Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (27)
  • добавить в избранное
    Добавить в закладки

О коварстве автозапуска

Прочитали: 3112 Комментариев: 103 Рейтинг: 104

Сменные носители (не только флешки) были и остаются одним из основных путей распространения вредоносных программ.

Вот пример такой программы:

Win32.HLLW.Autoruner

(Worm:AutoIt/Renocide.gen!C, Gen:Trojan.Heur.AutoIT.4, W32/Autorun.worm.zf.gen, Trojan.Win32.Generic!SB.0, Worm.Win32.AutoIt.xl, Trojan.Autoit.F, Worm/Renocide.491520, DR/Autoit.aft.393, TR/Dldr.Delphi.Gen, New Malware.bj, Trojan.Win32.AutoIt.gen.1 (v), Trojan.Generic.4184137, TrojanDropper:Win32/Dowque.A, Downloader.Agent.KNF, Trojan.Autorun.LT, Packed.Win32.Klone.bj, Worm.Win32.AutoRun.yq, Win32/Daiboo.A, Worm:Win32/Autorun.BR, Virus.Win32.AutoRun.k, TROJ_Generic.DIS, Worm/Small.I.7, Trojan.Win32.Meredrop)

Тип вируса: Червь

Техническая информация

  • Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ - дропперов.
  • Создают файл autorun.inf на доступных для записи дисках. При открытии такого диска в Проводнике происходит автоматический запуск червя.
  • Постоянно находясь в оперативной памяти, модификации Win32.HLLW.Autoruner в бесконечном цикле проверяли наличие подмонтированного сменного диска. При обнаружении такового, создают на нём свои копии.

https://vms.drweb.ru/virus/?i=115441

Как же вредоносная программа попадает на компьютер?

В прошлом для этого чаще всего использовалась система автозапуска. Если на сменном устройстве в корневом каталоге присутствовал файл autorun.inf и в нем был прописан путь к некоему исполняемому файлу, то достаточно было подключить флешку к компьютеру, как файл запускался автоматически.

Аналогично данный файл запускается при обращении к сменному устройству (если кликнуть по его значку в Проводнике или на Рабочем столе).

Это было удобно для запуска инсталляторов, распространявшихся на сменных носителях, различных оболочек, облегчающих поиск необходимой информации на флешке и, т. д. Но, к сожалению, автозапуск стали использовать и злоумышленники.

Мне как-то принесли диск, говорят, что после этого диска на диске D все исчезает, оказалось, что в autorun.inf была строчка open=format D: /x /q. И что самое главное, они, перед тем как спросить меня, попробовали открыть это диск на 2-х компах из нашего парка компутеров, а на D: лежали бэкапы. Так что теперь я отключаю автозапуск везде, где только могу.

https://habrahabr.ru/post/53642

Из-за обилия вредоносных программ, использующих для своего распространения автозапуск, еще в феврале 2011 года компания Microsoft выпустила обновления, отключающие автозапуск из autorun.inf для Windows XP и Vista. Так что на данный момент он отключен.

Но и раньше отключить автозапуск было возможно. Например, были широко распространены утилиты, автоматически удаляющие файлы autorun.inf со всех дисков. Правда, проблемы это не решало: в те времена информация распространялась на CD/DVD дисках, а удалить с них autorun.inf в случае наличия вируса было проблематично.

Другой вариант защиты предусматривал автоматическое создание autorun.inf на сменных носителях необычным способом. Например, с таким именем создавался не файл, а папка. Или файлу autorun.inf присваивались несвойственные для него атрибуты. Вариантов было множество, вот пара из них:

Суть защиты такая. Вирус пытается создать на флешке файл autorun.inf, и, так как на ней уже существует папка с таким же названием, этот файл сохраняется не в корне флешки, а перемещается в эту папку, что приводит к невозможности автоматического запуска вируса. Особо хитрые вирусы сначала пытаются удалить существующий autorun.inf, но встретив неудаляемый каталог ".." тоже обламываются.

Этим способом можно защитить флешку раз и навсегда, вернее почти навсегда — до ее форматирования, независимо от того, в какой компьютер она будет втыкаться.

https://habrahabr.ru/sandbox/52317

Создаете папку с! абсолютно! любым именем на флешке, внутрь которой помещаете desktop.ini с ссылкой на пиктограмму в папке autorun.inf. И, если вдруг у данной папки изменится вид от заданного пиктограммой — то это уже будет означать, что на флешке поселился зверь.

https://habrahabr.ru/post/53642/

Существовали даже специальные программы, предназначенные для вакцинации сменных носителей, т. е. создания на них «хитрого» autorun.inf.

Но работает ли такая защита?

Если какая-либо программа создает нестандартный файл, то другая программа может его удалить. Защита в виде модификации autorun.inf работала только до той поры, пока с ней не начали сталкиваться вирусописатели.

У меня в ЖЖ на странице, посвященной скрипту, пользователи отписались, что есть уже такие вирусы (например Win32.HLLW.Autoruner.1018) (умеющие переименовывать каталог AUTORUN.INF).

https://habrahabr.ru/post/53642

#Windows #автозапуск #антивирус #безопасность #вредоносное_ПО #съемные_устройства #троянец

Dr.Web рекомендует

На данный момент в Windows автозапуск со сменных носителей отключен, но расслабляться нельзя. Эта функция может быть включена (в том числе и злоумышленниками). Например, в Windows 10 для этого нужно последовательно выбрать Пуск > Параметры > Устройства и далее в левой части окна Автозапуск.

#drweb

В связи с этим:

  1. Надежная защита от вредоносных программ – это антивирус. Все методы «народной медицины» действуют до той поры, пока о них не знают вирусописатели.
  2. Использовав сменный носитель на чужом компьютере или одолжив флешку на время, проверьте ее cканером Dr.Web.
  3. Если вы хотите надежно защитить свою флешку от записи, купите сменный носитель с переключателем, запрещающим запись, и на чужих компьютерах ставьте его в режим «только чтение».

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: