In ultimii ani, devin din ce în ce mai populare malware-ului, ca parte care are o funcționalitate vierme, care este folosit pentru a răspândi malware prin intermediul mass-media amovibil (de exemplu, chei flash-ului). În acest articol vom vorbi despre acest tip de malware și cum să se ocupe cu ea.
O caracteristică a acestor viermi este abilitatea de a răspândi prin intermediul mass-media amovibil, folosind script de pornire autorun.inf. Până în prezent, Kaspersky Lab detectează și 100 de noi modificări ale Autorun-viermi pentru Windows pe o bază de zi cu zi. prelucrare dinamica de noi versiuni de viermi ale familiei Worm.Win32.Autorun (clasificarea LC) este reprezentat pe diagramă:
Din fericire, este posibil pentru a proteja computerul de la invazia de către o întreagă armată AutoRun viermi. Activitatea acestor programe rău intenționate este posibilă numai în cazul în care setările autorun politicii de securitate locală este activată cu mass-media amovibil.
fișierele script sunt localizate în directorul rădăcină al discului amovibil, acesta se deschide ferestrele lor atunci când un operator de transport nou. Pentru a reduce probabilitatea de detecție, fișierul „autorun.inf“ și directorul în care ați plasat fișierul malware-ului, atribui atribute „ascunse“ și / sau „System“. De asemenea, directoarele și fișierele pot fi atribuite nume care imita directorul de sistem de operare:
Conținutul discului amovibil cu viermele ascuns s-ar putea arăta astfel:
Structura script-ul de pornire «autorun.inf» vă permite să le folosească pentru a răspândi malware datorită următoarelor caracteristici:
Aceste defecte suficiente pentru răspândirea de cod malițios trimițându-l în parametrii de pornire ca argumente pentru un anumit interpret. Este cunoscut faptul că printre cei prezenți ca standard în Windows (fără a apela DOS-subsistemului, care este adesea blocate de software de securitate sau de către utilizator ca inutile) potrivit pentru acest scop este o smd.exe coajă.
Astfel, posibilitatea de a introduce codul virusului de la un script de pornire depinde direct de capabilitățile procesorului de comandă Windows, fiind deosebit de important:
• Windows comandă interpret este în măsură să ia o comandă de procesare la cheie extinse, suprascrie valoarea setată în setările de registry pentru a le accesa;
• linia de comandă, puteți specifica o înlănțuire de comenzi;
• Echipele pot fi grupate împreună, plasând prioritatea tuturor operațiunilor după cum se dorește;
• Există un mod extins de comenzi de procesare care stabilesc corespondența între extensiile, tipuri de fișiere numite și programe desfășurate;
• interpret vă permite să rulați un fișier de program sau un lot fără referire la fereastra declanșa un script.
Încă nu am atins cu privire la posibilitatea de răspândire a viermilor care folosesc medii amovibile, cum ar fi unitățile CD și DVD. Cu toate acestea, acest lucru este posibil cu built-in Windows XP și de mai sus programul de înregistrare CD-uri. Această caracteristică rezultă din faptul că directorul temporar în care să plaseze fișierele de înregistrare este fixat.
Metode de abordare a acestor amenințări și dezavantajele acestora:
1. Autorun Disable din mass-media amovibil. Nu este întotdeauna acceptabil pentru utilizator mediu, se reduce în mod semnificativ gradul de utilizare a shell Windows.
2. Comenzile de procesare batch Disable. Nu este o soluție universală, pentru că este posibil de a oferi un script rău intenționat îmbunătățită, care nu utilizează fișierele intermediare lot ca atare și sunt sarcina principală, sau în corpul dumneavoastră pentru a direcționa lansarea sau setările de registry pentru a controla interceptarea shell.
3. Ban accesul utilizatorului la shell ca un întreg. soluție eficientă suficient în absența necesității de a utiliza shell pe sistemul țintă, deși nu este potrivit ca o masă. Cu toate acestea, atunci când se utilizează fișiere script extern sau utilitare de sistem cum ar fi reg (disponibil în Windows XP Home Edition), sau cacls toate aceste restricții pot fi ridicate direct de la autorun.inf, fără a pune coajă.
4. Neutilizarea migrarea încorporat pentru fișierele media amovibile. De multe ori, dar nu întotdeauna acceptabil pentru utilizatorul final.
5. Pentru a configura politica de grup pentru a permite conectarea mass-media amovibil cu identificator unic al dispozitivului incluse în lista permisă în cadrul acestei politici (numai pentru Windows Vista și de mai sus).
În Windows XP Home Group Policy Management completare snap-in nu este disponibil, dar același efect poate fi realizat prin editarea manuală a registry:
1. Start - Run - regedit '' enter - OK.
2. HKLMSOFTWAREMicrosoftWindowsCurrentVersionPolicies deschisă.
3. Crearea unei noi partiții
4. Redenumiți partiția creată în Explorer
5. În această secțiune, creați un NoDriveTypeAutoRun cheie.
Valorile valide pentru cheie:
0x1 - dezactivați Autorun pe drive-urile de tip necunoscut
0x4 - dispozitive detașabile dezactivați Autorun
0x8 - dezactivați Autorun dispozitive nesemnym
0x10 - unități de rețea dezactivați Autorun
0x20 - dezactivați Autorun CD-drive
0x40 - dezactivați Autorun RAM-disc
0x80 - dezactivați Autorun pe drive-urile de tip necunoscut
0xFF - dezactivați Autorun toate unitățile la toate.
Valorile pot fi combinate prin însumarea valorilor numerice. O alta (mai convenabil) opțiunea dezactivați Autorun este de a crea un fișier text cu extensia «*» .reg cu următorul cuprins și introducerea în registrul de informații pe care le conține:
Windows Registry Editor Version 5.00
De asemenea, este necesar să se ia în considerare faptul că în cazul în care dispozitivul amovibil este deja conectat la sistemul de pornire atunci când, s-a adăugat identificatorul la cheie de registry:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerMountPoints2]
Iar la următoarea pornire, în ciuda autorun dezactivat, dispozitivul va rula ca înainte
Pentru a preveni acest lucru trebuie să eliminați cheia de mai sus pentru toate profilurile de utilizator. Data viitoare când porniți cheia de sistem este re-creat, dar nu va conține nici o informație anterioară de pornire.