Skocz do zawartości


tablety.pl
- - - - -

Infekcje z pendrive / mediów przenośnych




  • Zamknięty Temat jest zamknięty
4 odpowiedzi w tym temacie

#1 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 20 08 2007 - 22:19

Infekcje z pendrivów



Jest to kolekcja różnych szkodników, które przenoszą się poprzez media przenośne (pendrivy / karty pamięci / aparaty cyfrowe / telefony komórkowe etc) przy udziale funkcji Autoodtwarzania domyślnie w Windows włączonej. Zainfekowane urządzenie po podpięciu do komputera, natychmiast infekuje dyski twarde.

1. Zapis infekcji jest w plikach autoodtwarzania autorun.inf:

Dołączona grafika

Dopisany tam szkodnik jest autouruchamiany i przekopiowuje pliki z pena na dysk twardy, dociągając również inne trojany, oraz tworząc podobne pliki autorun.inf ale dla wszystkich dysków twardych, co przypisuje im "autoodtwarzanie" (czyli automatyczną reinfekcję w chwili otwierania dysku). Uwaga: nie wszystkie pliki autorun.inf są szkodliwe. Wiele programów w C:\Program files takie posiada, płytki CD z grami czy instalatorami programów / sterowników również. Mówimy tu o szczególnych plikach autorun.inf, które są umieszczone w roocie dysku twardego (główny katalog C:\, D:\, E:\... etc.) oraz na zarażonym penie i są ukryte (atrybuty H + S).

2. Korespondującym zapisem do pliku autorun.inf jest tworzenie wpisów w rejestrze w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Dołączona grafika

Jest to klucz mapowania wszystkich dysków cachujący akcje. Szkodniki dodają swoje zapisy, które powodują że konkretna akcja Autoodtwarzania staje się domyślną akcją dla dysków. Szkodnik może zmodyfikować akcję Otwórz i Eksploruj.



Objawy:

1. Skutkiem obecności ukrytych plików autorun.inf w rootach dysków jest problem z bezpośrednim otwieraniem dysków w Moim komputerze. Możliwe rozmaite wersje wydarzeń:

- Z kliku na dysk jest zwracany błąd Access is denied / Odmowa dostępu (niesłusznie sugerujący np. brak uprawnień).

- Klik na dysk powoduje pojawienie się komunikatu "Otwórz za pomocą.." wymagającego wskazania programu do otwierania dysków

- Dyski mogą się otwierać w nowych oknach a nie tym samym.

- Możliwe błędy punktujące braki plików (tak się dzieje, jeśli usunięto z dysku plik szkodnika) w stylu:
  • "copy.exe nie jest prawidłową aplikacją systemu Win32" / "copy.exe is not a valid Win32 application"
  • "System Windows nie może odnaleźć pliku copy.exe..." / "Windows cannot find copy.exe..."
- Menu kontekstowe prawokliku dysków ulega modyfikacji. W zależności od wariantu infekcji, albo jest ustawiona dla dysków twardych domyślna akcja Autoplay / Autoodtwarzanie, albo też pojawia się nowa domyślna akcja Open(0), możliwe też inne dziwne zapisy. Zaś naturalne Otwórz / Open jest parę pozycji niżej i czasem można z tych opcji na dysk się jednak dostać. Ale nie z dwukliku.

Dołączona grafika Dołączona grafika Dołączona grafika

2. Nie działające opcje przestawiające widoczność ukrytych plików i ukrytych plików systemowych.

3. Dodatkowe niespodzianki (choć niekoniecznie): to już zależy od infekcji. Metodą autorun.inf mogą się przenosić bardzo różne szkodniki.

UWAGA: Aktualizacja. Problem jest obecnie o wiele bardziej skomplikowany. Tą metodą przenoszą się również cięższe infekcje takie jak rootkit Bagle czy wirusy niszczące wykonywalne takie jak np. Virut czy Sality.




Warianty:

Mnóstwo wersji różniących się zestawem aplikowanych plików i zapisów oraz wprowadzanymi uciążliwościami. Podam wyłowione z forum. W przykładach podaję tylko jedną lokalizację pliku autoodtwarzania czyli C:\Autorun.inf, ale te pliki są tworzone na wszystkich dostępnych dyskach twardych i przenośnych.


