katbert

Autorun.inf - империя наносит ответный удар

В этой теме 28 сообщений

Для отключения автозапуска со всех носителей служит ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun, и его значение FF должно полностью отключать автозапуск

Но давным-давно вирусописатели освоили технику, позволяющую обойти это

вот пример файла, который запускает вредоносный файл при двойном клике по флэшке в проводнике и даже по правому клике - Проводник в Windows XP SP3 с ПОЛНЫМ отключением автозапуска

;was0sAO[AutoRun];liZc7kkoes7kd22k3D4Z0140fsoid2l47LiHKsLpXafw2Djr3larS5ed04sK503kUDd0Af7kDkK0FwkJ8ooJkLe1rwfrLlopen=SETUP.EXE;4dirwkkswijrSKkASFkKd4o2a2KJ54LAo3a5oD92Sppcd34osCwrA0dqfiJZs9L1oLaKw1D33rwLO7f4k3dsjw28offsls0ww4Kashell\open\Command=SETUP.EXE;r8k4ewsw35irr9S1iidak5oLaqw4k2D3Kf1jjdn1sUKioJlAKLioamishell\open\Default=1;LAKiLkkw7j2jIrSsDfFqa3ADLnq2reskSLiloawii5Kl3qaDk5w9L1m2dsklwla24edOw5rlf3w3k4fJj8ishell\explore\Command=SETUP.EXE;aeDAp645K5kL71J5r7aZsc3Iksoj25ak3kaAokiw7wac2dwk1pKes5rJs2disajkLll

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение. Проверил - действительно работает.

How to correct "disable Autorun registry key" enforcement in Windows

Ура, товарищи! :lol::lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так более надёжно (есть ещё другие типы autorun.*): Борьба с автозапуском новыми методами

P.S.: Файл DisableAutorun предлагается в конце темы как вложение.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Однако сегодня Microsoft выпустил патч, исправляющий такое поведение

Краткие сведения об обновлении для Windows XP (KB967715)

Прямая ссылка на закачку патча, без проверки>>>.

И как всегда - патчу нужна перезагрузки системы. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мда. Это, кстати, 'благодаря' Downadup/Conficker/kido - тот активно пользовался дырой... :)

Прямая ссылка на закачку патча, без проверки>>>.

Это прямая ссылка на РУССКИЙ патч. Если система английская с русскими языковыми пакетами MUI, то тогда он, скорее всего, устанавливаться не будет...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если система английская с русскими языковыми пакетами MUI

У нас таких системы уже, наверное, не осталось. :) Онли Раша.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У нас таких системы уже, наверное, не осталось. :) Онли Раша.

Ох, зря вы так. Я только такой и пользуюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

и я не пользуюсь. Ряд нелокализованных программ не понимает русских папок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хочу ещё отметить, что Майкрофост отходит с этим патчом от принципа, что критические обновления безопасности (по другому его назвать нельзя) будут доступны ВСЕМ. А что мы видим? Надо проходить тест на лицензионность.

'We're Microsoft, and we're here to help you...' © :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Надо проходить тест на лицензионность.

Так потому я и дал выше прямую ссылку. Можно и не проходить теста, например, если некогда ждать или скорость Интернета маленькая. Если бы это было обязательным условием, то тогда бы сам патч просился на проверку, а он установился как миленький, без обиняков и лишних вопросов. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так я же дал выше прямую ссылку. Можно и не проходить теста, например, если некогда ждать или скорость Интернета маленькая. Если бы это было обязательным условием, то тогда бы сам патч просился на проверку, а он установился как миленький, без обиняков и лишних вопросов. :)

Меня неуверенность в результате этой проверки вообще не касается; я говорю о принципе - автоматом этот жизневажный патч не приходит к людям, которые нуждаются больше всего, и этим Майкрософт показывает очередной раз своё настоящее лицо... Локалка в Corbina и у других продвайдеров так уже кишит заразными насекомыми... Пусть все (и лицензионные пользователи) продолжают страдать, так ведь?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
этот жизневажный патч не приходит к людям, которые нуждаются больше всего

Пиратам?

этим Майкрософт показывает очередной раз своё настоящее лицо

Дала пиратам отворот?

Не вижу ничего плохого в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пиратам?

Дала пиратам отворот?

Не вижу ничего плохого в этом.

Я добавил - в защите компьютеров добросовестных людей... Нас же эти заражённые машины в локалке провайдера продолжают атаковать если мы сами не умеем настроить систему?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дала пиратам отворот?

Пираты делают по-другому. Они переделывают систему и продают её. С ним прилагается набор обновлений. Но толку от них мало.

Майкрософт действительно обязывает пользователей загружать свои патчи, приподнося их как панацею от ошибок в безопасности. И автоматом грузится вообще всё барахло, что они выпускают. Это не решение проблемы - это форменное издевательство над пользователями.

И ещё обиднее этого, когда производители красного антивируса требуют от пользователя тоже загружать это барахло.

Пусть все (и лицензионные пользователи) продолжают страдать, так ведь?

Так, страдают все пользователи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Политики против пиратства и навязывание НЕНУЖНОГО функционала - важнее, чем наша с вами безопасность - это почти у всех так... :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я добавил - в защите компьютеров добросовестных людей...

У добросовестных патч от kido стоит уже почти полгода. И этот патч есть/будет у добросовестных. А про отключение функционала, это совершенно другая тема. Сводится к тому, что если пользователь пьет ацетон, анальгин ему не поможет.

Пираты делают по-другому.

Они делают по-всякому.

приподнося их как панацею от ошибок в безопасности.

Ссылку на утверждение MS

И автоматом грузится вообще всё барахло, что они выпускают.

