Перейти к содержанию
katbert

Autorun.inf - империя наносит ответный удар

Recommended Posts

katbert

Для отключения автозапуска со всех носителей служит ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun, и его значение FF должно полностью отключать автозапуск

Но давным-давно вирусописатели освоили технику, позволяющую обойти это

вот пример файла, который запускает вредоносный файл при двойном клике по флэшке в проводнике и даже по правому клике - Проводник в Windows XP SP3 с ПОЛНЫМ отключением автозапуска

;was0sAO[AutoRun];liZc7kkoes7kd22k3D4Z0140fsoid2l47LiHKsLpXafw2Djr3larS5ed04sK503kUDd0Af7kDkK0FwkJ8ooJkLe1rwfrLlopen=SETUP.EXE;4dirwkkswijrSKkASFkKd4o2a2KJ54LAo3a5oD92Sppcd34osCwrA0dqfiJZs9L1oLaKw1D33rwLO7f4k3dsjw28offsls0ww4Kashell\open\Command=SETUP.EXE;r8k4ewsw35irr9S1iidak5oLaqw4k2D3Kf1jjdn1sUKioJlAKLioamishell\open\Default=1;LAKiLkkw7j2jIrSsDfFqa3ADLnq2reskSLiloawii5Kl3qaDk5w9L1m2dsklwla24edOw5rlf3w3k4fJj8ishell\explore\Command=SETUP.EXE;aeDAp645K5kL71J5r7aZsc3Iksoj25ak3kaAokiw7wac2dwk1pKes5rJs2disajkLll

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение. Проверил - действительно работает.

How to correct "disable Autorun registry key" enforcement in Windows

Ура, товарищи! :lol::lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Так более надёжно (есть ещё другие типы autorun.*): Борьба с автозапуском новыми методами

P.S.: Файл DisableAutorun предлагается в конце темы как вложение.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Однако сегодня Microsoft выпустил патч, исправляющий такое поведение

Краткие сведения об обновлении для Windows XP (KB967715)

Прямая ссылка на закачку патча, без проверки>>>.

И как всегда - патчу нужна перезагрузки системы. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Мда. Это, кстати, 'благодаря' Downadup/Conficker/kido - тот активно пользовался дырой... :)

Прямая ссылка на закачку патча, без проверки>>>.

Это прямая ссылка на РУССКИЙ патч. Если система английская с русскими языковыми пакетами MUI, то тогда он, скорее всего, устанавливаться не будет...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Если система английская с русскими языковыми пакетами MUI

У нас таких системы уже, наверное, не осталось. :) Онли Раша.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
У нас таких системы уже, наверное, не осталось. :) Онли Раша.

Ох, зря вы так. Я только такой и пользуюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

и я не пользуюсь. Ряд нелокализованных программ не понимает русских папок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Хочу ещё отметить, что Майкрофост отходит с этим патчом от принципа, что критические обновления безопасности (по другому его назвать нельзя) будут доступны ВСЕМ. А что мы видим? Надо проходить тест на лицензионность.

'We're Microsoft, and we're here to help you...' © :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Надо проходить тест на лицензионность.

Так потому я и дал выше прямую ссылку. Можно и не проходить теста, например, если некогда ждать или скорость Интернета маленькая. Если бы это было обязательным условием, то тогда бы сам патч просился на проверку, а он установился как миленький, без обиняков и лишних вопросов. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Так я же дал выше прямую ссылку. Можно и не проходить теста, например, если некогда ждать или скорость Интернета маленькая. Если бы это было обязательным условием, то тогда бы сам патч просился на проверку, а он установился как миленький, без обиняков и лишних вопросов. :)

Меня неуверенность в результате этой проверки вообще не касается; я говорю о принципе - автоматом этот жизневажный патч не приходит к людям, которые нуждаются больше всего, и этим Майкрософт показывает очередной раз своё настоящее лицо... Локалка в Corbina и у других продвайдеров так уже кишит заразными насекомыми... Пусть все (и лицензионные пользователи) продолжают страдать, так ведь?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
этот жизневажный патч не приходит к людям, которые нуждаются больше всего

Пиратам?

этим Майкрософт показывает очередной раз своё настоящее лицо

Дала пиратам отворот?

Не вижу ничего плохого в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Пиратам?

Дала пиратам отворот?

Не вижу ничего плохого в этом.

Я добавил - в защите компьютеров добросовестных людей... Нас же эти заражённые машины в локалке провайдера продолжают атаковать если мы сами не умеем настроить систему?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Дала пиратам отворот?

Пираты делают по-другому. Они переделывают систему и продают её. С ним прилагается набор обновлений. Но толку от них мало.

Майкрософт действительно обязывает пользователей загружать свои патчи, приподнося их как панацею от ошибок в безопасности. И автоматом грузится вообще всё барахло, что они выпускают. Это не решение проблемы - это форменное издевательство над пользователями.

И ещё обиднее этого, когда производители красного антивируса требуют от пользователя тоже загружать это барахло.

Пусть все (и лицензионные пользователи) продолжают страдать, так ведь?

Так, страдают все пользователи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Политики против пиратства и навязывание НЕНУЖНОГО функционала - важнее, чем наша с вами безопасность - это почти у всех так... :rolleyes:

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Я добавил - в защите компьютеров добросовестных людей...

У добросовестных патч от kido стоит уже почти полгода. И этот патч есть/будет у добросовестных. А про отключение функционала, это совершенно другая тема. Сводится к тому, что если пользователь пьет ацетон, анальгин ему не поможет.

Пираты делают по-другому.

Они делают по-всякому.

приподнося их как панацею от ошибок в безопасности.

Ссылку на утверждение MS

И автоматом грузится вообще всё барахло, что они выпускают.