Wariant svchost.exe (Perlovga Worm / TrojanDropper.Small.Apl)

W logu z HijackThis:

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe


Pliki na dysku:

C:\autorun.inf
C:\copy.exe
C:\host.exe
C:\WINDOWS\autorun.inf
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe
C:\WINDOWS\xcopy.exe

UWAGA: Proszę sobie nie pomylić plików. Plik szkodnika to C:\WINDOWS\svchost.exe, nietykalny plik systemowy to C:\WINDOWS\system32\svchost.exe.


Przykładowy topik na forum:

http://searchengines.pl/index.php?showtopic=91186

.


Przykładowe zapisy w MountPoints2:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37a8ecd7-1951-11dc-824d-9ff575ef5896}]
AutoRun\command- C:\WINNT\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91b48a73-0927-11dc-8f9b-806d6172696f}]
AutoRun\command- C:\WINNT\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91b48a74-0927-11dc-8f9b-806d6172696f}]
AutoRun\command- C:\WINNT\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

Zawartość pliku autorun.inf:

[AutoRun]
open=copy.exe




Wariant ctfmon.exe (FakeRecycled)

W logu z HijackThis:

O4 - Startup: ctfmon.exe


Pliki na dysku:

C:\Autorun.inf
C:\Recycled\desktop.ini
C:\Recycled\INFO2
C:\Recycled\Recycled\ctfmon.exe
C:\Documents and Settings\Nazwa konta\Menu Start\Programy\Autostart\ctfmon.exe

UWAGA: Szkodnik tworzy fałszywy Kosz w postaci folderu RECYCLED. Jest tu kolizja. Na systemie plików NTFS nazwa prawdziwego folderu Kosza to RECYCLER, ale na partycjach FAT32 folder Kosza ma dokładnie taką samą nazwę jak tworzony przez szkodnika czyli RECYCLED. Jeśli występuje ta kolizja folder Kosza można całkowicie skasować - Windows go zrekonstruuje przy resecie.

UWAGA: Proszę sobie nie pomylić plików. Plik szkodnika jest uruchamiany z "Kosza" X:\Recycled\ctfmon.exe lub z folderu Autostart, plik systemowy odpowiedzialny za pasek językowy to C:\WINDOWS\system32\ctfmon.exe


Przykładowy topik na forum:

http://searchengines.pl/index.php?showtopic=94162

.


Przykładowe zapisy w MountPoints2:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{343cd4bc-f288-11db-927e-000d61978a00}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Open(&0)\command- I:\Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8da330a-4e3b-11db-8b03-000e509fc75b}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Open(&0)\command- G:\Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c535bd97-2e17-11dc-ad61-000e2e7f2ca4}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Open(&0)\command- G:\Recycled\ctfmon.exe

Zawartość pliku autorun.inf:

[AutoRun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)



Wariant explorer.exe (WORM_VB.DVP / Trojan Psw.SBoy.a):

W logu z HijackThis:

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE


Pliki na dysku:

C:\Autorun.inf
C:\WINDOWS\system32\EXPLORER.EXE
C:\WINDOWS\system32\wsctf.exe

UWAGA: Proszę sobie nie pomylić plików. Plik szkodnika to C:\WINDOWS\system32\EXPLORER.EXE, nietykalny plik systemowy powłoki graficznej to C:\WINDOWS\explorer.exe. Skutkiem ubocznym tej infekcji jest podwójne uruchamianie się Moich Dokumentów na starcie systemu.


Przykładowy topik na forum:

http://searchengines.pl/index.php?showtopic=91546

.


