katbert

Autorun.inf - империя наносит ответный удар

В этой теме 28 сообщений

Для отключения автозапуска со всех носителей служит ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun, и его значение FF должно полностью отключать автозапуск

Но давным-давно вирусописатели освоили технику, позволяющую обойти это

вот пример файла, который запускает вредоносный файл при двойном клике по флэшке в проводнике и даже по правому клике - Проводник в Windows XP SP3 с ПОЛНЫМ отключением автозапуска

;was0sAO[AutoRun];liZc7kkoes7kd22k3D4Z0140fsoid2l47LiHKsLpXafw2Djr3larS5ed04sK503kUDd0Af7kDkK0FwkJ8ooJkLe1rwfrLlopen=SETUP.EXE;4dirwkkswijrSKkASFkKd4o2a2KJ54LAo3a5oD92Sppcd34osCwrA0dqfiJZs9L1oLaKw1D33rwLO7f4k3dsjw28offsls0ww4Kashell\open\Command=SETUP.EXE;r8k4ewsw35irr9S1iidak5oLaqw4k2D3Kf1jjdn1sUKioJlAKLioamishell\open\Default=1;LAKiLkkw7j2jIrSsDfFqa3ADLnq2reskSLiloawii5Kl3qaDk5w9L1m2dsklwla24edOw5rlf3w3k4fJj8ishell\explore\Command=SETUP.EXE;aeDAp645K5kL71J5r7aZsc3Iksoj25ak3kaAokiw7wac2dwk1pKes5rJs2disajkLll

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение. Проверил - действительно работает.

How to correct "disable Autorun registry key" enforcement in Windows

Ура, товарищи! :lol::lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так более надёжно (есть ещё другие типы autorun.*): Борьба с автозапуском новыми методами

P.S.: Файл DisableAutorun предлагается в конце темы как вложение.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Однако сегодня Microsoft выпустил патч, исправляющий такое поведение

Краткие сведения об обновлении для Windows XP (KB967715)

Прямая ссылка на закачку патча, без проверки>>>.

И как всегда - патчу нужна перезагрузки системы. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мда. Это, кстати, 'благодаря' Downadup/Conficker/kido - тот активно пользовался дырой... :)

Прямая ссылка на закачку патча, без проверки>>>.

Это прямая ссылка на РУССКИЙ патч. Если система английская с русскими языковыми пакетами MUI, то тогда он, скорее всего, устанавливаться не будет...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если система английская с русскими языковыми пакетами MUI

У нас таких системы уже, наверное, не осталось. :) Онли Раша.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У нас таких системы уже, наверное, не осталось. :) Онли Раша.

Ох, зря вы так. Я только такой и пользуюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

и я не пользуюсь. Ряд нелокализованных программ не понимает русских папок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хочу ещё отметить, что Майкрофост отходит с этим патчом от принципа, что критические обновления безопасности (по другому его назвать нельзя) будут доступны ВСЕМ. А что мы видим? Надо проходить тест на лицензионность.

'We're Microsoft, and we're here to help you...' © :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Надо проходить тест на лицензионность.

Так потому я и дал выше прямую ссылку. Можно и не проходить теста, например, если некогда ждать или скорость Интернета маленькая. Если бы это было обязательным условием, то тогда бы сам патч просился на проверку, а он установился как миленький, без обиняков и лишних вопросов. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так я же дал выше прямую ссылку. Можно и не проходить теста, например, если некогда ждать или скорость Интернета маленькая. Если бы это было обязательным условием, то тогда бы сам патч просился на проверку, а он установился как миленький, без обиняков и лишних вопросов. :)

Меня неуверенность в результате этой проверки вообще не касается; я говорю о принципе - автоматом этот жизневажный патч не приходит к людям, которые нуждаются больше всего, и этим Майкрософт показывает очередной раз своё настоящее лицо... Локалка в Corbina и у других продвайдеров так уже кишит заразными насекомыми... Пусть все (и лицензионные пользователи) продолжают страдать, так ведь?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
этот жизневажный патч не приходит к людям, которые нуждаются больше всего

Пиратам?

этим Майкрософт показывает очередной раз своё настоящее лицо

Дала пиратам отворот?

Не вижу ничего плохого в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пиратам?

Дала пиратам отворот?

Не вижу ничего плохого в этом.

Я добавил - в защите компьютеров добросовестных людей... Нас же эти заражённые машины в локалке провайдера продолжают атаковать если мы сами не умеем настроить систему?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дала пиратам отворот?

Пираты делают по-другому. Они переделывают систему и продают её. С ним прилагается набор обновлений. Но толку от них мало.

Майкрософт действительно обязывает пользователей загружать свои патчи, приподнося их как панацею от ошибок в безопасности. И автоматом грузится вообще всё барахло, что они выпускают. Это не решение проблемы - это форменное издевательство над пользователями.

