje domenę na adres IP lub przekazuje ją ...
Z galerii...
EGP - Turniej gier komputerowych
Polecamy artykuł
Bezpieczeństwo sieci WiFi w Polsce 2010/2011: Lublin
     Główna            Kontakt           O projekcie
Copyright © 2012 Kaspersky Lab