autorun malware

[f-m]

Poslední dobou se často píše o malwaru zneužívající funkci autorun ve windows.
Proto by mě celkem zajímalo info ohledně tohoto...

1) Jak to přesně funguje a jak se můžu nakazit? Prý se dá nakazit i poklepáním na ten disk v průzkumníkovy.

2) jak se proti tomuto malwaru bránit? Jak vypnout ve windows (hlavně win7) tuto funkci a jak to "ošéfovat", aby se mi tam na 100% malware nedostal?

3) Jak zjistím po připojení flash disku, že je nakažený? Stačí si v total commanderu zobrazit skryté soubory? Nebo se dokáže ještě nějak více skrýt?

Díky.

[Diallix]

1 - Funguje to tak, ze system ma defaultne nastavene moznosti automatickeho spustania vlozeneho media CD/DVD/USB. V podstate hned po zasunuti sa zariadenie nacita a vyhladava sa subor autorun.inf . Autorun.inf je subor v ktorom je definované, ktorý súbor sa ma spustit, pripadne aka ikonka sa ma ukazat v "Tento pocitac" a podobne.
Ak Vas zaujima, k comu to je, je to pre automaticke spustania diskov, automaticke prehravanie v prehravaci, skratka "Launch Funkcia". Avsak, da sa zneuzit prave preto,ze odkaz v autorun.inf moze patrit malwaru.

2 - Da sa proti tomu branit tym, ze importujete do registry pozmenene kluce registry, ktore tuto funkciu DISABLUJU.

3 - Ak nemate disablovanu funkciu Launch Startup, tak nic nezistite, respektive nicomu nezabranite, nakolko sa USB nacita hned po vlozeni.

V opacnom pripade (Ak je funkcia disablovana), zistite to tak, ze vlozite USB do compu. V moznostiach zlozky zvolite "ZOBRAZIT SKRYTE SUBORY A PRIECINKY" a "ZOBRAZIT CHRANENE SUBORY SYSTEMU WINDOWS". Odkliknete "POUZIT" a na usb sa vam objavia pripadny spominany AUTORUN.INF, pripadne RECICLE BIN. Velmi vela malware zneuzivaju prave moznosti zlozky RECICLE BIN, nakolko to nie je obycajna zlozka. Ma presne tu istu vlastnost, ako rozdvojene vrecko

Co sa tyka registrov na DISABOVANIE funkcie, momentalne ich tu nemam, ale najdem ich, pripadne ich tu da nejaky kolegovec.

[f-m]

No a ono to nestačí vypnout v ovládacích panelech? Je potřeba to řešit přes ten registr?

Co se týká toho RECICLE BIN, jsem myslel, že to je normální složka, která má jen něco společného s košem. Jak se dá toto zneužít? Taky jsem to tady nedávno řešil.

[Diallix]

No a ono to nestačí vypnout v ovládacích panelech? Je potřeba to řešit přes ten registr?

V ovladacich paneloch to teraz mate na mysli kde?

Ja som myslel tuto napr: C:\Recycled, ale v podstate, mozem si vytvorit hocaku zlozku, aj "gagaga" , ktorej priradim ikonku a vlastnosti kosa, to nie je probem. Tu sa vsak uplatnuje cast socialneho inzinierstva, kedy si uzivatel mysli, ze je to legitimna cast OS.

ak se dá toto zneužít?

Konkretne napr. tato C:\Recycled ?

Ak do nej nastrkate subory virus.exe virus.com a podobne, budu v zlozke aktualne v tejto ceste: C:\Recycled\virus.exe ... ak ju vsak otvorite dvojklikom, uvidite len vase vyhodene subory v kosi, virus.exe a virus.com budu skryte.

[f-m]

V ovladacich paneloch to teraz mate na mysli kde?

Ovládací panely -> Hardware a zvuk-> Přehrát automaticky -> "použít funkci Přehrát automaticky pro všechna média a zařízení"
Ve win7. Nebo toto vypnout nestačí a je třeba ještě něco extra?

Ja som myslel tuto napr: C:\Recycled, ale v podstate, mozem si vytvorit hocaku zlozku, aj "gagaga" , ktorej priradim ikonku a vlastnosti kosa, to nie je probem. Tu sa vsak uplatnuje cast socialneho inzinierstva, kedy si uzivatel mysli, ze je to legitimna cast OS.
.
.
Ak do nej nastrkate subory virus.exe virus.com a podobne, budu v zlozke aktualne v tejto ceste: C:\Recycled\virus.exe ... ak ju vsak otvorite dvojklikom, uvidite len vase vyhodene subory v kosi, virus.exe a virus.com budu skryte.

Aha, takže v tomto případě pak nejde ale o skrytou složku, ale normálně viditelnou, jen ty viry jsou skryté. Takže pokud si zobrazím skryté soubory, tak to jde pak poznat.
No jde mi o to, jak poznám, jestli ta složka recicle bin je ta správná, bezpečná, systémová, nebo jde o něco nekalého...

[Diallix]

Vy vypnete len moznosti automatickeho zvuku, respektive automatickeho spustania zvukoveho prehravaca.

Nie... zlozka - subor mozu byt viditelne, skryte, super skryte - super hidden - na urovni systemovych suborov.

Tym, ze date zobrazit skryte haluziny, sa vam zobrazi napr autorun a recycled so zmenenymi attributmi, ale malware su v zlozke recycled, ktore vy nevidite...ked otvorite recycled zlozku, nabehne vam obsah kosa, nikoliv suborov... v tom je to zneuzitie.

