Mi autorun-féreg, és mit kell enni - telepítés, konfigurálás, optimalizálás, hasznosítás
Az utóbbi években egyre népszerűbb malware, amelynek keretében olyan féreg funkcionalitás, mellyel elterjedt malware keresztül cserélhető adathordozók (pl, flash gombok). Ebben a cikkben fogunk beszélni ezt a fajta rosszindulatú programok és hogyan kell kezelni azt.
A jellemzője ezeknek a férgek az a képesség, hogy keresztül terjed cserélhető adathordozók segítségével autorun.inf startup script. A mai napig, a Kaspersky Lab érzékeli és 100 új módosításai Autorun-féreg a Windows naponta. A dinamikus új verziói férgek a család Worm.Win32.Autorun (osztályozás LC) képviselteti magát az ábra:
Szerencsére lehetőség van a számítógép védelmét a invázió egy egész sereg Autorun-férgeket. A munka a rosszindulatú programok csak akkor lehetséges, ha a beállítások a helyi biztonsági házirend lejátszás engedélyezett a cserélhető adathordozókon.
A script fájlok találhatók a gyökérkönyvtárban a kivehető lemez, megnyitja saját Windows, amikor egy új hordozót. Ahhoz, hogy csökkenti a valószínűségét felderítése, a fájl „autorun.inf”, és a könyvtárba, ahova a kártevő fájlt, hozzá attribútumok „Rejtett” és / vagy „rendszer”. Továbbá, könyvtárak és fájlok lehet rendelni nevek, amelyek utánozzák az OS rendszer mappát:
Tartalma a cserélhető lemezt a féreg elrejti azt a következőképpen nézhet ki:
Felépítése a startup script «autorun.inf» lehetővé teszi, hogy használja őket, hogy elterjedt malware miatt az alábbi szolgáltatásokat:
Ezek a hibák elegendő a rosszindulatú kód megküldésével az indítási paraméterek érvek bizonyos tolmács. Köztudott, hogy azok között, jelen standard Windows (anélkül, hogy a DOS-alrendszert, amely gyakran akadályozza a biztonsági szoftvert vagy a felhasználó által szükségtelennek) használható erre a célra egy shell smd.exe.
Így bevezetésének lehetőségét a vírus kódját a script indításakor függ közvetlenül a Windows parancs processzor képességeit, különösen fontosak az:
• A Windows parancsértelmező képes átvenni egy kiterjesztett kulcsrakész feldolgozás parancs felülírja a beállított értéket a rendszerleíró beállításokat hozzáférni;
• A parancssorba megadhatja láncolata parancs;
• csapatok csoportosítani lehet, forgalomba elsőbbségi összes művelet kívánság;
• Van egy kiterjesztése mód feldolgozási parancsok létrehozása közötti levelezés bővítmények megadott típusú fájlok és a programok futtatására;
• tolmács segítségével futtatni egy programot, vagy batch file hivatkozás nélkül az ablakon kiváltó script.
Még mindig nem érintette a lehetőségét, hogy a terjedését férgek segítségével cserélhető adathordozón, például CD-és DVD-meghajtók. Azonban ez a lehetőség a beépített Windows XP és felette programot a felvétel CD-n. Ez a funkció abból a tényből fakad, hogy az ideiglenes mappát, ahová helyezni a fájlokat felvételt rögzített.
Módszerekkel foglalkozó ezeket a veszélyeket és azok hátrányai:
1. Kapcsoljuk ki az automatikus lejátszás cserélhető adathordozóról. Nem mindig elfogadható az átlagos felhasználó számára, mivel jelentősen csökkenti a használhatóságát a Windows shell.
2. Kapcsolja ki kötegelt feldolgozás parancsokat. Nem egy univerzális megoldás, mert lehetőség van arra, hogy egy továbbfejlesztett rosszindulatú szkript, amely nem használja a közbenső kötegfájlokat utal, és a fő terhelés, vagy a szervezetben, hogy közvetlen a dob, vagy a rendszerleíró adatbázis beállításait, hogy ellenőrizzék a lehallgatás héj.
3. Ban a felhasználói hozzáférést a héj egészére. Elég hatékony megoldás hiányában a szükségességét, hogy a héj a célrendszerben, bár ez nem alkalmas arra, hogy tömeget. Azonban, amikor a külső script fájlokat vagy rendszer segédprogramok, mint a reg (a Windows XP Home Edition) vagy cacls mindezen korlátozásokat lehet emelni közvetlenül autorun.inf anélkül hogy a héj.
4. Ha nem a beépített migráció cserélhető média fájlokat. Gyakran, de nem mindig elfogadható a végfelhasználó.
5. konfigurálása csoportházirend lehetővé teszi a kapcsolatot a cserélhető adathordozók egyedi készülék azonosítót szerepel a listán az engedélyezett e politika keretében (csak Windows Vista és újabb).
A Windows XP Home Group Policy Management beépülő modul nem áll rendelkezésre, de ugyanazt a hatást lehet elérni kézzel a rendszerleíró adatbázis szerkesztése:
1. Start - Futtatás - 'regedit' parancsot adja - OK.
2. Nyissa HKLMSOFTWAREMicrosoftWindowsCurrentVersionPolicies.
3. Hozzon létre egy új partíciót
4. Nevezze létrehozott partíció az Explorer
5. Ebben a szakaszban, hozzon létre egy kulcsot NoDriveTypeAutoRun.
Az érvényes értékek a kulcsot:
0x1 - disable autorun az ismeretlen típusú meghajtókon
0x4 - disable autorun Levehető eszközök
0x8 - disable autorun nesemnym eszközök
0x10 - disable autorun hálózati meghajtók
0x20 - disable autorun CD-meghajtók
0x40 - disable autorun RAM-disk
0x80 - disable autorun az ismeretlen típusú meghajtókon
0xFF - disable autorun minden meghajtó egyáltalán.
Az értékek kombinálhatók összeadásával azok numerikus értékek. Tovább (kényelmesebb) opció letiltása Autorun hogy hozzon létre egy szöveges fájlt a kiterjesztés «* .reg» az alábbi tartalommal és bevezetése az információk nyilvántartása hogy tartalmaz:
Windows Registry Editor Version 5.00
Arra is szükség van, hogy vegye figyelembe azt a tényt, hogy ha az eltávolítható készülék már csatlakozik a rendszerhez, amikor az induláskor, annak azonosító adtunk a regisztrációs kulcsot:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerMountPoints2]
És a következő indításkor, annak ellenére, hogy letiltotta a készülék fog futni, mint korábban
Ahhoz, hogy ez ne történhessen meg kell távolítani a fenti kulcsfontosságú az összes felhasználó profilját. A következő indításakor a rendszer kulcs újra létrehozni, de nem tartalmaz minden korábbi indítási információkat.