Zapobieganie infekcji z pendrivów


Dyski wymienne typu pendrivy, dyski zewnętrzne, karty pamięci to potencjalne źródła szkodników infekujących system, które są bardzo łatwo przenoszone za sprawą domyślnie włączonych funkcji w Windows >>> Autoodtwarzania i Autouruchamiania. Po podłączeniu niezabezpieczonego dysku do zainfekowanego komputera pliki szkodników są automatycznie kopiowane na ten dysk. Następnie podłączając taki dysk infekujemy kolejny system w sposób automatyczny. Dlatego ważne jest zabezpieczenie systemu i dysków wymiennych przed tego typu infekcjami.

Etapy zabezpieczania:
Najpierw zabezpieczamy system – skan antywirusem, następnie ochrona przez zastosowanie wymienionych metod. Następnie podpinamy dyski wymienne, skanujemy je antywirusem, a na koniec je zabezpieczamy.

Wyłączenie funkcji Autoodtwarzania „Autoplay”

Wyłączenie funkcji Autoodtwarzania „Autoplay” likwiduje pojawianie się okienka akcji AutoPlay, przez co dyski same nie startują. Jednak domyślnie występuje tutaj defekt, ponieważ system po włożeniu dysku i tak wyszukuje plik autoru.inf i potrafi go wykonać. Rozwiązaniem jest instalacja łatki: KB967715. Dopiero teraz wyłączenie Autoodtwarzania będzie skuteczne.

Tutorial: włączanie / wyłączanie Autoodtwarzania (Autoodtwarzanie „Autoplay”)

Windows 7: w tej edycji Windows kompletnie usunięto funkcję autorun dla dysków USB, pozostawiając tylko dla dysków wymiennych typu CD/DVD. Funkcję tą można wprowadzić do Windows XP / Vista poprzez instalację łatki KB971029.

Ochrona przez niekasowalne foldery/pliki „autorun.inf”

Narzędzia tworzą na dysku ukryty folder autorun.inf, który uniemożliwia szkodliwym plikom autorun.inf zapisać się bezpośrednio w root dysku – infekcja nie może tam umieścić swojego autorun.inf – (domyślnie w Windows plik mający taką samą nazwę jak katalog próbuje się automatycznie zapisywać w katalogu o tej samej nazwie a nie obok, a pliki autorun.inf działają tylko w root dysku). Folder zawiera element z zastrzeżoną nazwą, którego nie można normalnie usunąć, ale bez przeszkód można zmienić jego nazwę, przez co łatwo można pozbawić się ochrony. Aby temu zapobiec (tylko na dyskach NTFS) odbieramy folderowi uprawnienia dla wszystkich kont: PPM na folderze –> Właściwości –> karta Zabezpieczenia > w sekcji Odmów zaznaczamy Pełna kontrola. Po pozbawieniu się wszelkich uprawnień nikt nie jest w stanie nic zrobić z tym folderem. Jedynym rozwiązaniem jest rekonfiguracja zestawu uprawnień.

Ręczne utworzenie ochronnego folderu
Aby ręcznie stworzyć taki folder możemy wykorzystać plik wsadowy BAT (gotowy plik), uruchamiając go w root każdego dysku.

MD autorun.inf
CD autorun.inf
MD .con
CD
ATTRIB autorun.inf +R +H +S

Tekst wklejamy do notatnika i zapisujemy jako „plik.bat” (nazwę con możemy zastąpić inną z nazw zastrzeżonych). Po uruchomieniu zostanie utworzony folder autorun.inf z blokującym elementem CON, dodatkowo na folder nałożone zostaną atrybuty tylko do odczytu, ukryty + systemowy.

Automatyczne utworzenie folderu
Możemy wykorzystać aplikacje: USBFix, USB-set, Autorun Protector (sekcja Device Protection), Panda USB Vaccine (USB Vaccination), , MKV.

Usuwanie utworzonych folderów:

MKV download: najnowsza wersja, MKV.zip
aplikacja umożliwia tworzenie ochronnych folderów (sekcja Vacciner) a także ich usuwanie (sekcja Supprimer la vaccination). Usuwa foldery tworzone przez USBFix, Flash Disinfector, Autorun Protector, nie działa na zabezpieczenia Panda USB Vaccine.