И ещё обиднее этого, когда производители красного антивируса требуют от пользователя тоже загружать это барахло.

Пусть все (и лицензионные пользователи) продолжают страдать, так ведь?

Так, страдают все пользователи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Политики против пиратства и навязывание НЕНУЖНОГО функционала - важнее, чем наша с вами безопасность - это почти у всех так... :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я добавил - в защите компьютеров добросовестных людей...

У добросовестных патч от kido стоит уже почти полгода. И этот патч есть/будет у добросовестных. А про отключение функционала, это совершенно другая тема. Сводится к тому, что если пользователь пьет ацетон, анальгин ему не поможет.

Пираты делают по-другому.

Они делают по-всякому.

приподнося их как панацею от ошибок в безопасности.

Ссылку на утверждение MS

И автоматом грузится вообще всё барахло, что они выпускают.

Вы можете отказываться от этого на этапе инсталляции.

И ещё обиднее этого, когда производители красного антивируса требуют от пользователя тоже загружать это барахло.

Пруфлинк

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Политики против пиратства ... важнее, чем нажа с вами безопасность

Потому всем дружно надо переходить на... Пингвина или Убунту-Гобунту. ;)

Антивирусов для них тоже уже много! Как-нибудь до пенсии дотянем...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У добросовестных патч от kido стоит уже почти полгода. И этот патч есть/будет у добросовестных.

Автозапуск на всех устройствах не только с kido связан, правильно? Проблема передачи вирусов посредством съёмных устройств становится всё острее и острее. И ещё неизвестно, какие дыры ещё атакуются другими червями, которые таким образом передаются/восстанавливаются после 'лечения' антивирусом - опять-таки же эти звери весело распространяются через локалку провайдера (Trusted же?) от заражённых пиратских систем на лицензионные, здоровые, но плохо настроенные компьютеры...

Ладно - в знак протеста подскажу: есть обход. Данный патч делает то же самое, как тот, который уже выпустили в ноябре прошлого года (не был доступен для автоматического обновления). Его можно найти здесь (нет проверки лицензионности): http://support.microsoft.com/kb/953252

Выбираем систему, переключаем язык (если это требуется), скачаем и устанавливаем вручную.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пруфлинк

Ага и нотариально заверенный скриншот. ;)

Проверка безопасности > Отключено автоматическое обновление системы - тут нужно поставить галочку и нажать кн. "Исправить".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Автозапуск на всех устройствах не только с kido связан, правильно?

Правильно. И снова повторю мысль - у лицензионных и многих пиратских пользователей патч стоит. Авторан, знаете ли, не самая большая проблема. Я не вижу причин выкатывать МС какие-то претензии.

опять-таки же эти звери весело распространяются через локалку провайдера (Trusted же?)

Кто сказал? Атаки так же успешно ловятся у пользователей КИС, Аутпост, Комодо и, говорят, Аваст. А NetBios... Его еще использовать надо, когда патчи стоят.

Проверка безопасности > Отключено автоматическое обновление системы - тут нужно поставить галочку и нажать кн. "Исправить".

Ааа. Это у тебя барахло... Ну ясно :)

Мастер предлагает, а не заставляет, не так ли? :)

А вообще, я двумя руками за то, чтобы Каспер научился еще и за установленными патчами ОС следить, как Симантек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Авторан, знаете ли, не самая большая проблема.

Зависит, какие статистики читать. Класс вирусов INF/Autorun стал самым распространённым среди вирусных угроз в январе 2009 г. в мире (по ThreatSense.Net; понимаю - конкуренты, но всё же...).

Кто сказал? Атаки так же успешно ловятся у пользователей КИС, Аутпост, Комодо и, говорят, Аваст. А NetBios... Его еще использовать надо, когда патчи стоят.

Атаки ловятся, но заражения просто так не лечатся, как показывают мои походы по форумам безопасности. Ну ладно, проехали... Пусть программы защиты следят за тем, что установлено, и что нет - p2u обязательно выручит если просто так не получается защищаться... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я двумя руками за то, чтобы Каспер научился еще и за установленными патчами ОС следить, как Симантек.
Дак вроде умеет уже. Или я ошибаюсь? Просто меня одна тётенька-бухгалтер постоянно дёргает что ей касп высвечивает слово vulnerabilities :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Денис Лебедев

Он может находить конкретные необновленные файлы только.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для отключения автозапуска со всех носителей служит ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun, и его значение FF должно полностью отключать автозапуск

...

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение. Проверил - действительно работает.

