-
добавить в избранное
О коварстве автозапуска
29 августа 2017
Сменные носители (не только флешки) были и остаются одним из основных путей распространения вредоносных программ.
Вот пример такой программы:
Win32.HLLW.Autoruner
(Worm:AutoIt/Renocide.gen!C, Gen:Trojan.Heur.AutoIT.4, W32/Autorun.worm.zf.gen, Trojan.Win32.Generic!SB.0, Worm.Win32.AutoIt.xl, Trojan.Autoit.F, Worm/Renocide.491520, DR/Autoit.aft.393, TR/Dldr.Delphi.Gen, New Malware.bj, Trojan.Win32.AutoIt.gen.1 (v), Trojan.Generic.4184137, TrojanDropper:Win32/Dowque.A, Downloader.Agent.KNF, Trojan.Autorun.LT, Packed.Win32.Klone.bj, Worm.Win32.AutoRun.yq, Win32/Daiboo.A, Worm:Win32/Autorun.BR, Virus.Win32.AutoRun.k, TROJ_Generic.DIS, Worm/Small.I.7, Trojan.Win32.Meredrop)
Тип вируса: Червь
Техническая информация
- Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ - дропперов.
- Создают файл autorun.inf на доступных для записи дисках. При открытии такого диска в Проводнике происходит автоматический запуск червя.
- Постоянно находясь в оперативной памяти, модификации Win32.HLLW.Autoruner в бесконечном цикле проверяли наличие подмонтированного сменного диска. При обнаружении такового, создают на нём свои копии.
Как же вредоносная программа попадает на компьютер?
В прошлом для этого чаще всего использовалась система автозапуска. Если на сменном устройстве в корневом каталоге присутствовал файл autorun.inf и в нем был прописан путь к некоему исполняемому файлу, то достаточно было подключить флешку к компьютеру, как файл запускался автоматически.
Аналогично данный файл запускается при обращении к сменному устройству (если кликнуть по его значку в Проводнике или на Рабочем столе).
Это было удобно для запуска инсталляторов, распространявшихся на сменных носителях, различных оболочек, облегчающих поиск необходимой информации на флешке и, т. д. Но, к сожалению, автозапуск стали использовать и злоумышленники.
Мне как-то принесли диск, говорят, что после этого диска на диске D все исчезает, оказалось, что в autorun.inf была строчка open=format D: /x /q. И что самое главное, они, перед тем как спросить меня, попробовали открыть это диск на 2-х компах из нашего парка компутеров, а на D: лежали бэкапы. Так что теперь я отключаю автозапуск везде, где только могу.
Из-за обилия вредоносных программ, использующих для своего распространения автозапуск, еще в феврале 2011 года компания Microsoft выпустила обновления, отключающие автозапуск из autorun.inf для Windows XP и Vista. Так что на данный момент он отключен.
Но и раньше отключить автозапуск было возможно. Например, были широко распространены утилиты, автоматически удаляющие файлы autorun.inf со всех дисков. Правда, проблемы это не решало: в те времена информация распространялась на CD/DVD дисках, а удалить с них autorun.inf в случае наличия вируса было проблематично.
Другой вариант защиты предусматривал автоматическое создание autorun.inf на сменных носителях необычным способом. Например, с таким именем создавался не файл, а папка. Или файлу autorun.inf присваивались несвойственные для него атрибуты. Вариантов было множество, вот пара из них:
Суть защиты такая. Вирус пытается создать на флешке файл autorun.inf, и, так как на ней уже существует папка с таким же названием, этот файл сохраняется не в корне флешки, а перемещается в эту папку, что приводит к невозможности автоматического запуска вируса. Особо хитрые вирусы сначала пытаются удалить существующий autorun.inf, но встретив неудаляемый каталог ".." тоже обламываются.
Этим способом можно защитить флешку раз и навсегда, вернее почти навсегда — до ее форматирования, независимо от того, в какой компьютер она будет втыкаться.
https://habrahabr.ru/sandbox/52317
Создаете папку с! абсолютно! любым именем на флешке, внутрь которой помещаете desktop.ini с ссылкой на пиктограмму в папке autorun.inf. И, если вдруг у данной папки изменится вид от заданного пиктограммой — то это уже будет означать, что на флешке поселился зверь.
Существовали даже специальные программы, предназначенные для вакцинации сменных носителей, т. е. создания на них «хитрого» autorun.inf.
Но работает ли такая защита?
Если какая-либо программа создает нестандартный файл, то другая программа может его удалить. Защита в виде модификации autorun.inf работала только до той поры, пока с ней не начали сталкиваться вирусописатели.
У меня в ЖЖ на странице, посвященной скрипту, пользователи отписались, что есть уже такие вирусы (например Win32.HLLW.Autoruner.1018) (умеющие переименовывать каталог AUTORUN.INF).
Антивирусная правДА! рекомендует
На данный момент в Windows автозапуск со сменных носителей отключен, но расслабляться нельзя. Эта функция может быть включена (в том числе и злоумышленниками). Например, в Windows 10 для этого нужно последовательно выбрать Пуск > Параметры > Устройства и далее в левой части окна Автозапуск.
В связи с этим:
- Надежная защита от вредоносных программ – это антивирус. Все методы «народной медицины» действуют до той поры, пока о них не знают вирусописатели.
