Infekcje z pendrivów



Jest to kolekcja różnych szkodników, które przenoszą się poprzez media przenośne (pendrivy / karty pamięci / aparaty cyfrowe / telefony komórkowe etc) przy udziale funkcji Autoodtwarzania domyślnie w Windows włączonej. Zainfekowane urządzenie po podpięciu do komputera, natychmiast infekuje dyski twarde.

1. Zapis infekcji jest w plikach autoodtwarzania autorun.inf:



Dopisany tam szkodnik jest autouruchamiany i przekopiowuje pliki z pena na dysk twardy, dociągając również inne trojany, oraz tworząc podobne pliki autorun.inf ale dla wszystkich dysków twardych, co przypisuje im "autoodtwarzanie" (czyli automatyczną reinfekcję w chwili otwierania dysku). Uwaga: nie wszystkie pliki autorun.inf są szkodliwe. Wiele programów w C:\Program files takie posiada, płytki CD z grami czy instalatorami programów / sterowników również. Mówimy tu o szczególnych plikach autorun.inf, które są umieszczone w roocie dysku twardego (główny katalog C:\, D:\, E:\... etc.) oraz na zarażonym penie i są ukryte (atrybuty H + S).

2. Korespondującym zapisem do pliku autorun.inf jest tworzenie wpisów w rejestrze w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2



Jest to klucz mapowania wszystkich dysków cachujący akcje. Szkodniki dodają swoje zapisy, które powodują że konkretna akcja Autoodtwarzania staje się domyślną akcją dla dysków. Szkodnik może zmodyfikować akcję Otwórz i Eksploruj.



Objawy:

1. Skutkiem obecności ukrytych plików autorun.inf w rootach dysków jest problem z bezpośrednim otwieraniem dysków w Moim komputerze. Możliwe rozmaite wersje wydarzeń:

- Z kliku na dysk jest zwracany błąd Access is denied / Odmowa dostępu (niesłusznie sugerujący np. brak uprawnień).

- Klik na dysk powoduje pojawienie się komunikatu "Otwórz za pomocą.." wymagającego wskazania programu do otwierania dysków

- Dyski mogą się otwierać w nowych oknach a nie tym samym.

- Możliwe błędy punktujące braki plików (tak się dzieje, jeśli usunięto z dysku plik szkodnika) w stylu:

• "copy.exe nie jest prawidłową aplikacją systemu Win32" / "copy.exe is not a valid Win32 application"
• "System Windows nie może odnaleźć pliku copy.exe..." / "Windows cannot find copy.exe..."

- Menu kontekstowe prawokliku dysków ulega modyfikacji. W zależności od wariantu infekcji, albo jest ustawiona dla dysków twardych domyślna akcja Autoplay / Autoodtwarzanie, albo też pojawia się nowa domyślna akcja Open(0), możliwe też inne dziwne zapisy. Zaś naturalne Otwórz / Open jest parę pozycji niżej i czasem można z tych opcji na dysk się jednak dostać. Ale nie z dwukliku.



2. Nie działające opcje przestawiające widoczność ukrytych plików i ukrytych plików systemowych.

3. Dodatkowe niespodzianki (choć niekoniecznie): to już zależy od infekcji. Metodą autorun.inf mogą się przenosić bardzo różne szkodniki.

UWAGA: Aktualizacja. Problem jest obecnie o wiele bardziej skomplikowany. Tą metodą przenoszą się również cięższe infekcje takie jak rootkit Bagle czy wirusy niszczące wykonywalne takie jak np. Virut czy Sality.




Warianty:

Mnóstwo wersji różniących się zestawem aplikowanych plików i zapisów oraz wprowadzanymi uciążliwościami. Podam wyłowione z forum. W przykładach podaję tylko jedną lokalizację pliku autoodtwarzania czyli C:\Autorun.inf, ale te pliki są tworzone na wszystkich dostępnych dyskach twardych i przenośnych.


