Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

o tym jak FAT32 oparł się robakowi z TOP 1 :-)

Kilka dni temu zdarzyła mi się przygoda - pożyczyłem mój pendrive do wywołania zdjęć - pen wrócił z niespodzianką :-)

Po podłączeniu pendrive'a do mojego kompa zajrzałem do niego tak trochę bez większego zastanowienia i tutaj właśnie owa niespodzianka - w katalogu głównym jest sobie plik coś tam exe. Rozbudziłem się momentalnie - od czasu gdy chyba w 2001 czy 2002 roku złapał mnie blaster nie miałem żadnego robaka, wiec postanowiłem szybko zbadać, co naruszyło po całej dekadzie mój spokój. Nie używam żadnego antywirusa - musiałem sobie coś ściągnąć - padło na Microsoft Safety Scaner - bo nie wymagał instalacji - uruchamiam i MS wrzucił mi na zielonym tle, że wszystko gra ;-) Nie uwierzyłem oczywiście w te info - zastanowiłem się, czym by jeszcze ten plik sprawdzić. Nie chciałem instalować żadnego antywira - na szczęście przypomniało mi się, że mój firewall ma jakiś anty-malware, który jednak mam zawsze wyłączony. Włączyłem wiec go by zeskanował pendrive i nagle groźny, czerwony alert - moja niespodzianka (z TOP 1 obecnych robaków) rozgościła się jako podejrzany exe i dodatkowo jako ósmy pasażer nostromo w śmietniku pendrive'a - diagnoza: Worm/Win32.Kido" zwany też Confickererm...odetchnąłem z ulgą :-)

reklama

Windows na którym montowałem pendrive'a był przygotowany na to:
-po pierwsze: był zaktualizowany i podatna na atak usługa była załatana;
-po drugie: ponieważ nie używam w domu sieci lokalnej, wyłączoną miałem usługę server, którą to właśnie exploitował Conficker;
-po trzecie: praca na koncie restricted usera, co oznacza, ze Conficker nie mógł włączyć tej usługi, żeby ją sobie exploitować i wykonać kod z uprawnieniami systemowymi.

Przy bliższym przyglądnięciu się sprawie okazało się jednak jeszcze coś zabawniejszego. Otóż, dawno, dawno temu 'zabezpieczyłem' swojego pendrive'a na tyle, na ile można to ręcznie zrobić gdy jest na FAT32 - tj. stworzyłem w nim drzewo katalogów Pendrive:/autorun.inf/aux i nadałem już tylko pro forma archaiczne atrybuty: systemowy + tylko do odczytu.
Co to dało ?
Otóż, tworząc katalog autorun.inf sprawiamy, że nie można utworzyć już pliku o tej nazwie (które są wykorzystywane do autouruchamiania), w środku natomiast znalazł się katalog "aux", który przez windows jest taktowany specjalnie ze wzgląd na prehistoryczną kompatybilność. W sumie sprawia to, że robak próbując utworzyć/modyfikować autorun.inf dostaje błąd, jeśli jest na to gotowy, może skasować autorun.inf, ale gdy w środku siedzi "aux" dostanie kolejny błąd; jeśli jest na to gotowy, skasuje najpierw "aux", ale wymaga specyficznego podania ścieżki do tego katalogu (wiec musi być na to gotowy), a potem może skasować katalog autorun.inf i wtedy będzie mógł utworzyć plik autorun.inf.

Conficker nie poradził sobie z z tą biedną sztuczką; nawet gdybym pendrive włożył do zupełnie niezabezpieczonego windowsa, ten nie zostałby zainfekowany - jako, że bez pliku autorun.inf winda nie uruchamia żadnego pliku automatycznie z pendrive'a.

Tak oto niepozorny pendrive z FAT32 odparł pogromcę windowsów ;-)

 

reklama
r   e   k   l   a   m   a

Komentarze