Autorun.inf - империя наносит ответный удар

[katbert 0]

Для отключения автозапуска со всех носителей служит ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun, и его значение FF должно полностью отключать автозапуск

Но давным-давно вирусописатели освоили технику, позволяющую обойти это

вот пример файла, который запускает вредоносный файл при двойном клике по флэшке в проводнике и даже по правому клике - Проводник в Windows XP SP3 с ПОЛНЫМ отключением автозапуска

;was0sAO[AutoRun];liZc7kkoes7kd22k3D4Z0140fsoid2l47LiHKsLpXafw2Djr3larS5ed04sK503kUDd0Af7kDkK0FwkJ8ooJkLe1rwfrLlopen=SETUP.EXE;4dirwkkswijrSKkASFkKd4o2a2KJ54LAo3a5oD92Sppcd34osCwrA0dqfiJZs9L1oLaKw1D33rwLO7f4k3dsjw28offsls0ww4Kashell\open\Command=SETUP.EXE;r8k4ewsw35irr9S1iidak5oLaqw4k2D3Kf1jjdn1sUKioJlAKLioamishell\open\Default=1;LAKiLkkw7j2jIrSsDfFqa3ADLnq2reskSLiloawii5Kl3qaDk5w9L1m2dsklwla24edOw5rlf3w3k4fJj8ishell\explore\Command=SETUP.EXE;aeDAp645K5kL71J5r7aZsc3Iksoj25ak3kaAokiw7wac2dwk1pKes5rJs2disajkLll

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение. Проверил - действительно работает.

How to correct "disable Autorun registry key" enforcement in Windows

Ура, товарищи!

[p2u 824]

Так более надёжно (есть ещё другие типы autorun.*): Борьба с автозапуском новыми методами

P.S.: Файл DisableAutorun предлагается в конце темы как вложение.

Paul

[Андрей-001 1099]

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение

Краткие сведения об обновлении для Windows XP (KB967715)

Прямая ссылка на закачку патча, без проверки>>>.

И как всегда - патчу нужна перезагрузки системы.

[p2u 824]

Мда. Это, кстати, 'благодаря' Downadup/Conficker/kido - тот активно пользовался дырой...

Прямая ссылка на закачку патча, без проверки>>>.

Это прямая ссылка на РУССКИЙ патч. Если система английская с русскими языковыми пакетами MUI, то тогда он, скорее всего, устанавливаться не будет...

Paul

[Андрей-001 1099]

Если система английская с русскими языковыми пакетами MUI

У нас таких системы уже, наверное, не осталось. Онли Раша.

[Arakcheev 35]

У нас таких системы уже, наверное, не осталось. Онли Раша.

Ох, зря вы так. Я только такой и пользуюсь.

[alexgr 556]

и я не пользуюсь. Ряд нелокализованных программ не понимает русских папок

[p2u 824]

Хочу ещё отметить, что Майкрофост отходит с этим патчом от принципа, что критические обновления безопасности (по другому его назвать нельзя) будут доступны ВСЕМ. А что мы видим? Надо проходить тест на лицензионность.

'We're Microsoft, and we're here to help you...' ©

Paul

[Андрей-001 1099]

Надо проходить тест на лицензионность.

Так потому я и дал выше прямую ссылку. Можно и не проходить теста, например, если некогда ждать или скорость Интернета маленькая. Если бы это было обязательным условием, то тогда бы сам патч просился на проверку, а он установился как миленький, без обиняков и лишних вопросов.

[p2u 824]

Так я же дал выше прямую ссылку. Можно и не проходить теста, например, если некогда ждать или скорость Интернета маленькая. Если бы это было обязательным условием, то тогда бы сам патч просился на проверку, а он установился как миленький, без обиняков и лишних вопросов.

Меня неуверенность в результате этой проверки вообще не касается; я говорю о принципе - автоматом этот жизневажный патч не приходит к людям, которые нуждаются больше всего, и этим Майкрософт показывает очередной раз своё настоящее лицо... Локалка в Corbina и у других продвайдеров так уже кишит заразными насекомыми... Пусть все (и лицензионные пользователи) продолжают страдать, так ведь?