Przykładowe zapisy w MountPoints2:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84365830-1a62-11dc-8152-0018f3974ef6}]
AutoRun\command- G:\EXPLORER.EXE
explore\Command- G:\EXPLORER.EXE
open\Command- G:\EXPLORER.EXE

Zawartość pliku autorun.inf:

[Autorun]
OPEN=EXPLORER.EXE
shell\open=??(&O)
shell\open\Command=EXPLORER.EXE
shell\open\Default=1
shell\explore=?????(&X)
shell\explore\Command=EXPLORER.EXE



Wariant activexdebugger32.exe (Amca Worm):

W logu z HijackThis:

F2 - REG:system.ini: Shell=Explorer.exe activexdebugger32.exe


Pliki na dysku:

C:\Autorun.inf
C:\WINDOWS\system\ACD2.CMD
C:\WINDOWS\system\ACD.CMD
C:\WINDOWS\system32\scrrntr.dll
C:\WINDOWS\system32\PAC.EXE
C:\WINDOWS\system32\KTKBDHK3.DLL
C:\WINDOWS\system32\Ijl11.dll
C:\WINDOWS\system32\activexdebugger32.exe
C:\WINDOWS\system32\kmon.ocx
C:\WINDOWS\system32\mswinsck.ocx
%Temp%\nesneler.exe

UWAGA: Plik mswinsck.ocx podrzucany przez infekcję, jest zupełnie nieszkodliwym plikiem, którym posługują się aplikacje oparte o Visual Basic.


Przykładowy topik na forum:

http://searchengines.pl/index.php?showtopic=92770

.


Przykładowe zapisy w MountPoints2:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07fad94e-9ff2-11db-bb57-0018f3abf578}]
Auto\command- I:\activexdebugger32.exe f
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f
explore\Command- I:\activexdebugger32.exe f
open\Command- I:\activexdebugger32.exe f

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{195d5a7f-a300-11db-bb6e-0018f3abf578}]
Auto\command- G:\bittorrent.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

Zawartość pliku autorun.inf:

[AutoRun]
open=activexdebugger32.exe
shellexecute=activexdebugger32.exe f
shell\Auto\command=activexdebugger32.exe f
shell=Auto
shell\open=Open(&O)
shell\open\Command=activexdebugger32.exe f
shell\open\Default=1
shell\explore=Explorer(&X)
shell\explore\Command=activexdebugger32.exe f



Wariant RavMonE.exe / AdobeR.exe (RJump Worm):

W logu z HijackThis:

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\AdobeR.exe


Pliki na dysku:

C:\autorun.inf
C:\msvcr71.dll
C:\WINDOWS\RavMonE.exe
C:\Documents and Settings\Nazwa konta\ravmonlog

UWAGA: Plik msvcr71.dll to nieszkodliwa biblioteka MS podrzucana przez infekcję w głównym katalogu dysku. Ten plik jest jednak zmultiplikowany w folderach wielu programów oraz w C:\WINDOWS\system32 i proszę tego nie dotykać. Więcej wyjaśnień w linku poniżej.


Przykładowy topik z forum:

http://searchengines.pl/index.php?showtopic=91122

.


Przykładowe zapisy w MountPoints2:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{55b6de35-343e-11dc-acd2-00001ccac58c}]
Shell\Auto\command E:\RavMonE.exe e
Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e

Zawartość pliku autorun.inf:

[AutoRun]
open=RavMonE.exe e
shellexecute=RavMonE.exe e
shell\Auto\command=RavMonE.exe e
shell=Auto




Wariant PegeFile.pif:

W logu z HijackThis:

O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe
O4 - HKLM\..\Run: [AVPDH] C:\WINDOWS\system32\AVPDH.exe
O4 - HKLM\..\Run: [AVPSrv] C:\WINDOWS\AVPSrv.exe
O4 - HKLM\..\Run: [qjsa] C:\DOCUME~1\ARTUR~1.ART\USTAWI~1\Temp\qjso.exe
O4 - HKLM\..\Run: [wosa] C:\DOCUME~1\ARTUR~1.ART\USTAWI~1\Temp\woso.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDEG32] LYLoader.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDWG32] LYLoadbr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDCG32 ] LYLeador.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDOG32] LYLoador.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDSG32] LYLoadar.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDMG32] LYLoadmr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDHG32] LYLoadhr.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDQG32] LYLoadqr.exe
O4 - HKLM\..\Policies\Explorer\Run: [visin] C:\WINDOWS\system32\visin.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mscomm.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\isapir.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\isapir.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mscomm.dll
O20 - AppInit_DLLs: wlfpri.dll
O23 - Service: Remote Help Session Manager (Rasautol) - Unknown owner - C:\WINDOWS\system32\ntsokele.exe