MKV.jpg

Innymi sposobami są:
– użycie Linuxa np. Parted Magic
– użycie aplikacji DirectoryFixer
Po skasowaniu tego pliku folder autorun.inf zostaje odblokowany i można usunąć go ręcznie.
– kasacja z wiersza poleceń z użyciem formułki z omijaniem nazw zastrzeżonych: instrukcja

Ochrona przez wyłączenie odczytu plików autorun.inf

Autouruchamianie „Autorun” – możliwość automatycznego wykonywania programu z dysków, potrzebne są tutaj pliki autorun.inf, w których zapisane jest jaki program ma się uruchomić.
Najprostszy plik autorun wygląda tak – wpis open=program.exe określa, który program ma się automatycznie uruchomić:

[autorun]
open=program.exe

autorun

Metoda ta jest bardzo skuteczna (system nie rozumie, co to jest plik autorun.inf więc nie może go wykonać), ale nie uruchomią się żadne pliki autorun.inf, np. na płytkach gier czy oprogramowania. Pamięci typu U3 przestaną działać (ich LaunchPad wymaga używania autorun.inf). W tej sytuacji lepszą alternatywą jest ochrona przez niekasowale foldery/pliki „autorun.inf”.

Aby zdeaktywować rozpoznawanie plików autorun.inf modyfikujemy rejestr poprzez import podanych wpisów:

Wyłączenie funkcji Autorun

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"

 

Włączenie funkcji Autorun

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]

Wklejamy do notatnika tekst,
Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG Wprowadź wartość do rejestru poprzez dwuklik. W obu przypadkach – po wykonaniu restart komputera.
Dla wygody można pobrać gotowe pliki REG do zaimportowania: Enabled_disabled_autorun.zip

Można to także zrobić automatycznie używając aplikacji:
– Autorun Protector (w sekcji PC Protection)
– Panda USB Vaccine (w sekcji Computer Vaccination)

Usunięcie mapowania z klucza MountPoints2

HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2

Klucz przechowuje informacje dotyczące różnych urządzeń USB, które były używane na komputerze. Można całkowicie usunąć ten klucz, po resecie komputera klucz się samoczynnie zrekonstruuje. Automatycznie można to zrobić w Autorun Protector, funkcja „Clear MountPoints2 Registry”.

Można także odebrać uprawnienia dla tego klucza, instrukcja.

Fix naprawiający pokazywanie się ukrytych plików

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden]
@=""

Infekcje wykorzystujące lukę w przetwarzaniu plików .lnk (skrótów)

Nowy rodzaj infekcji wykorzystuje błąd w przetwarzaniu plików .lnk (skróty), a nie jak większość tego typu szkodników korzystających z możliwości pliku autorun.inf . Dziura istnieje w bibliotece shell32.dll, w kodzie odpowiedzialnym za wyświetlanie ikon skrótów (plików LNK). Otóż dla pliku LNK można wskazać plik z ikonką, takim plikiem może być biblioteka DLL lub inny program. Mamy wówczas sytuację, że już same wyświetlenie skrótu, na przykład do panelu sterowania, może automatycznie uruchamiać dowolny program na prawach użytkownika. Jeśli użytkownik ma prawa administratora możliwe jest zainstalowanie w systemie rootkita.

Aby zostać zainfekowanym, wystarczy podłączyć tylko zainfekowany dysk przenośny jeśli autoodtwarzanie jest włączone lub wyświetlić zawartość dysku USB za pomocą dowolnego programu, który automatcznie pokazuje ikonki plików (np. Total Commander czy Windows Explorer), jeśli autoodtwarzanie jest wyłączone.

