Большой обман на маленьких носителях

Dec 14, 2008 16:14

http://www.computerra.ru/reviews/384349/
Большой обман на маленьких носителях
Автор: Андрей Васильков
Опубликовано 27 ноября 2008 года

Побочный эффект массовости

Популярность флэшек подарила вторую жизнь файловым и загрузочным вирусам, ранее облюбовавшим дискеты. Дело в том, что Windows XP Home в настройках по умолчанию использует функцию автозапуска для сменных носителей и выполняет содержимое файла autorun.inf.

На зараженном USB-flash-диске создается файл автозапуска и скрытая папка (чаще всего, маскирующаяся под "Корзину"). В этой папке размещается вредоносный код одним или несколькими файлами. Как правило, это троян (в качестве боевой начинки) и дроппер (для доставки трояна к цели в обход антивирусов).

Достаточно вставить такую флэшку в USB-порт, и компьютер под управлением Windows XP Home инфицируется. Для Pro-версии и Vista автоматическое выполнение команд из файла autorun.inf запрещено. Сначала появляется окно выбора действия - и выполнение автозапуска лишь одно из них. Это небольшое отличие вряд ли поможет, поскольку существуют способы обмана пользователя - например, подмена стандартных пунктов ("открыть", "Проводник", "найти") на вызов дроппера или замена иконки диска.

Кардинальное решение проблемы под XP и "Вистой" одинаковое: необходимо отказаться от медвежьей услуги автоматической обработки сменных носителей.

В WinXP Pro и Vista (за исключением Home Basic и Home Premium) это можно сделать путем редактирования локальной политики gpedit.msc: Computer configuration/Administrative templates/System/Turn off autoplay.

В не имеющих gpedit.msc версиях XP и Vista следует напрямую отредактировать соответствующие ключи реестра (см. ниже).

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

policies\Explorer\NoDriveTypeAutoRun] "NoDriveTypeAutoRun"=dword:000000b5

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000b5

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

Explorer\AutoplayHandlers\CancelAutoplay\Files]

''*.*''=''''

Здесь 000000b5 - это сумма параметров (в шестнадцатеричном виде). Значения 80(h) и 1 отключают автозапуск на приводах неизвестных типов (можно указать оба - для гарантии, хуже не будет); 20(h) - с оптических приводов; 10 - для сетевых дисков; 4 - для съемных устройств. Вместо 000000b5 можно указать 0xFF - тогда отключится автозапуск со всех носителей.

Вдобавок стоит удалить ключ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2, в котором хранится информация об устройствах, подключенных ранее в режиме автозапуска.

Код троянов и дропперов меняется довольно часто, и если пользователь пренебрегает антивирусными обновлениями, он рискует вдвойне, потому что эвристика здесь практически бессильна.

вирусы

Previous post Next post
Up