Pliki na dysku:

C:\Autorun.inf
C:\PegeFile.pif
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.bak
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
C:\Program Files\Internet Explorer\IEXPLORE32.jmp
C:\Program Files\Internet Explorer\IEXPLORE32.Sys
C:\Program Files\Internet Explorer\IEXPLORE32.Dat
C:\Program Files\Internet Explorer\IEXPLORE32.win
C:\WINDOWS\system32\visin.exe

+ masa podobnych losowych plików w folderze Temp i system32. Patrz do korespondującego przykładu:


Przykładowy topik na forum:

http://searchengines.pl/index.php?showtopic=94564

.



Przykładowe zapisy w MountPoints2:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c41ee0c2-3df9-11dc-8b2f-001a4d80fa64}]
Auto\command- F:\PegeFile.pif
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL PegeFile.pif


Zawartość pliku autorun.inf:

[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto




Wariant MS32DLL.dll.vbs (VBS.Solow, VBS.Pica.E@mm)

Dodatkowym motywem tej wersji jest dodanie wyświetlania "Hacked by Godzilla" do Paska tytułu przeglądarki Internet Explorer:

Dołączona grafika

W logu z HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
O4 - HKLM\..\Run: [winboot] wscript.exe /E:vbs D:\WINDOWS\boot.ini


Pliki na dysku:

C:\autorun.inf
C:\MS32DLL.dll.vbs
C:\WINDOWS\MS32DLL.dll.vbs
C:\WINDOWS\boot.ini

UWAGA: Proszę sobie nie pomylić plików. Szkodnik może tworzyć extra plik C:\WINDOWS\boot.ini, nietykalny plik systemowy odpowiadający za start systemu to C:\boot.ini


Przykładowy topik na forum:

http://searchengines.pl/index.php?showtopic=94238

.


Przykładowe zapisy w MountPoints2:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{52e34810-5fe1-11db-be79-806d6172696f}]
Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{52e34811-5fe1-11db-be79-806d6172696f}]
Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{52e34812-5fe1-11db-be79-806d6172696f}]
Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f96b4d6c-d236-11db-bd31-0018f32bc05e}]
Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs


Zawartość pliku autorun.inf:

[autorun]
shellexecute=wscript.exe .MS32DLL.dll.vbs

To tylko jeden z przykładów robaka skryptowego posługującego się plikami VBS. Jest dużo odmian "Hacked by Godzilla". Dodatkowe opisy w bazach antywirusowych:
  • VBS.Solow.B (wyświetla na pasku "TAGA LIPA ARE!")
  • VBS.Solow.C (wyświetla na pasku "TAGA ESTI, MARINDUQUE MABUHAY!!!")
  • VBS.Solow.D (wyświetla na pasku "Hacked by 8BITS")
  • VBS_SOLOW.AB (wyświetla na pasku "HELLO WORLD i am VB")




Usuwanie:

1. Szkodliwe pliki autorun.inf i towarzyszące trojany / robaki oraz ich zapisy rejestru potrafi usunąć:Na rok 2009: najlepsze predyspozycje posiada ComboFix. Reszta narzędzi albo adresuje zbyt wąską grupę wariantów, albo nieaktualizowana. Urządzenia przenośne też mogą być przeczyszczone tymi narzędziami pod warunkiem, że są przestawione z trybu tylko do odczytu na pełny tryb z zapisem (przełącznik Hold na obudowie).

Przykład fragmentu loga z czyszczenia Combofixem:

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


c:\autorun.inf
c:\copy.exe
c:\host.exe
C:\WINDOWS\autorun.inf
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe
C:\WINDOWS\xcopy.exe
d:\autorun.inf
d:\copy.exe
d:\host.exe
f:\autorun.inf
f:\copy.exe
f:\host.exe


2. Dodatkowy krok to usunięcie mapowania z klucza MountPoints2. Czyściciele nie likwidują tych zapisów.

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

... z prawokliku skasować podklucz punktujący do zapisu szkodnika. To może być zarówno klucz o nazwie {numerek} (u każdego te numery są inne!) jak i klucz o nazwie litery. Nie wszystkie klucze w MountPoints2 są szkodliwe! O który chodzi, będzie widać w logu z ComboFix.

