Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Prihlásenie

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Prevencia infekcie INF/Autorun

V ostatnom čase sa značne rozšíril škodlivý software označovaný ako INF/Autorun. V správe Eset-u o globálnych hrozbách za mesiac jún figuruje na treťom mieste. INF/Autorun je súhrnné označenie pre rodinu trójskych koní, ktoré na svoje šírenie zneužívajú funkciu automatického spustenia (autorun) vymeniteľných diskov (napr. USB kľúčov).
Informácie o automaticky spúšťaných programoch sú uložené v súbore autorun.inf v koreňovej zložke vymeniteľného disku. Trójsky kôň v napadnutom počítači na každý pripojený vymeniteľný disk uloží svoju kópiu a upravený súbor autorun.inf, ktorý zabezpečí, že škodlivý kód sa aktivuje aj na ďalšom počítači prostredníctvom automatického spustenia. Na tomto počítači si trójsky kôň zabezpečí spúšťanie po štarte systému a rovnakým spôsobom infikuje všetky pripojené USB kľúče. Pokiaľ sa do cesty nepostaví antivírus alebo skúsený používateľ, bludný kruh sa tým uzatvára. V nasledujúcom návode si ukážeme, čo môžeme urobiť, aby sme ho preťali.

Ochrana počítača

Prvým krokom je znemožniť aktiváciu škodlivého kódu, t. z. vypnúť automatické spúšťanie vymeniteľných diskov, pričom chceme zachovať automatické spúšťanie CD/DVD diskov. Najjednoduchšie je dočasné vypnutie podržaním klávesy Shift po pripojení vymeniteľného disku. V prípade, že požadujeme trvalé vypnutie, dosiahneme ho spustením nesledujúceho príkazu:

reg add HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer /v
NoDriveTypeAutoRun /t REG_DWORD /d 149 /f

Ak chcete vrátiť nastavenia do pôvodného stavu, aplikujte tento príkaz:

reg delete HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer /v
NoDriveTypeAutoRun /f

Zmeny sa prejavia po reštarte. Automatické spustenie bude však stále fungovať po dvojkliku na ikonu disku v Prieskumníkovi. Preto pri neoverených USB kľúčoch radšej použite kontextovú voľbu Preskúmať (Explore).

Ochrana USB kľúčov

Druhým krokom preventívnych opatrení je zabezpečiť, aby sa škodlivý kód neskopíroval na USB kľúč a nemohol sa takto šíriť do ostatných počítačov. Trójsky kôň INF/Autorun na USB kľúči vždy vytvorí súbor autorun.inf a samotné telo uloží väčšinou do skrytej zložky Recycler, na pevných diskoch uchovávajúcej obsah koša. Na USB kľúči však nemá čo hľadať, preto vytvoríme zložku, resp. súbor s rovnakými názvami skôr, ako to urobí trójsky kôň.

Na USB kľúči vytvorte zložku autorun.inf a súbor bez prípony recycler. Na vytvorenie súboru bez prípony je potrebné mať zapnuté zobrazovanie prípon súborov. Trójsky kôň nebude môcť vytvoriť súbor autorun.inf, keďže v koreňovej zložke už bude zložka s rovnakým názvom. Väčšina trójskych koní však túto situáciu nemá ošetrenú, preto sa bude neúspešne snažiť prepísať obsah zložky. Podobne nebude môcť vytvoriť zložku Recycler, takže na USB kľúč sa nedostane žiadny škodlivý kód. Jedinou nevýhodou tohto riešenia je nemožnosť automaticky spúšťať zavádzače prenosných aplikácií (napr. U3 Launchpad).

Odkazy:

Autorun from floppy drives

Komentáre

Pokial nema takto vytvoreny subor autorun.inf na USB nastavene parametre "len na citanie", je don mozne zapisat cokolvek. Teda aj cestu ku skodlivemu kodu. Inteligentnejsi trojan alebo obycajny skript to hravo zvladne.

Pokud má nastaven volbu "pouze pro čtení", je velice jednoduché tuto volbu zrušit, zapsat do INI souboru a opět vulbu obnovit.

Ak uz som "ziskal" virus na USB ako ho odstranim ? Za odpoved dakujem.

Zdravím, radi ti poradíme na našom fóre http://www.secit.sk/forum/viewforum.php?f=30


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info