Paul

[Umnik 997]

этот жизневажный патч не приходит к людям, которые нуждаются больше всего

Пиратам?

этим Майкрософт показывает очередной раз своё настоящее лицо

Дала пиратам отворот?

Не вижу ничего плохого в этом.

[p2u 824]

Пиратам?

Дала пиратам отворот?

Не вижу ничего плохого в этом.

Я добавил - в защите компьютеров добросовестных людей... Нас же эти заражённые машины в локалке провайдера продолжают атаковать если мы сами не умеем настроить систему?

Paul

[Андрей-001 1099]

Дала пиратам отворот?

Пираты делают по-другому. Они переделывают систему и продают её. С ним прилагается набор обновлений. Но толку от них мало.

Майкрософт действительно обязывает пользователей загружать свои патчи, приподнося их как панацею от ошибок в безопасности. И автоматом грузится вообще всё барахло, что они выпускают. Это не решение проблемы - это форменное издевательство над пользователями.

И ещё обиднее этого, когда производители красного антивируса требуют от пользователя тоже загружать это барахло.

Пусть все (и лицензионные пользователи) продолжают страдать, так ведь?

Так, страдают все пользователи.

[p2u 824]

Политики против пиратства и навязывание НЕНУЖНОГО функционала - важнее, чем наша с вами безопасность - это почти у всех так...

Paul

[Umnik 997]

Я добавил - в защите компьютеров добросовестных людей...

У добросовестных патч от kido стоит уже почти полгода. И этот патч есть/будет у добросовестных. А про отключение функционала, это совершенно другая тема. Сводится к тому, что если пользователь пьет ацетон, анальгин ему не поможет.

Пираты делают по-другому.

Они делают по-всякому.

приподнося их как панацею от ошибок в безопасности.

Ссылку на утверждение MS

И автоматом грузится вообще всё барахло, что они выпускают.

Вы можете отказываться от этого на этапе инсталляции.

И ещё обиднее этого, когда производители красного антивируса требуют от пользователя тоже загружать это барахло.

Пруфлинк

[Андрей-001 1099]

Политики против пиратства ... важнее, чем нажа с вами безопасность

Потому всем дружно надо переходить на... Пингвина или Убунту-Гобунту.

Антивирусов для них тоже уже много! Как-нибудь до пенсии дотянем...

[p2u 824]

У добросовестных патч от kido стоит уже почти полгода. И этот патч есть/будет у добросовестных.

Автозапуск на всех устройствах не только с kido связан, правильно? Проблема передачи вирусов посредством съёмных устройств становится всё острее и острее. И ещё неизвестно, какие дыры ещё атакуются другими червями, которые таким образом передаются/восстанавливаются после 'лечения' антивирусом - опять-таки же эти звери весело распространяются через локалку провайдера (Trusted же?) от заражённых пиратских систем на лицензионные, здоровые, но плохо настроенные компьютеры...

Ладно - в знак протеста подскажу: есть обход. Данный патч делает то же самое, как тот, который уже выпустили в ноябре прошлого года (не был доступен для автоматического обновления). Его можно найти здесь (нет проверки лицензионности): http://support.microsoft.com/kb/953252

Выбираем систему, переключаем язык (если это требуется), скачаем и устанавливаем вручную.

Paul

[Андрей-001 1099]

Пруфлинк

Ага и нотариально заверенный скриншот.

Проверка безопасности > Отключено автоматическое обновление системы - тут нужно поставить галочку и нажать кн. "Исправить".

[Umnik 997]

Автозапуск на всех устройствах не только с kido связан, правильно?

Правильно. И снова повторю мысль - у лицензионных и многих пиратских пользователей патч стоит. Авторан, знаете ли, не самая большая проблема. Я не вижу причин выкатывать МС какие-то претензии.

опять-таки же эти звери весело распространяются через локалку провайдера (Trusted же?)

