Zgłoszenie incydentu

Nośniki USB - zapobieganie zagrożeniom

Zespół CERT.GOV.PL zaobserwował wzrost aktywności szkodliwego oprogramowania wyspecjalizowanego w rozprzestrzenianiu się za pomocą wymiennych nośników pamięci (pendrive'y, karty pamięci, zewnętrzne dyski twarde).

Dotyczy to szczególności przenośnych pamięci typu flash USB, które są najpopularniejszym medium przenoszenia danych Do infekcji dochodzi podczas podłączania dysku do komputera, poprzez wykorzystanie pliku autorun.inf. AutoRun jest funkcją systemów Windows umożliwiającą automatyczne uruchomienie programu znajdującego się na nośniku. Plik tekstowy autorun.inf umieszczany jest w głównym katalogu pamięci.

Jak dochodzi do infekcji?

Zainfekowana pamięć po podpięciu do komputera, natychmiast infekuje dyski twarde. Szkodliwy kod jest automatycznie uruchomiany i kopiuje pliki z pamięci na dysk twardy, dociągając również inne trojany. Tworzy podobne pliki autorun.inf dla wszystkich dysków twardych i pamięci podłączonych do zakażonego komputera, co powoduje automatyczną reinfekcję w chwili otwierania dysku.

Uwaga: nie wszystkie pliki autorun.inf są szkodliwe. Wiele programów w C:\Program files takie posiada, płyty CD z grami czy instalatorami programów, sterowników również.

Jakie zagrożenia niesie za sobą zainfekowany komputer?

Komputer zostaje zainfekowany złośliwym oprogramowaniem mającym na celu kradzież poufnych informacji z komputera (hasła, klucze itd.) Ofiary najczęściej nie zdają sobie sprawy ze ich komputery zostały zainfekowane.

Jak zapobiec zainfekowaniu?

  1. Zainstalować program antywirusowy z aktualnymi sygnaturami wirusów
  2. Nie podłączać pamięci USB nieznanego pochodzenia
  3. Wyłączyć funkcje autorun dla wymiennych nośników danych
  4. Poinformować innych użytkowników sieci o zagrożeniach wynikających z podłączania pamięci USB

Jak wyłączyć funkcję autorun?

Zalecanym przez Microsoft sposobem wyłączenia funkcji jest zmiana wartości kluczy o nazwie Autorun i NoDriveTypeAutorun w rejestrze systemowym. Niestety, postępując zgodnie z instrukcjami producenta nie da się całkowicie zablokować automatycznego podejmowania działań. Usterka sprawia, że po wykryciu nośnika przez system użytkownikowi prezentowane są w odpowiednim oknie dialogowym możliwe opcje wyboru – na przykład otwarcie folderu czy uruchomienie instalatora. Wtedy może pojawić się problem, kiedy - na przykład popularny ostatnio robak Conficker - wykorzysta słaby punkt mechanizmu Autorun.
Dla systemów Vista i Server 2008 należy skorzystać z ustawień kluczy rejestru wyłączających autouruchamianie, należy zainstalować aktualizację 950582 (biuletyn zabezpieczeń MS08-038). Dla pozostałych systemów należy zastosować polecenia wskazane poniżej.

I. Wyłączenie funkcji autorun w gpedit.msc

  • Dla Windows 2000 / XP Pro / 2003:

Start >> Uruchom >> gpedit.msc

Konfiguracja komputera >> Szablony administracyjne >> System

Wybierając opcję Wyłącz funkcję Autoodtwarzanie >> Włączone a z rozwijalnej listy wybrać opcję dla wszystkich dysków.

  • Dla Windows XP Home:

Niestety XP Home nie posiada edytora gpedit.msc. Odpowiednikiem tej akcji jest edycja rejestru. Należy stworzyć gotowy plik do zaimportowania, który wyłącza Autoodtwarzanie dla wszystkich dysków. W tym celu należy stworzyć plik w edytorze tekstowym o treści:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoDriveTypeAutoRun”=dword:0x000000FF

Zapisać plik jako FIX.REG. Uruchomić plik i zrestartować komputer.

II. Zmodyfikowanie wartości NoDriveTypeAutoRun

Aby wyłączyć wybrane funkcje autouruchamiania, należy zmodyfikować wartość NoDriveTypeAutoRun w następującym podkluczu rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

Wartość NoDriveTypeAutoRun należy ustawić na 0xFF co spowoduje wyłączenie autoodtwarzania na wszystkich typach dysków.

III. Wyłączenie funkcji autorun.inf w rejestrze

Należy stworzyć plik w edytorze tekstowym o treści:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Zapisać plik jako regauto.reg. Uruchomić plik i zrestartować komputer.

Wpis w rejestrze powinien wyglądać następująco:


Ze względu na buforowanie informacji podłączonych wcześniej dysków, należy wykasować dla każdego użytkownika klucze w rejestrze przy wpisie MountPoints2:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2


Zespół CERT.GOV.PL zaleca:

  • Zainstalowanie oprogramowania antywirusowego i aktualizowanie na bieżąco sygnatur wirusów
  • Nie podłączanie dysku USB do komputera niewiadomego pochodzenia
  • Wyłączenie funkcji autoodtwarzania dla nośników wymiennych.

     

Wiecej informacji:
http://support.microsoft.com/kb/953252
http://support.microsoft.com/kb/967715
http://www.us-cert.gov/cas/techalerts/TA09-020A.html
http://www.cert.org/blogs/vuls/2008/04/the_dangers_of_windows_autorun.html
http://www.publicsafety.gc.ca/prg/em/ccirc/2008/tr08-004-eng.aspx
http://www.microsoft.com/technet/security/Bulletin/MS08-038.mspx
http://www.heise-online.co.uk/security/Microsoft-s-instructions-for-disabling-AutoRun-don-t-work--/news/112469

Ocena: 3.7/5 (9)
biuletyn, trojan, Windows, USB, Conficker, autorun
Autor dokumentu : RG
A
A+
A++
Drukuj
PDF

Najbardziej popularne

Tagi

Windows XP VMware ESX server Windows Server Adobe Acrobat Windows Opera ActiveX Firefox biuletyn bezpieczeństwa DoS Apple Critical Patch Update JavaScript Adobe luki VMware podatności Internet Explorer aktualizacja Microsoft Office poradnik bezpieczeństwa Mozilla bezpieczeństwo Adobe Reader przepełnienie bufora Microsoft SMB Security Update Oracle Microsoft Security Bulletin Adobe Flash Player poprawki luka Cisco biuletyn zdalne wykonanie kodu Google Chrome XSS Mac OS podatność