Гм... Казалось, что Майкрософт наконец-то сделала всё правильно. Смотрите как они говорят, как надо отключить автозапуск полностью после патча: http://support.microsoft.com/kb/953252/ru

НО... Они там говорят толкьо про HKEY_LOCAL_MACHINE. Но я только что послушал Стива Гибсона на SecurityNow!, и тот говорит, что если в ветке HKEY_CURRENT_USER задано другое значение для NoDriveTypeAutoRun, то тогда Windows применяет именно этот ключ, и у вас не будет той защиты, на которую вы надеялись... laugh3.gif

P.S.: (Обычно HKEY_LOCAL_MACHINE наоборот отменяет HKEY_CURRENT_USER)

P.S.2: У меня оба ключа настроены как надо...

P.S.3: Кому интересно, и кто знает английский язык хорошо -

С.Г. ещё интересные вещи говорит про kido/conficker/downadup:

Читать в html

Читать в .txt

Читать в .pdf

Слушать (низкое качество звука)

Слушать (высокое качество звука) - про авторан начинается на 48:34

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Название статьи не соответствует содержимому: "Отмена принудительного отключения автоматического запуска в реестре Windows" :)

Кстати, Panda отметилась выпуском утилиты для борьбы с autorun.inf - Panda USB and AutoRun Vaccine:

EhUVvKHu3U.gif

Принцип работы программы: на флешке / разделе ж/диска создается файл или каталог с названием AUTORUN.INF. Плюс прописываются необходимые запреты в реестре (не смотрел какие именно)

Домашняя страничка программы

Миниобзор утилиты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Название статьи не соответствует содержимому: "Отмена принудительного отключения автоматического запуска в реестре Windows" :)

За это отвечает Майкрософт. ;) Они статью так выпустили вместе с обновлением из-за того, что они создали новый ключ HonorAutoRun, через который можно Windows заставить реагировать на авторан как она это делала ДО патча (это может потребоваться в корпоративной среде). Сначала они объясняют как отключить авторан, и потом как применить новый ключ.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • malamut
      Я тоже предпочитаю зарабатывать дома. С игровыми автоматами на этом портале https://vulkan-platinum-777.com/ не нужна никакая другая работа. Доход более чем достаточен.
    • nikolajandriyanov87
      Панели оператора (HMI) — устройства локальной визуализации и взаимодействия с оператором в системах автоматизации промышленности, встречаются на любых типах производств, а также в спецтехнике. Различные режимы эксплуатации и естественный износ оборудования подвергают блоки риску выхода из строя. Любая поломка — это нештатная ситуация для производства, а заказ нового блока сопряжён с серьёзными финансовыми затратами. При этом ремонт оборудования осуществляется в короткие сроки и по цене в 35-50% от стоимости нового блока. Наши контакты для связи по вопросам ремонта и диагностики сервоприводов, сервомоторов, промышленной электроники https://www.remontservo.ru/pages/contacts.html Ремонтируем следующие типы панелей оператора: - простейшие кнопочные; - графические; - сенсорные; - HMI. ПОЛНАЯ ЗАМЕНА ИЛИ РЕМОНТ? Представленные сегодня на рынке модели промышленных мониторов относятся к дорогостоящей технике, ремонт которой практически всегда обходится существенно дешевле замены. Применение OEM-компонентов позволяет сохранить исходные характеристики и обеспечить длительный срок службы. Наконец, существенным фактором в ряде случаев является невозможность найти в свободной продаже технику, снятую с производства. Промышленный компьютер — компьютер со стандартной ОС, содержащий в себе данные для различных промышленных операций. Встречается на любых типах производств. Различные режимы эксплуатации и естественный износ оборудования подвергают блоки риску выхода из строя. Любая поломка — это нештатная ситуация для производства, а заказ нового блока сопряжён с серьёзными финансовыми затратами. При этом ремонт оборудования осуществляется в короткие сроки и по цене в 35-50% от стоимости нового блока. Ремонт промышленных компьютеров осуществляется на уровне компонентов с применением новейшего высокоточного и высокотехнологичного оборудования.
    • fafa
      Как-то совсем стало не понятно куда надо ехать в нынешнем сезоне, как-то снимать квартиру совсем не хочется. Вот думаем, чтобы выбрать какой-то домик возле моря и жить там. Единственное, что нас интересует, то это условия, которые нам будут предложены. Не мало важным вопросом является какой будет цена. А то те варианты, что просматривали, то совсем цена на домик была просто вау огромной! Ехать в Крым также не хотим! Есть советы на что стоит обратить внимание, и куда ехать?
    • fafa
       Сейчас выбор смартфонов просто огромный, но совсем не знаю, какой именно для себя выбрать. Кто что думает по всему этому поводу, может присмотреть что-то из китайских товаров? Я совсем не понимаю зачем переплачивать, когда можно взят не бренд, но по качеству будет совсем не хуже!  Интересно узнать реальные отзывы тех клиентов, кто конкретно купил и начал использовать.
    • Андрей2345
      Барселона - посетил и запомнил навсегда!
      Советую всем