Кто сказал? Атаки так же успешно ловятся у пользователей КИС, Аутпост, Комодо и, говорят, Аваст. А NetBios... Его еще использовать надо, когда патчи стоят.

Проверка безопасности > Отключено автоматическое обновление системы - тут нужно поставить галочку и нажать кн. "Исправить".

Ааа. Это у тебя барахло... Ну ясно

Мастер предлагает, а не заставляет, не так ли?

А вообще, я двумя руками за то, чтобы Каспер научился еще и за установленными патчами ОС следить, как Симантек.

[p2u 824]

Авторан, знаете ли, не самая большая проблема.

Зависит, какие статистики читать. Класс вирусов INF/Autorun стал самым распространённым среди вирусных угроз в январе 2009 г. в мире (по ThreatSense.Net; понимаю - конкуренты, но всё же...).

Кто сказал? Атаки так же успешно ловятся у пользователей КИС, Аутпост, Комодо и, говорят, Аваст. А NetBios... Его еще использовать надо, когда патчи стоят.

Атаки ловятся, но заражения просто так не лечатся, как показывают мои походы по форумам безопасности. Ну ладно, проехали... Пусть программы защиты следят за тем, что установлено, и что нет - p2u обязательно выручит если просто так не получается защищаться...

Paul

[Денис Лебедев 20]

я двумя руками за то, чтобы Каспер научился еще и за установленными патчами ОС следить, как Симантек.

Дак вроде умеет уже. Или я ошибаюсь? Просто меня одна тётенька-бухгалтер постоянно дёргает что ей касп высвечивает слово vulnerabilities

[Umnik 997]

Денис Лебедев

Он может находить конкретные необновленные файлы только.

[p2u 824]

Для отключения автозапуска со всех носителей служит ключ реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun, и его значение FF должно полностью отключать автозапуск

...

Однако сегодня Microsoft выпустил патч, исправляющий такое поведение. Проверил - действительно работает.

Гм... Казалось, что Майкрософт наконец-то сделала всё правильно. Смотрите как они говорят, как надо отключить автозапуск полностью после патча: http://support.microsoft.com/kb/953252/ru

НО... Они там говорят толкьо про HKEY_LOCAL_MACHINE. Но я только что послушал Стива Гибсона на SecurityNow!, и тот говорит, что если в ветке HKEY_CURRENT_USER задано другое значение для NoDriveTypeAutoRun, то тогда Windows применяет именно этот ключ, и у вас не будет той защиты, на которую вы надеялись...

P.S.: (Обычно HKEY_LOCAL_MACHINE наоборот отменяет HKEY_CURRENT_USER)

P.S.2: У меня оба ключа настроены как надо...

P.S.3: Кому интересно, и кто знает английский язык хорошо -

С.Г. ещё интересные вещи говорит про kido/conficker/downadup:

Читать в html

Читать в .txt

Читать в .pdf

Слушать (низкое качество звука)

Слушать (высокое качество звука) - про авторан начинается на 48:34

Paul

[georgy_n 80]

после патча: http://support.microsoft.com/kb/953252/ru

Название статьи не соответствует содержимому: "Отмена принудительного отключения автоматического запуска в реестре Windows"

Кстати, Panda отметилась выпуском утилиты для борьбы с autorun.inf - Panda USB and AutoRun Vaccine:

Принцип работы программы: на флешке / разделе ж/диска создается файл или каталог с названием AUTORUN.INF. Плюс прописываются необходимые запреты в реестре (не смотрел какие именно)

Домашняя страничка программы

Миниобзор утилиты

[p2u 824]

Название статьи не соответствует содержимому: "Отмена принудительного отключения автоматического запуска в реестре Windows"

За это отвечает Майкрософт. Они статью так выпустили вместе с обновлением из-за того, что они создали новый ключ HonorAutoRun, через который можно Windows заставить реагировать на авторан как она это делала ДО патча (это может потребоваться в корпоративной среде). Сначала они объясняют как отключить авторан, и потом как применить новый ключ.

Paul