Wariant svchost.exe (Perlovga Worm / TrojanDropper.Small.Apl)



Przykładowe zapisy w MountPoints2:



Zawartość pliku autorun.inf:






Wariant ctfmon.exe (FakeRecycled)



Przykładowe zapisy w MountPoints2:



Zawartość pliku autorun.inf:





Wariant explorer.exe (WORM_VB.DVP / Trojan Psw.SBoy.a):



Przykładowe zapisy w MountPoints2:



Zawartość pliku autorun.inf:





Wariant activexdebugger32.exe (Amca Worm):



Przykładowe zapisy w MountPoints2:



Zawartość pliku autorun.inf:





Wariant RavMonE.exe / AdobeR.exe (RJump Worm):



Przykładowe zapisy w MountPoints2:



Zawartość pliku autorun.inf:






Wariant PegeFile.pif:




Przykładowe zapisy w MountPoints2:




Zawartość pliku autorun.inf:






Wariant MS32DLL.dll.vbs (VBS.Solow, VBS.Pica.E@mm)

Dodatkowym motywem tej wersji jest dodanie wyświetlania "Hacked by Godzilla" do Paska tytułu przeglądarki Internet Explorer:





Przykładowe zapisy w MountPoints2:




Zawartość pliku autorun.inf:



To tylko jeden z przykładów robaka skryptowego posługującego się plikami VBS. Jest dużo odmian "Hacked by Godzilla". Dodatkowe opisy w bazach antywirusowych:

• VBS.Solow.B (wyświetla na pasku "TAGA LIPA ARE!")
• VBS.Solow.C (wyświetla na pasku "TAGA ESTI, MARINDUQUE MABUHAY!!!")
• VBS.Solow.D (wyświetla na pasku "Hacked by 8BITS")
• VBS_SOLOW.AB (wyświetla na pasku "HELLO WORLD i am VB")

Usuwanie:

1. Szkodliwe pliki autorun.inf i towarzyszące trojany / robaki oraz ich zapisy rejestru potrafi usunąć:

• ComboFix
• Flash Disinfector
• BitDefender Pica Removal Tool
• PRT (Perlovga Removal Tool)

Na rok 2009: najlepsze predyspozycje posiada ComboFix. Reszta narzędzi albo adresuje zbyt wąską grupę wariantów, albo nieaktualizowana. Urządzenia przenośne też mogą być przeczyszczone tymi narzędziami pod warunkiem, że są przestawione z trybu tylko do odczytu na pełny tryb z zapisem (przełącznik Hold na obudowie).

Przykład fragmentu loga z czyszczenia Combofixem:




2. Dodatkowy krok to usunięcie mapowania z klucza MountPoints2. Czyściciele nie likwidują tych zapisów.

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

... z prawokliku skasować podklucz punktujący do zapisu szkodnika. To może być zarówno klucz o nazwie {numerek} (u każdego te numery są inne!) jak i klucz o nazwie litery. Nie wszystkie klucze w MountPoints2 są szkodliwe! O który chodzi, będzie widać w logu z ComboFix.

Jeśli nie jesteście pewni który klucz skasować, w ostateczności możecie ciachnąć z prawokliku cały klucz MountPoints2, co zupełnie usunie mapowanie wszystkiego. Po resecie komputera klucz się samoczynnie zrekonstruuje i rozpocznie się nowe mapowanie. Kasacja całego klucza nie ma skutków ubocznych. Aczkolwiek lepiej udać się po pomoc na forum a wskażemy, co konkretnie ma być skasowane.


3. Proszę się zgłosić na forum podając wymagane ogłoszeniem działu logi oraz informację ile jest dysków w Mój komputer i pod jakimi literami.


UWAGA: Aktualizacja. Problem jest obecnie o wiele bardziej skomplikowany. Tą metodą przenoszą się również cięższe infekcje takie jak rootkit Bagle czy wirusy niszczące wykonywalne takie jak np. Virut / Sality. Leczenie systemów wymaga specjalnych kroków i jest o wiele bardziej rozbudowane.





Zapobieganie Autoodtwarzaniu:

ComboFix i FlashDisinfector samoczynnie przestawiają to ustawienie wprowadzając blokady. Taką funkcję oferuje też program Autoplay Repair, który posiada opcję wyłączania Autoodtwarzania dla wybranych dysków. Można też ręcznie:

Dla Windows 2000 / XP Pro / 2003:

Start >>> Uruchom >>> gpedit.msc

Konfiguracja komputera >>> Szablony administracyjne >>> System

W okienku z prawej strony dwuklik na Wyłącz funkcję Autoodtwarzanie, wybierz opcję Włączone a z rozwijalnej listy wybierz opcję dla wszystkich dysków.