Jeśli nie jesteście pewni który klucz skasować, w ostateczności możecie ciachnąć z prawokliku cały klucz MountPoints2, co zupełnie usunie mapowanie wszystkiego. Po resecie komputera klucz się samoczynnie zrekonstruuje i rozpocznie się nowe mapowanie. Kasacja całego klucza nie ma skutków ubocznych. Aczkolwiek lepiej udać się po pomoc na forum a wskażemy, co konkretnie ma być skasowane.


3. Proszę się zgłosić na forum podając wymagane ogłoszeniem działu logi oraz informację ile jest dysków w Mój komputer i pod jakimi literami.


UWAGA: Aktualizacja. Problem jest obecnie o wiele bardziej skomplikowany. Tą metodą przenoszą się również cięższe infekcje takie jak rootkit Bagle czy wirusy niszczące wykonywalne takie jak np. Virut / Sality. Leczenie systemów wymaga specjalnych kroków i jest o wiele bardziej rozbudowane.





Zapobieganie Autoodtwarzaniu:

ComboFix i FlashDisinfector samoczynnie przestawiają to ustawienie wprowadzając blokady. Taką funkcję oferuje też program Autoplay Repair, który posiada opcję wyłączania Autoodtwarzania dla wybranych dysków. Można też ręcznie:

Dla Windows 2000 / XP Pro / 2003:

Start >>> Uruchom >>> gpedit.msc

Konfiguracja komputera >>> Szablony administracyjne >>> System

W okienku z prawej strony dwuklik na Wyłącz funkcję Autoodtwarzanie, wybierz opcję Włączone a z rozwijalnej listy wybierz opcję dla wszystkich dysków.



Dla Windows XP Home:

Niestety XP Home nie posiada edytora gpedit.msc. Odpowiednikiem tej akcji jest edycja rejestru. Gotowy plik do zaimportowania, który wyłącza Autoodtwarzanie dla wszystkich dysków: noautorunhome.reg






.

Użytkownik picasso edytował ten post 27 04 2009 - 22:25


#2 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 22 08 2007 - 13:51

Sprawdzanie dysku z niedziałającą opcją Pokaż ukryte



Niektóre warianty infekcji (amvo.exe) wyłączają opcje pokazywania ukrytych plików, tak że jest niemożliwym spod Windows Explorer wyłowić szkodliwe pliki umieszczone na każdym z dysków. Całkowite wyczyszczenie infekcji usuwa defekt, ale co jeśli to nie nastąpiło? Mimo zablokowanej opcji ukrytych, jest możliwe przejrzenie ukrytych plików na każdym z dysków (wlącznie z przenośnymi):


1. Z pomocą linii komend:

Start >>> Uruchom >>> cmd i wpisujemy następujące komendy:

- Przejście na dysk (gdzie pod X podstawiacie literę dysku widzianą w Mój komputer): X:
- Wylistowanie ukrytych obiektów na dysku: DIR /A:H
- Idąc dalej, pozbawienie plików atrybutów ukryte: ATTRIB -S -H NazwaPliku
- Skasowanie plików (o ile to możliwe): DEL NazwaPliku

Przykładowa zawartość pendrive:

Dołączona grafika

2. Za pomocą zewnętrznych menedżerów plików takich jak np. komercyjny Total Commander czy darmowy FreeCommander, z ustawioną opcją przeglądania ukrytych.