Вы можете отказываться от этого на этапе инсталляции.

И ещё обиднее этого, когда производители красного антивируса требуют от пользователя тоже загружать это барахло.

Пруфлинк

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Политики против пиратства ... важнее, чем нажа с вами безопасность

Потому всем дружно надо переходить на... Пингвина или Убунту-Гобунту. ;)

Антивирусов для них тоже уже много! Как-нибудь до пенсии дотянем...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У добросовестных патч от kido стоит уже почти полгода. И этот патч есть/будет у добросовестных.

Автозапуск на всех устройствах не только с kido связан, правильно? Проблема передачи вирусов посредством съёмных устройств становится всё острее и острее. И ещё неизвестно, какие дыры ещё атакуются другими червями, которые таким образом передаются/восстанавливаются после 'лечения' антивирусом - опять-таки же эти звери весело распространяются через локалку провайдера (Trusted же?) от заражённых пиратских систем на лицензионные, здоровые, но плохо настроенные компьютеры...

Ладно - в знак протеста подскажу: есть обход. Данный патч делает то же самое, как тот, который уже выпустили в ноябре прошлого года (не был доступен для автоматического обновления). Его можно найти здесь (нет проверки лицензионности): http://support.microsoft.com/kb/953252

Выбираем систему, переключаем язык (если это требуется), скачаем и устанавливаем вручную.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пруфлинк

Ага и нотариально заверенный скриншот. ;)

Проверка безопасности > Отключено автоматическое обновление системы - тут нужно поставить галочку и нажать кн. "Исправить".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Автозапуск на всех устройствах не только с kido связан, правильно?

Правильно. И снова повторю мысль - у лицензионных и многих пиратских пользователей патч стоит. Авторан, знаете ли, не самая большая проблема. Я не вижу причин выкатывать МС какие-то претензии.

опять-таки же эти звери весело распространяются через локалку провайдера (Trusted же?)

Кто сказал? Атаки так же успешно ловятся у пользователей КИС, Аутпост, Комодо и, говорят, Аваст. А NetBios... Его еще использовать надо, когда патчи стоят.

Проверка безопасности > Отключено автоматическое обновление системы - тут нужно поставить галочку и нажать кн. "Исправить".

Ааа. Это у тебя барахло... Ну ясно :)

Мастер предлагает, а не заставляет, не так ли? :)

А вообще, я двумя руками за то, чтобы Каспер научился еще и за установленными патчами ОС следить, как Симантек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Авторан, знаете ли, не самая большая проблема.

Зависит, какие статистики читать. Класс вирусов INF/Autorun стал самым распространённым среди вирусных угроз в январе 2009 г. в мире (по ThreatSense.Net; понимаю - конкуренты, но всё же...).

Кто сказал? Атаки так же успешно ловятся у пользователей КИС, Аутпост, Комодо и, говорят, Аваст. А NetBios... Его еще использовать надо, когда патчи стоят.

Атаки ловятся, но заражения просто так не лечатся, как показывают мои походы по форумам безопасности. Ну ладно, проехали... Пусть программы защиты следят за тем, что установлено, и что нет - p2u обязательно выручит если просто так не получается защищаться... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я двумя руками за то, чтобы Каспер научился еще и за установленными патчами ОС следить, как Симантек.
Дак вроде умеет уже. Или я ошибаюсь? Просто меня одна тётенька-бухгалтер постоянно дёргает что ей касп высвечивает слово vulnerabilities :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Денис Лебедев

Он может находить конкретные необновленные файлы только.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для отключения автозапуска со всех носителей служит ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun, и его значение FF должно полностью отключать автозапуск

...

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение. Проверил - действительно работает.

Гм... Казалось, что Майкрософт наконец-то сделала всё правильно. Смотрите как они говорят, как надо отключить автозапуск полностью после патча: http://support.microsoft.com/kb/953252/ru

НО... Они там говорят толкьо про HKEY_LOCAL_MACHINE. Но я только что послушал Стива Гибсона на SecurityNow!, и тот говорит, что если в ветке HKEY_CURRENT_USER задано другое значение для NoDriveTypeAutoRun, то тогда Windows применяет именно этот ключ, и у вас не будет той защиты, на которую вы надеялись... laugh3.gif

P.S.: (Обычно HKEY_LOCAL_MACHINE наоборот отменяет HKEY_CURRENT_USER)

P.S.2: У меня оба ключа настроены как надо...

P.S.3: Кому интересно, и кто знает английский язык хорошо -

С.Г. ещё интересные вещи говорит про kido/conficker/downadup:

Читать в html

Читать в .txt

Читать в .pdf

Слушать (низкое качество звука)

Слушать (высокое качество звука) - про авторан начинается на 48:34

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Название статьи не соответствует содержимому: "Отмена принудительного отключения автоматического запуска в реестре Windows" :)

Кстати, Panda отметилась выпуском утилиты для борьбы с autorun.inf - Panda USB and AutoRun Vaccine:

EhUVvKHu3U.gif

Принцип работы программы: на флешке / разделе ж/диска создается файл или каталог с названием AUTORUN.INF. Плюс прописываются необходимые запреты в реестре (не смотрел какие именно)

Домашняя страничка программы

Миниобзор утилиты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Название статьи не соответствует содержимому: "Отмена принудительного отключения автоматического запуска в реестре Windows" :)

За это отвечает Майкрософт. ;) Они статью так выпустили вместе с обновлением из-за того, что они создали новый ключ HonorAutoRun, через который можно Windows заставить реагировать на авторан как она это делала ДО патча (это может потребоваться в корпоративной среде). Сначала они объясняют как отключить авторан, и потом как применить новый ключ.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...