Dla Windows XP Home:

Niestety XP Home nie posiada edytora gpedit.msc. Odpowiednikiem tej akcji jest edycja rejestru. Gotowy plik do zaimportowania, który wyłącza Autoodtwarzanie dla wszystkich dysków: noautorunhome.reg

.

Ten post został edytowany przez picasso: 27/04/2009, 22:25

Niektóre warianty infekcji (amvo.exe) wyłączają opcje pokazywania ukrytych plików, tak że jest niemożliwym spod Windows Explorer wyłowić szkodliwe pliki umieszczone na każdym z dysków. Całkowite wyczyszczenie infekcji usuwa defekt, ale co jeśli to nie nastąpiło? Mimo zablokowanej opcji ukrytych, jest możliwe przejrzenie ukrytych plików na każdym z dysków (wlącznie z przenośnymi):


1. Z pomocą linii komend:

Start >>> Uruchom >>> cmd i wpisujemy następujące komendy:

- Przejście na dysk (gdzie pod X podstawiacie literę dysku widzianą w Mój komputer): X:
- Wylistowanie ukrytych obiektów na dysku: DIR /A:H
- Idąc dalej, pozbawienie plików atrybutów ukryte: ATTRIB -S -H NazwaPliku
- Skasowanie plików (o ile to możliwe): DEL NazwaPliku

Przykładowa zawartość pendrive:



2. Za pomocą zewnętrznych menedżerów plików takich jak np. komercyjny Total Commander czy darmowy FreeCommander, z ustawioną opcją przeglądania ukrytych.








Niektóre warianty infekcji z pendrive generują efekt otwierania dysków z Mój komputer w nowych oknach, zamiast w tym samym. Efekt ten nie znika, mimo wyczyszczenia niektórymi narzędziami i braku znaków infekcji na komputerze. Korekta odbywa się przez edycję rejestru. Wklej do Notatnika:



Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG

Dwuklik na plik, zatwierdź import do rejestru, dla zatwierdzenia zmian zresetuj komputer.





.

Windows 7

Microsoft przeprowadził radykalny zabezpieczający krok wycięcia funkcjonalności autorun dla USB: klik.

Wyłączenie Autoodtwarzania opisane wyżej jest już niestety niewystarczające - adresuje bowiem tylko jeden z typów wykonywania infekcji. Poza tym klucz mountpoints2, trzymający całe cache podpinanych urządzeń i przypisanych im akcji, przebija te ustawienia (menu AutoPlay się nie pokazuje ale trojan i tak się wykona po kliku w dysk). Poniżej kilka uzupełniających metod (do wyboru) blokowania roznoszenia infekcji robakami na dyski twarde podczas podpinania pendrive:



1. Metoda przez wprowadzenie niekasowalnych folderów lub plików o nazwie autorun.inf na każdym dysku, które uniemożliwiają generowanie rzeczywistych plików infekcji. Ich obecność powoduje, że pliki autorun.inf typu infekcyjnego nie mogą się zapisać w root dysków (= poza tą lokalizacją nie działają). Domyślna reakcja Windows: jeśli w danej lokalizacji istnieje folder o tej samej nazwie jak plik, który chce się zapisać = plik nigdy nie zapisze się obok folderu tylko od razu w nim (lub wcale).

Narzędzia

Flash Disinfector - Nakłada blokadę przed infekcją w postaci tworzenia ukrytych niekasowalnych folderów o nazwie autorun.inf na każdym dysku twardym oraz przenośnych dostępnych dla tego czyściciela. Foldery zwracają błędy kasacji gdyż są w nich utworzone pliki ze sztuczką w nazwie uniemożliwiającą odczyt tego obiektu. Czy takie foldery da się skasować? Tak, są na to sposoby, ale chodzi nam o zabezpieczenia i nie będziemy tego omawiać.



Panda USB Vaccine - Moduł USB Vaccination tworzy niekasowalny plik autorun.inf na dyskach USB sformatowanych w FAT / FAT32 (nie dotyczy NTFS). Przypuszczalnie użyto tutaj jakiś myk z wadą struktury nazwy w tablicy FAT. Tego pliku nie da się pozbyć żadną tradycyjną metodą, a jedyny oficjalny tip odkręcenia tego to sformatowanie dysku. Jednakże narzędzia Linuxa potrafią to upłynnić.