Likwidowanie efektu otwierania w nowym oknie



Niektóre warianty infekcji z pendrive generują efekt otwierania dysków z Mój komputer w nowych oknach, zamiast w tym samym. Efekt ten nie znika, mimo wyczyszczenia niektórymi narzędziami i braku znaków infekcji na komputerze. Korekta odbywa się przez edycję rejestru. Wklej do Notatnika:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Folder\shell]

[HKEY_CLASSES_ROOT\Folder\shell\explore]
"BrowserFlags"=dword:00000022
"ExplorerFlags"=dword:00000021

[HKEY_CLASSES_ROOT\Folder\shell\explore\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\
  00,25,00,49,00,2c,00,25,00,4c,00,00,00

[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]
@="[ExploreFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]
@="Folders"

[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]
@="[]"

[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]
@="AppProperties"

[HKEY_CLASSES_ROOT\Folder\shell\open]
"BrowserFlags"=dword:00000010
"ExplorerFlags"=dword:00000012

[HKEY_CLASSES_ROOT\Folder\shell\open\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\
  00,25,00,4c,00,00,00

[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]
@="[ViewFolder(\"%l\", %I, %S)]"
"NoActivateHandler"=""

[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]
@="Folders"

[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]
@="[]"

[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]
@="AppProperties"

[-HKEY_CLASSES_ROOT\Directory\shell\explore]

[-HKEY_CLASSES_ROOT\Directory\shell\open]

[-HKEY_CLASSES_ROOT\Drive\shell\open]

[HKEY_CLASSES_ROOT\Drive\shell]
@="none"

[HKEY_CLASSES_ROOT\Directory\shell]
@="none"

[HKEY_CLASSES_ROOT\Folder\shell]
@=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG

Dwuklik na plik, zatwierdź import do rejestru, dla zatwierdzenia zmian zresetuj komputer.





.

#3 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 24 04 2008 - 03:42

Zapobieganie infekcji z pendrive



Windows 7
Microsoft przeprowadził radykalny zabezpieczający krok wycięcia funkcjonalności autorun dla USB: klik.



Wyłączenie Autoodtwarzania opisane wyżej jest już niestety niewystarczające - adresuje bowiem tylko jeden z typów wykonywania infekcji. Poza tym klucz mountpoints2, trzymający całe cache podpinanych urządzeń i przypisanych im akcji, przebija te ustawienia (menu AutoPlay się nie pokazuje ale trojan i tak się wykona po kliku w dysk). Poniżej kilka uzupełniających metod (do wyboru) blokowania roznoszenia infekcji robakami na dyski twarde podczas podpinania pendrive:



1. Metoda przez wprowadzenie niekasowalnych folderów lub plików o nazwie autorun.inf na każdym dysku, które uniemożliwiają generowanie rzeczywistych plików infekcji. Ich obecność powoduje, że pliki autorun.inf typu infekcyjnego nie mogą się zapisać w root dysków (= poza tą lokalizacją nie działają). Domyślna reakcja Windows: jeśli w danej lokalizacji istnieje folder o tej samej nazwie jak plik, który chce się zapisać = plik nigdy nie zapisze się obok folderu tylko od razu w nim (lub wcale).

Narzędzia
Flash Disinfector - Nakłada blokadę przed infekcją w postaci tworzenia ukrytych niekasowalnych folderów o nazwie autorun.inf na każdym dysku twardym oraz przenośnych dostępnych dla tego czyściciela. Foldery zwracają błędy kasacji gdyż są w nich utworzone pliki ze sztuczką w nazwie uniemożliwiającą odczyt tego obiektu. Czy takie foldery da się skasować? Tak, są na to sposoby, ale chodzi nam o zabezpieczenia i nie będziemy tego omawiać.

Dołączona grafika

Panda USB Vaccine - Moduł USB Vaccination tworzy niekasowalny plik autorun.inf na dyskach USB sformatowanych w FAT / FAT32 (nie dotyczy NTFS). Przypuszczalnie użyto tutaj jakiś myk z wadą struktury nazwy w tablicy FAT. Tego pliku nie da się pozbyć żadną tradycyjną metodą, a jedyny oficjalny tip odkręcenia tego to sformatowanie dysku. Jednakże narzędzia Linuxa potrafią to upłynnić.

Autorun Protector - Moduł Device Protection tworzy niekasowalny plik autorun.inf, ale tylko dla systemu plików NTFS. Na FAT plik jest jak najbardziej kasowalny (tu kłania się rozwiązanie z Pandy). Metoda jest tu inna niż w przypadku wyżej wymienionych. Opiera się na korzyściach systemu zabezpieczeń NTFS - po prostu dla pliku autorun.inf jest ustawiana Odmowa dostępu. Operacja jest do odkręcenia: sam program umożliwia usuwanie takich plików, a ręcznie po prostu trzeba wiedzieć jak posługiwać się uprawnieniami.