- Использовав сменный носитель на чужом компьютере или одолжив флешку на время, проверьте ее cканером Dr.Web.
- Если вы хотите надежно защитить свою флешку от записи, купите сменный носитель с переключателем, запрещающим запись, и на чужих компьютерах ставьте его в режим «только чтение».
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
23:04:26 2018-08-02
Неуёмный Обыватель
21:09:20 2018-06-27
vasvet
19:41:46 2018-04-04
Astra
23:04:33 2017-09-06
Vlad
09:46:57 2017-09-04
Боремся с флешками сотрудников.
Voin sveta
08:12:02 2017-09-02
Любитель пляжного футбола
14:08:51 2017-08-30
Любитель пляжного футбола
14:00:14 2017-08-30
Вячeслaв
10:10:54 2017-08-30
Там интереснее. Флешки все разные, поэтому внутри флешки есть драйвер (вы можете увидеть сообщение о нем, когда подключаете новую флешку). соответственно вставив левую флешку, вы автоматически загружаете себе на компьютер левый код. На практике не встречал, но теоретически про уязвимость исследования были - уязвимость, да еще какая. Далее ОС сканирует флешку для анализа, что на ней - в результате чего и появляется упомянутое вами окошко. Чисто теоретически может быть при анализе какое переполнение буфера. Не встречал, но чисто по паронойе - может быть
eaglebuk
09:39:38 2017-08-30
razgen
00:15:49 2017-08-30
Qumo 16 Гб - 504 руб.
Qumo 8 Гб - 457 руб.
На сегодня в продаже только эти три модели с Переключателем защиты от записи.
razgen
00:07:59 2017-08-30
http://www.nix.ru/autocatalog/usb_flash_drive_Qumo/Qumo-Yin-Yang-QM32GUD-Y-Y-USB20-Flash-Drive-32Gb-RTL_144837.html
razgen
23:45:47 2017-08-29
=== @razgen, "... и с этого времени там все оставляют свои комментарии и поздравления".
http://i.imgur.com/vzcZwEX.png
Ehm, what? - Чего, чего? ===
И всё же согласитесь, как я и говорил, ни минутой раньше-ни минутой позже, ровно с 12:30.
Любитель пляжного футбола
23:35:54 2017-08-29
aleks_ku
22:14:56 2017-08-29
razgen
22:00:43 2017-08-29
Пуск> Панель управления> Оборудование и звук> Автозапуск> далее в верхней части окна, слева убираем галочку у "Использовать автозапуски для всех носителей и устройств", внизу справа жмём "сохранить".
В...а
21:29:36 2017-08-29
Marsn77
21:16:49 2017-08-29
tigra
21:14:22 2017-08-29
vla_va
21:11:14 2017-08-29
Любитель пляжного футбола
20:47:19 2017-08-29
@admin, интересно, а если в настройках автозапуска ранее я не указывал, какие действия должны производиться при подключении того или иного устройства (проигрывание музыки, раскрытие списка папок и т.п.), и при подключении флешки просто появляется окно-меню со списком возможных действий, т.е. никакое действие автоматически не производится, то это может ли представлять какую-либо угрозу компьютеру? Или же стоит отключить автозапуск совсем? Так, чисто теоретически.
Dvakota
20:45:30 2017-08-29
orw_mikle
20:34:03 2017-08-29
НинаК
20:30:26 2017-08-29
GREII
20:07:14 2017-08-29
ek
19:45:41 2017-08-29
kva-kva
18:52:39 2017-08-29
Леонид
18:19:47 2017-08-29
Альфа
18:09:11 2017-08-29
mk.insta
17:57:36 2017-08-29
Марина
17:36:21 2017-08-29
Геральт
16:56:26 2017-08-29
Шалтай Александр Болтай
16:27:59 2017-08-29
duduka
15:58:07 2017-08-29
Dobriy
15:45:03 2017-08-29
Родриго
15:13:39 2017-08-29
Littlefish
15:10:14 2017-08-29
razgen
14:22:32 2017-08-29
SGES
14:10:48 2017-08-29
a13x
13:11:52 2017-08-29
Защиту обеспечить сможет тот, кто в дружбу паучка с собой возьмет. :)
Alexander
11:25:06 2017-08-29
dyadya_Sasha
10:53:01 2017-08-29
Littlefish
10:14:29 2017-08-29
PITONMAN
09:48:16 2017-08-29
Вячeслaв
09:47:22 2017-08-29
Littlefish
09:40:38 2017-08-29
https://code.google.com/archive/p/usbdummyprotect/
Утилита создаёт dummy.file файл который займет все свободное пространство на флешке и не оставляет места для вирусов. Вот только этот файл можно спокойно удалить. Есть ли смысл использовать данную утилиту?
Littlefish
09:35:40 2017-08-29
А вот что-то трудновато найти такие флешки в интернет-магазинах. Может кто-нибудь подскажет такой интернет-магазин?
DrKV
09:31:33 2017-08-29
==========
В своё время это было действительно проблемой. У меня и сейчас лежит диск с библиотекой журнала Радио" с вредоносным autorun.inf. Пришлось сделать копию диска без этого файла и бесплатного "приложения" к нему. :)
Но для записи своих CD-дисков я активно использовал этот файл, редактировал его под свои нужды и это было удобно.
Natalya_2017
09:12:52 2017-08-29
Littlefish
09:06:23 2017-08-29