Autorun Protector - Moduł Device Protection tworzy niekasowalny plik autorun.inf, ale tylko dla systemu plików NTFS. Na FAT plik jest jak najbardziej kasowalny (tu kłania się rozwiązanie z Pandy). Metoda jest tu inna niż w przypadku wyżej wymienionych. Opiera się na korzyściach systemu zabezpieczeń NTFS - po prostu dla pliku autorun.inf jest ustawiana Odmowa dostępu. Operacja jest do odkręcenia: sam program umożliwia usuwanie takich plików, a ręcznie po prostu trzeba wiedzieć jak posługiwać się uprawnieniami.

UWAGA:

Jest wiele takich narzędzi zabezpieczających, które deklarują immunizację USB poprzez tworzenie folderów autorun.inf, ale ich metoda jest niewystarczająca. Przykładowo folder autorun.inf utworzony narzędziami typu AutoRunGuard / Sokx Pro / Ninja Pendisk bardzo łatwo skasować. Mimo, że jest on zaatrybutowany jako systemowy i tylko do odczytu, to nie jest 100% pewna bariera dla nowych infekcji. Aktualnie są takie zagrożenia USB, które potrafią ten folder wyeliminować. By folder był w pełni niekasowalny, musi zawierać w sobie podobiekt mający "wadę nazwy" lub nazwę z obszaru zastrzeżonego skutecznie uniemożliwiające kasację. Wyliczone powyżej Flash Disinfector + Panda USB Vaccine realizują metodę błędów nazewniczych. Tutaj jeszcze pliczek BAT do spożytkowania:

Prevent viruses from deleting the autorun.inf folder created on your USB flash drive
Successfully creating an autorun.inf folder with this batch file

2. Kompletne wyłączenie odczytu plików autorun.inf spod systemu. Metoda ta jest bardzo skuteczna. Skutki uboczne tego ustawienia: nie uruchomią się żadne pliki autorun.inf, a więc i te na płytkach gier czy określonego pożytecznego oprogramowania. Sticki typu U3 przestaną działać (ich LaunchPad wymaga używania autorun.inf). Jeśli któraś z tych okoliczności występuje, lepszą alternatywą jest FlashDisinfector.

Ręcznie

Otwórz Notatnik i wklej do niego:

KOD

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG

Dwuklik na plik, zatwierdź import do rejestru, dla zatwierdzenia zmian zresetuj komputer.

Automatycznie

To samo lecz automatycznie prowadzą następujące narzędzia:

• Panda USB Vaccine (w sekcji Computer Vaccination)
• Autorun Protector (w sekcji PC Protection)
• AutoRunGuard (ma w paczce gotowe pliki REG)

3. Odebranie uprawnień (otwieranie dysków w Mój komputer nie spowoduje przypisania szkodliwej funkcji open+explore).

Start >>> Uruchom >>> regedit i z prawokliku na klucz:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Opcja Uprawnienia >>> zaznaczyć dane konto użytkownika >>> zaznaczyć Odmów na Pełnej kontroli:





4. Inne programy:

• AVZ Antiviral Toolkit ma strażnika AVZGuard, który jako jedną z funkcji ma blokowanie generowania plików autorun.inf.
• AutoRunGuard umożliwia tworzenie reguł zachowawczych
• Net Studio USB FireWall ... hmmm ... nie wiem co to za jeden i czy aby rzeczywiście sprawny .... Ten jego interfejs wygląda dość dyletancko.

Ten post został edytowany przez picasso: 7/11/2009, 8:10

Aktualizacja: programy przeniosłam do sekcji Darmowego oprogramowania:

http://www.searchengines.pl/Zabezpieczenia...SB-t123572.html



Ten post został edytowany przez picasso: 30/03/2009, 21:33

Adnotacja dla czytających zarówno ten, jak i inne tematy przyklejone/ogłoszenia:

Jak wiemy, użytkowniczka @picasso nie gości już na tym forum. Co za tym idzie, tematy napisane przez nią tu nie pozostaną. Zostaną zastąpione nowymi, zaktualizowanymi opisami użycia programów/wykonania czynności/lekko zmienionym regulaminem działu (jak widać większość z nich jest po prostu przestarzała) już za jakiś czas. Nie zdziwcie się, jeśli na razie będą one częściowo rozwalone (np. odniesienia w pierwszym poście nie będą odnosić się do tego opisu lub podobne), będzie brakować kliku postów lub po prostu któryś wątek zniknie na kilka dni.

Miłego czytania