Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

o tym jak FAT32 oparł się robakowi z TOP 1 :-)

Kilka dni temu zdarzyła mi się przygoda - pożyczyłem mój pendrive do wywołania zdjęć - pen wrócił z niespodzianką :-)

Po podłączeniu pendrive'a do mojego kompa zajrzałem do niego tak trochę bez większego zastanowienia i tutaj właśnie owa niespodzianka - w katalogu głównym jest sobie plik coś tam exe. Rozbudziłem się momentalnie - od czasu gdy chyba w 2001 czy 2002 roku złapał mnie blaster nie miałem żadnego robaka, wiec postanowiłem szybko zbadać, co naruszyło po całej dekadzie mój spokój. Nie używam żadnego antywirusa - musiałem sobie coś ściągnąć - padło na Microsoft Safety Scaner - bo nie wymagał instalacji - uruchamiam i MS wrzucił mi na zielonym tle, że wszystko gra ;-) Nie uwierzyłem oczywiście w te info - zastanowiłem się, czym by jeszcze ten plik sprawdzić. Nie chciałem instalować żadnego antywira - na szczęście przypomniało mi się, że mój firewall ma jakiś anty-malware, który jednak mam zawsze wyłączony. Włączyłem wiec go by zeskanował pendrive i nagle groźny, czerwony alert - moja niespodzianka (z TOP 1 obecnych robaków) rozgościła się jako podejrzany exe i dodatkowo jako ósmy pasażer nostromo w śmietniku pendrive'a - diagnoza: Worm/Win32.Kido" zwany też Confickererm...odetchnąłem z ulgą :-)

Windows na którym montowałem pendrive'a był przygotowany na to:
-po pierwsze: był zaktualizowany i podatna na atak usługa była załatana;
-po drugie: ponieważ nie używam w domu sieci lokalnej, wyłączoną miałem usługę server, którą to właśnie exploitował Conficker;
-po trzecie: praca na koncie restricted usera, co oznacza, ze Conficker nie mógł włączyć tej usługi, żeby ją sobie exploitować i wykonać kod z uprawnieniami systemowymi.

Przy bliższym przyglądnięciu się sprawie okazało się jednak jeszcze coś zabawniejszego. Otóż, dawno, dawno temu 'zabezpieczyłem' swojego pendrive'a na tyle, na ile można to ręcznie zrobić gdy jest na FAT32 - tj. stworzyłem w nim drzewo katalogów Pendrive:/autorun.inf/aux i nadałem już tylko pro forma archaiczne atrybuty: systemowy + tylko do odczytu.
Co to dało ?
Otóż, tworząc katalog autorun.inf sprawiamy, że nie można utworzyć już pliku o tej nazwie (które są wykorzystywane do autouruchamiania), w środku natomiast znalazł się katalog "aux", który przez windows jest taktowany specjalnie ze wzgląd na prehistoryczną kompatybilność. W sumie sprawia to, że robak próbując utworzyć/modyfikować autorun.inf dostaje błąd, jeśli jest na to gotowy, może skasować autorun.inf, ale gdy w środku siedzi "aux" dostanie kolejny błąd; jeśli jest na to gotowy, skasuje najpierw "aux", ale wymaga specyficznego podania ścieżki do tego katalogu (wiec musi być na to gotowy), a potem może skasować katalog autorun.inf i wtedy będzie mógł utworzyć plik autorun.inf.

Conficker nie poradził sobie z z tą biedną sztuczką; nawet gdybym pendrive włożył do zupełnie niezabezpieczonego windowsa, ten nie zostałby zainfekowany - jako, że bez pliku autorun.inf winda nie uruchamia żadnego pliku automatycznie z pendrive'a.

Tak oto niepozorny pendrive z FAT32 odparł pogromcę windowsów ;-)

 

Komentarze

0 nowych
NRN   9 #1 19.07.2011 01:32

0. Całkiem ciekawa przygoda, i w dodatku dobrze opisana :D
1. Skąd niechęć do oprogramowania zabezpieczającego poza "ogniościaną"? :P
2. W przypadku dobrze skonfigurowanych opcji autoplay'a / autorun'a (Opcja "Pytaj" dla każdego działania, lub całkowite wyłączenie) nawet obecność autorun.inf nie powinna spowodować żadnego problemu. Koniec końców, musiałbyś kliknąć w wyskakującym okienku opcję wykonania polecenia z tegoż pliku - a to już zależy tylko od Ciebie ;)
3. Stinger przypadkiem nie działa bez instalacji?
4. Antywirus niewymagający instalacji - open sourcowy ClaimWin Portable - http://portableapps.com/apps/utilities/clamwin_portable

Sądzę, że punkt 4 może Ci się przydać - skoro już nie chcesz niczego instalować, nie zaszkodzi mieć antywirusa na pendrive'ie ;)

kamil_w   11 #2 19.07.2011 12:32

Krzyśku - z drugim punktem nie mogę się zgodzić. Sama konfiguracja automatycznego uruchamiania nie działa tak jak powinna. Przez jakiś czas zarządzałem kilkoma komputerami na uczelni i musiałem sobie z tym poradzić w inny sposób. Zrobiłem to poprzez edycję rejestru.

W ścieżce:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping

dodałem dwa klucze:
Autorun.inf
Autorun.ini

i ustawiłem ich wartość domyślną na:
SYS:DoesNotExist

Tym sposobem system całkowicie ignoruje te pliki, tak więc żadne programy z nośników przenośnych nie są uruchamiane automatycznie.

Rozwiązanie to działa świetnie pod Vistą i Siódemką. Nie wiem jak sprawa wygląda pod Windowsem XP - nie sprawdzałem.

kwpolska   6 #3 19.07.2011 13:00

trick z /autorun.inf/... dziala tez na ntfs-ie.

whanamingo   2 #4 19.07.2011 15:53

Polecam wypróbować darmowe narzędzie Panda USB Vaccine

Zabezpiecza pendrivy (FAT32) - tworzy specjalnie spreparowany niedający się usunąć plik autorun.inf (tylko format pomaga) i system jednocześnie...

Zabezpiecza również system przed autouruchomieniem programów...

Po zainstalowaniu program można skopiować i działa jako portable...

Pojawił sie na 2 lata przed poprawką M$.... :)

Karach   3 #5 19.07.2011 16:04

Jeśli nie chcesz instalować skanera, polecam stronkę: http://www.virustotal.com/. Plik, który tam przesyłasz, zostanie przeskanowany około 40 silnikami antywirusowymi (z najnowszymi dostępnymi sygnaturami). Oczywiście wtedy zwykle musisz mieć podejrzenie, że plik który tam wysyłasz może być szkodliwy. Całego dysku za pomocą takiej stronki nie przeskanujesz. ;)

Xirdus   2 #6 19.07.2011 19:56

@kamil_w
Ja mam lepszy sposób - zamiast "usuwać" wszelkie autorun.inf to wyłączyć autorun w rejestrze. HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer> NoDriveTypeAutorun ustawiasz na 255 (0xFF).

Zabezpieczenie pendraka i tak się przyda - żeby jakiś mniej świadomy użytkownik nie złapał nowego syfa "z twojej winy".

dingo12   3 #7 19.07.2011 20:07

Ciekawy wpis. Robaka też nie miałem od dekady. Trzeba patrzeć co się ściąga i tak jak @Karach napisał można sprawdzać pobrane pliki przez tą stronę (do 20MB bodajże).
No ale na pendrive to nie pomorze.
O przypomniałem sobie! Byłem na domkach kiedyś. Zabrałem także mojego netbooka i głośniki. Kolega tylko podłączył MP3 i musiałem zrobić format na dwóch partycjach, bo obie były zakażone (ta sama odmiana - autorun). Ale chociaż zmusił mnie do tego, bo już syf się zalęgał na dysku.

dingo12   3 #8 19.07.2011 20:08

pomoże*

przemek1234   7 #9 19.07.2011 21:16

Od momentu którejś tam aktualizacji (na stary XP też takową wydali) Windows ignoruje pliki autorun.inf z nośników innych niż dyski optyczne.

_qaz7   6 #10 19.07.2011 21:22

@NRN
Ad.1 - miałem antyvira za czasów XP do XP.SP2,w tym czasie odezwał się raptem kilka razy i to w momentach gdy mogłem się tego spodziewać (darmowe gry z adwarami w środku), więc po prostu wraz ze instalacją SP3 pozbyłem się go i tak już zostało.

@kamil_w & Xirdus
"NoDriveTypeAutorun ustawiasz na 255 (0xFF)" - kiedyś explorer niewłaściwie interpretował ten wpis, ale łata z września 2009 (2010?) naprawiła ten błąd. Jeśli łata jest zainstalowana powinien się pojawić wpis wpis:
HonorAutoRunSetting = 0x1 w HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer

DawidDS4   5 #11 19.07.2011 21:31

Jak dla mnie najlepszy wpis co najmniej tygodnia. Życiowe, może się zdarzyć każdemu i przydatne. Czekam na więcej.

997   5 #12 20.07.2011 10:05

Chciałbym tylko zaznaczyć, że autorun nie jest odpowiedzialny za wszystkie infekcje z pendrive, dlatego zawsze warto zrobić skanowanie po wtykaniu w "brudne dziurki".

I według mnie najskuteczniejszy jest FlashDisinfector jeśli chodzi o autorun.

mgr.inz.Player   6 #13 30.07.2011 22:34

Tworzenie katalogu aux w katalogu autorun.inf:
1) tworzymy katalog autorun.inf
2) tworzymy wewnątrz katalogu katalog auxx (dwa x na końcu)
3) z konsoli wpisujemy:
move \\.\e:\autorun.inf\auxx \\.\e:\autorun.inf\aux

gdzie e: to litera przydzielona naszemu pendrive

  #14 31.10.2011 13:39

Jaki to firewall z antymalware?

  #15 08.02.2014 23:56

a nie prościej tak:

md \\.\\x:\autorun.inf\aux

gdzie x: to literka pendriva.

  #16 18.10.2014 21:25

Dzięki za sposób, zabezpieczam każdego pendraka jakie mi wpadnie w ręce... ;)