Вы можете отказываться от этого на этапе инсталляции.

И ещё обиднее этого, когда производители красного антивируса требуют от пользователя тоже загружать это барахло.

Пруфлинк

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Политики против пиратства ... важнее, чем нажа с вами безопасность

Потому всем дружно надо переходить на... Пингвина или Убунту-Гобунту. ;)

Антивирусов для них тоже уже много! Как-нибудь до пенсии дотянем...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
У добросовестных патч от kido стоит уже почти полгода. И этот патч есть/будет у добросовестных.

Автозапуск на всех устройствах не только с kido связан, правильно? Проблема передачи вирусов посредством съёмных устройств становится всё острее и острее. И ещё неизвестно, какие дыры ещё атакуются другими червями, которые таким образом передаются/восстанавливаются после 'лечения' антивирусом - опять-таки же эти звери весело распространяются через локалку провайдера (Trusted же?) от заражённых пиратских систем на лицензионные, здоровые, но плохо настроенные компьютеры...

Ладно - в знак протеста подскажу: есть обход. Данный патч делает то же самое, как тот, который уже выпустили в ноябре прошлого года (не был доступен для автоматического обновления). Его можно найти здесь (нет проверки лицензионности): http://support.microsoft.com/kb/953252

Выбираем систему, переключаем язык (если это требуется), скачаем и устанавливаем вручную.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Пруфлинк

Ага и нотариально заверенный скриншот. ;)

Проверка безопасности > Отключено автоматическое обновление системы - тут нужно поставить галочку и нажать кн. "Исправить".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Автозапуск на всех устройствах не только с kido связан, правильно?

Правильно. И снова повторю мысль - у лицензионных и многих пиратских пользователей патч стоит. Авторан, знаете ли, не самая большая проблема. Я не вижу причин выкатывать МС какие-то претензии.

опять-таки же эти звери весело распространяются через локалку провайдера (Trusted же?)

Кто сказал? Атаки так же успешно ловятся у пользователей КИС, Аутпост, Комодо и, говорят, Аваст. А NetBios... Его еще использовать надо, когда патчи стоят.

Проверка безопасности > Отключено автоматическое обновление системы - тут нужно поставить галочку и нажать кн. "Исправить".

Ааа. Это у тебя барахло... Ну ясно :)

Мастер предлагает, а не заставляет, не так ли? :)

А вообще, я двумя руками за то, чтобы Каспер научился еще и за установленными патчами ОС следить, как Симантек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Авторан, знаете ли, не самая большая проблема.

Зависит, какие статистики читать. Класс вирусов INF/Autorun стал самым распространённым среди вирусных угроз в январе 2009 г. в мире (по ThreatSense.Net; понимаю - конкуренты, но всё же...).

Кто сказал? Атаки так же успешно ловятся у пользователей КИС, Аутпост, Комодо и, говорят, Аваст. А NetBios... Его еще использовать надо, когда патчи стоят.

Атаки ловятся, но заражения просто так не лечатся, как показывают мои походы по форумам безопасности. Ну ладно, проехали... Пусть программы защиты следят за тем, что установлено, и что нет - p2u обязательно выручит если просто так не получается защищаться... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

я двумя руками за то, чтобы Каспер научился еще и за установленными патчами ОС следить, как Симантек.
Дак вроде умеет уже. Или я ошибаюсь? Просто меня одна тётенька-бухгалтер постоянно дёргает что ей касп высвечивает слово vulnerabilities :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Денис Лебедев

Он может находить конкретные необновленные файлы только.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Для отключения автозапуска со всех носителей служит ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun, и его значение FF должно полностью отключать автозапуск

...

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение. Проверил - действительно работает.

Гм... Казалось, что Майкрософт наконец-то сделала всё правильно. Смотрите как они говорят, как надо отключить автозапуск полностью после патча: http://support.microsoft.com/kb/953252/ru

НО... Они там говорят толкьо про HKEY_LOCAL_MACHINE. Но я только что послушал Стива Гибсона на SecurityNow!, и тот говорит, что если в ветке HKEY_CURRENT_USER задано другое значение для NoDriveTypeAutoRun, то тогда Windows применяет именно этот ключ, и у вас не будет той защиты, на которую вы надеялись... laugh3.gif

P.S.: (Обычно HKEY_LOCAL_MACHINE наоборот отменяет HKEY_CURRENT_USER)

P.S.2: У меня оба ключа настроены как надо...

P.S.3: Кому интересно, и кто знает английский язык хорошо -

С.Г. ещё интересные вещи говорит про kido/conficker/downadup:

Читать в html

Читать в .txt

Читать в .pdf

Слушать (низкое качество звука)

Слушать (высокое качество звука) - про авторан начинается на 48:34

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n

Название статьи не соответствует содержимому: "Отмена принудительного отключения автоматического запуска в реестре Windows" :)

Кстати, Panda отметилась выпуском утилиты для борьбы с autorun.inf - Panda USB and AutoRun Vaccine:

EhUVvKHu3U.gif

Принцип работы программы: на флешке / разделе ж/диска создается файл или каталог с названием AUTORUN.INF. Плюс прописываются необходимые запреты в реестре (не смотрел какие именно)

Домашняя страничка программы

Миниобзор утилиты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Название статьи не соответствует содержимому: "Отмена принудительного отключения автоматического запуска в реестре Windows" :)

За это отвечает Майкрософт. ;) Они статью так выпустили вместе с обновлением из-за того, что они создали новый ключ HonorAutoRun, через который можно Windows заставить реагировать на авторан как она это делала ДО патча (это может потребоваться в корпоративной среде). Сначала они объясняют как отключить авторан, и потом как применить новый ключ.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×