Zlozka RECYCLER byva defaultne na HDD. Na USB nie. Zlozka RECYCLED je bad. Kos je po anglicky RECYCLER, cize ak bude na hdd RECICLER, aj to je zle.

Mozem napisat aplikaciu, ktora premodifikuje c:\RECYCLER - ok zlozku a hodi do nej infikovane subory, toto sa vsetko urobit da.

Pre Vas ako klasickeho uzivatela doporucujem disablovanie usb, tym sa nic nespusti, ak to nespustite manualne.

[Diallix]

http://www.viry.cz/forum/viewtopic.php?f=5&t=104411

[f-m]

Ten návod platí i pro windows 7? A co se tak dívám, nejde tam jen o zakázání autorunu jen u CD? Já bych to potřeboval úplně a to pro všechna zařízení, usb flashdisky, usb disky, cd/dvd, paměťovky atd...Ono to možná jde v těch registrech nastavit, ale upravě registrů nerozumím a nerad bych to pokazil...

P.S.: prý se ten autorun spouští i při dvojkliku v průzkumníku. Jak to je zakáže se i toto?

[f-m]

Jinak teď se dívám, není náhodou autorun ve win7 už defaultně zakázaný? Aspoň podle tohoto článku: http://extrawindows.cnews.cz/windows-7- ... -usb-disky

[Diallix]

A no, aj pre 7 funguje.

Ako pre CD Rom ? On vam disabluje vsetky moznosti atorunu.

Aj tu je .reg na disablovanie automatickeho startu :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"HonorAutorunSetting"=dword:00000001
"NoDriveAutoRun"=dword:03ffffff
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"HonorAutorunSetting"=dword:00000001
"NoDriveAutoRun"=dword:03ffffff
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001

Funguje pod vsetkymi os.

[MiliNess]

Jinak teď se dívám, není náhodou autorun ve win7 už defaultně zakázaný? Aspoň podle tohoto článku: http://extrawindows.cnews.cz/windows-7- ... -usb-disky

Ano ve Windows 7 je to defaultně zakázáno.

[f-m]

Zajímalo by mě, zda je možné zabezpečit samotné médium a tedy ne OS. Mám paměťovku/flashku kterou přenáším mezi pár pc a potřeboval bych ji zabezpečit aby se na ni žádné toto sv*vo nedostalo...
Jde to?
Viděl jsem tady program, který na usb zařízeních pak vytvářel falešné soubory které nebylo možné přepsat a tedy na ně dostat autorun. Pomůže to na 100%?
Jde to i nějak ručně bez toho programu?

A za 2) Jde mi třeba i tak teoreticky o to, že pokud je třeba se starat o pár pc, na které je třeba pak potřeba dostat nějaké programy (na úklid, odvirování, rsit atd.), tak aby se mi z těchto pc nic nedostalo do mého pc a ani aby nedošlo k roznášení malwaru mezi jiné pc.
Teda né že bych něco se svými znalostmi takového dělal, ale jen tak teoreticky...

[MiliNess]

Tak to bude spíše vědět někdo z kolegů. Myslím ale, že žádné spolehlivé řešení neexistuje.
Flešky bývají většinou formátovány souborovým systémem FAT16 nebo FAT32, kde je zabezpečení souborů veškeré žádné.
Můžete vytvořit prázdný soubor autorun.inf a nastavit mu atribut pouze pro čtení.
Případný útočník s tím ale nejspíše bude počítat a lehce to obejde.
U flešek formátovaných v NTFS by se dalo postupovat tak, že byste vytvořil prázdný soubor autorun.inf
a v bezpečnostním deskriptoru tohoto souboru byste všem odebral oprávnění k zápisu a změnám.
Případný vir pak nebude moci do tohoto souboru zapisovat, ani ho smazat a vytvořit znovu.
Program spuštěný pod administrátorským účtem to ale může lehce obejít.
Převezme vlastnictví souboru a nastaví si oprávnění pro zápis.
Záleží spíše na operačním systému, kam budete flešku připojovat.
Pokud budete mít zabezpečen svůj operační systém, pak vám může být jedno, jestli se na tu flešku někde něco dostane.

[Diallix]

poradil by som este jednu fintu, co som spozoroval.

co sa mi teda dostali pod ruku kryptiks a podobne somariny, tie predpokladali , ze pracuju na usb so subormi. Atributy a mazanie teda pouzivali "for files". Ak na usb vytvoris adresar autorun.inf, tomu priradis skryte attributes a len na citanie + do neho vytvoris nejaky bla.exe a aj tomu priradis attributes ako zlozke, cize skryte a len pre citanie, mozes tak vir oblbnut...neviem vsak, ako u terajsich novych verziach virov. Za pokus nic nedas.

[vyosek]

Zdravim a omlouvam se kolegum za vstup

Je mozne veskere disky "naockovat" proti tomuto viru - je na to treba usbFix

Zapojte do PC vsechny USB klice (flashky, ext. disky apod.)

• Stahne a ulozte na plochu UsbFix http://www.viry.cz/forum/viewtopic.php?f=24&t=102308
• Spustte a kliknete na Deletion
• Po dokonceni sem vlozte log, pokud na Vas nevyskoci, najdete jej zde C:\UsbFix.txt