Dołączona grafika



UWAGA:
Jest wiele takich narzędzi zabezpieczających, które deklarują immunizację USB poprzez tworzenie folderów autorun.inf, ale ich metoda jest niewystarczająca. Przykładowo folder autorun.inf utworzony narzędziami typu AutoRunGuard / Sokx Pro / Ninja Pendisk bardzo łatwo skasować. Mimo, że jest on zaatrybutowany jako systemowy i tylko do odczytu, to nie jest 100% pewna bariera dla nowych infekcji. Aktualnie są takie zagrożenia USB, które potrafią ten folder wyeliminować. By folder był w pełni niekasowalny, musi zawierać w sobie podobiekt mający "wadę nazwy" lub nazwę z obszaru zastrzeżonego skutecznie uniemożliwiające kasację. Wyliczone powyżej Flash Disinfector + Panda USB Vaccine realizują metodę błędów nazewniczych. Tutaj jeszcze pliczek BAT do spożytkowania:

Prevent viruses from deleting the autorun.inf folder created on your USB flash drive
Successfully creating an autorun.inf folder with this batch file




2. Kompletne wyłączenie odczytu plików autorun.inf spod systemu. Metoda ta jest bardzo skuteczna. Skutki uboczne tego ustawienia: nie uruchomią się żadne pliki autorun.inf, a więc i te na płytkach gier czy określonego pożytecznego oprogramowania. Sticki typu U3 przestaną działać (ich LaunchPad wymaga używania autorun.inf). Jeśli któraś z tych okoliczności występuje, lepszą alternatywą jest FlashDisinfector.

Ręcznie
Otwórz Notatnik i wklej do niego:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG

Dwuklik na plik, zatwierdź import do rejestru, dla zatwierdzenia zmian zresetuj komputer.



Automatycznie
To samo lecz automatycznie prowadzą następujące narzędzia:



3. Odebranie uprawnień (otwieranie dysków w Mój komputer nie spowoduje przypisania szkodliwej funkcji open+explore).

Start >>> Uruchom >>> regedit i z prawokliku na klucz:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Opcja Uprawnienia >>> zaznaczyć dane konto użytkownika >>> zaznaczyć Odmów na Pełnej kontroli:

Dołączona grafika



4. Inne programy:
  • AVZ Antiviral Toolkit ma strażnika AVZGuard, który jako jedną z funkcji ma blokowanie generowania plików autorun.inf.
  • AutoRunGuard umożliwia tworzenie reguł zachowawczych
  • Net Studio USB FireWall ... hmmm ... nie wiem co to za jeden i czy aby rzeczywiście sprawny .... Ten jego interfejs wygląda dość dyletancko.







Użytkownik picasso edytował ten post 07 11 2009 - 08:10


#4 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 15 03 2009 - 05:05

Aktualizacja: programy przeniosłam do sekcji Darmowego oprogramowania:

http://searchengines...SB-t123572.html

Użytkownik picasso edytował ten post 30 03 2009 - 21:33


#5 Natsuki Kuga

Natsuki Kuga

    Very Good Rank

  • Na emeryturze
  • 1045 postów
  • Płeć:Wybierz

Napisano 19 07 2010 - 19:12

Adnotacja dla czytających zarówno ten, jak i inne tematy przyklejone/ogłoszenia:

Jak wiemy, użytkowniczka @picasso nie gości już na tym forum. Co za tym idzie, tematy napisane przez nią tu nie pozostaną. Zostaną zastąpione nowymi, zaktualizowanymi opisami użycia programów/wykonania czynności/lekko zmienionym regulaminem działu (jak widać większość z nich jest po prostu przestarzała) już za jakiś czas. Nie zdziwcie się, jeśli na razie będą one częściowo rozwalone (np. odniesienia w pierwszym poście nie będą odnosić się do tego opisu lub podobne), będzie brakować kliku postów lub po prostu któryś wątek zniknie na kilka dni.

Miłego czytania :unsure:




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych