Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

o tym jak FAT32 oparł się robakowi z TOP 1 :-)

Kilka dni temu zdarzyła mi się przygoda - pożyczyłem mój pendrive do wywołania zdjęć - pen wrócił z niespodzianką :-)

Po podłączeniu pendrive'a do mojego kompa zajrzałem do niego tak trochę bez większego zastanowienia i tutaj właśnie owa niespodzianka - w katalogu głównym jest sobie plik coś tam exe. Rozbudziłem się momentalnie - od czasu gdy chyba w 2001 czy 2002 roku złapał mnie blaster nie miałem żadnego robaka, wiec postanowiłem szybko zbadać, co naruszyło po całej dekadzie mój spokój. Nie używam żadnego antywirusa - musiałem sobie coś ściągnąć - padło na Microsoft Safety Scaner - bo nie wymagał instalacji - uruchamiam i MS wrzucił mi na zielonym tle, że wszystko gra ;-) Nie uwierzyłem oczywiście w te info - zastanowiłem się, czym by jeszcze ten plik sprawdzić. Nie chciałem instalować żadnego antywira - na szczęście przypomniało mi się, że mój firewall ma jakiś anty-malware, który jednak mam zawsze wyłączony. Włączyłem wiec go by zeskanował pendrive i nagle groźny, czerwony alert - moja niespodzianka (z TOP 1 obecnych robaków) rozgościła się jako podejrzany exe i dodatkowo jako ósmy pasażer nostromo w śmietniku pendrive'a - diagnoza: Worm/Win32.Kido" zwany też Confickererm...odetchnąłem z ulgą :-)

Windows na którym montowałem pendrive'a był przygotowany na to:
-po pierwsze: był zaktualizowany i podatna na atak usługa była załatana;
-po drugie: ponieważ nie używam w domu sieci lokalnej, wyłączoną miałem usługę server, którą to właśnie exploitował Conficker;
-po trzecie: praca na koncie restricted usera, co oznacza, ze Conficker nie mógł włączyć tej usługi, żeby ją sobie exploitować i wykonać kod z uprawnieniami systemowymi.

r   e   k   l   a   m   a

Przy bliższym przyglądnięciu się sprawie okazało się jednak jeszcze coś zabawniejszego. Otóż, dawno, dawno temu 'zabezpieczyłem' swojego pendrive'a na tyle, na ile można to ręcznie zrobić gdy jest na FAT32 - tj. stworzyłem w nim drzewo katalogów Pendrive:/autorun.inf/aux i nadałem już tylko pro forma archaiczne atrybuty: systemowy + tylko do odczytu.
Co to dało ?
Otóż, tworząc katalog autorun.inf sprawiamy, że nie można utworzyć już pliku o tej nazwie (które są wykorzystywane do autouruchamiania), w środku natomiast znalazł się katalog "aux", który przez windows jest taktowany specjalnie ze wzgląd na prehistoryczną kompatybilność. W sumie sprawia to, że robak próbując utworzyć/modyfikować autorun.inf dostaje błąd, jeśli jest na to gotowy, może skasować autorun.inf, ale gdy w środku siedzi "aux" dostanie kolejny błąd; jeśli jest na to gotowy, skasuje najpierw "aux", ale wymaga specyficznego podania ścieżki do tego katalogu (wiec musi być na to gotowy), a potem może skasować katalog autorun.inf i wtedy będzie mógł utworzyć plik autorun.inf.

Conficker nie poradził sobie z z tą biedną sztuczką; nawet gdybym pendrive włożył do zupełnie niezabezpieczonego windowsa, ten nie zostałby zainfekowany - jako, że bez pliku autorun.inf winda nie uruchamia żadnego pliku automatycznie z pendrive'a.

Tak oto niepozorny pendrive z FAT32 odparł pogromcę windowsów ;-)

 

Komentarze