Objawy:
foldery na dysku zostają ukryte poprzez nałożenie atrybutów ukryty + systemowy, a w zamian pojawiają się skróty o nazwach katalogów, lecz nie prowadzące do nich, tylko do infekujących plików (PPM >>> właściwości >>> element docelowy).

infekcjalnk.jpg

Zapobieganie:
instalacja łaty eliminującej lukę w przetwarzaniu skrótów: KB2286198
Biuletyn zabezpieczeń firmy Microsoft MS10-046 – krytyczny

Leczenie:
jeżeli nie zainstalowaliśmy łaty i zostaniemy zainfekowani musimy wykonać kolejne działania:

  1. instalacja łaty – bez łaty leczenie może być nieskuteczne
  2. usunięcie infekujących plików oraz plików .lnk (skrótów) jak przy normalnej infekcji
  3. zdjęcie atrybutów ukryty + systemowy z katalogów, aby foldery stały się widoczne

Przykład:

H:
del /s H:*.lnk
attrib /d /s -s -h H:*
RD /S /Q H:RECYCLER
RD /S /Q H:$RECYCLE.BIN
REG DELETE "HKCUsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{78db02ca-f409-11df-bbcf-001485361ff2}" /f
pause

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

Przydatne narzędzia:

Wykorzystując specjalne aplikacje można powyższe czynności wykonać w sposób automatyczny.

Aktualizacja: w osobnym wpisie opisane są rozbudowane aplikacje USBFix i USB-set.

Panda USB Vaccine

Licencja: freeware
Platforma: Windows 2000/XP/Vista/7

aplikacja do ochrony przed infekcjami z dysków przenośnych. Podczas instalacji wybieramy opcję instalacji strażnika rezydentnego, określamy czy szczepienie urządzeń ma być wykonywane automatycznie oraz obsługę szczepienia systemu plików NTFS.
Po uruchomieniu narzędzie ma dwie sekcje:
Computer Vaccination – ochrona poprzez wyłączenie odczytu plików autorun.inf, metody opisywanej wyżej.

USB Vaccination tworzy niekasowalny plik autorun.inf na dyskach przenośnych USB (nie obsługuje twardych) sformatowanych w FAT / FAT32 / NTFS zapobiegając jego odczytowi, modyfikacji, kasacji oraz generowaniu nowego. Aplikacja ma inną metodę tworzenia obiektów:
– na FAT: plik jest widoczny, ale nie da się usunąć
– na NTFS: na dysku nie widać pliku autorun.inf, ale nie można go na nim utworzyć (błąd „taka nazwa już istnieje”)
Jest to najskuteczniejsze zabezpieczenie dla USB.

Wersja portable – Panda USB Vaccine 1.0.1.4 Portable

panda-usb

Autorun Protector

Licencja: freeware
Platforma: Windows + .NET Framework 2.0

Sekcja PC Protection – wyłączenie funkcji Autorun w Windows poprzez metodę klucza IniFileMapping (wyłączenie odczytu plików autorun.inf przez system). Dodatkowo funkcja „Clear MountPoints2 Registry” – czyszczenie zawartości cache urządzeń USB.
Sekcja Device Protection – tworzenie niekasowalnych folderów autorun.inf na wykrytych dyskach.

autorunProtector.jpg

No Autorun

Licencja: Open source

aplikacja monitoruje każdy podłączany dysk USB i blokuje znajdujące się na nim plik autorun.inf wraz z zapisanymi w nim plikami wykonywalnymi. Po wykryciu pliku autorun.inf wyświetlane jest okienko z wyborem akcji. Do czasu podjęcia stosownej akcji pliki nie mogą się wykonać i nie zaszkodzą systemowi, nie można także ich usuwać z poziomu Explorera. Aby usunąć wszystkie pliki wybieramy Delete Autorun Files / Delete All. Pojedyncze pliki kasujemy Delete. Przyciskiem Unlock zdejmujemy blokadę z plików i mamy do nich dostęp. Quarantine – kwarantanna.

Opcja „USB disk soft write protect” pozwala na zablokowanie zapisu na każdym nowo podłączanym dysku USB, który będzie tylko do odczytu. Jest to przydatne, gdy komputer jest już zakażony, ale nie chcesz rozprzestrzeniać wirusa.

NoAutorun.jpg

Wybierając Config mamy dostęp do konfiguracji:

auto start with system – automatyczny start z systemem
disable autorun – opcja wyłącza funkcje autoodtwarzania Autoplay

when a usb disk is inserted, safely open the disk folder – opcja pozwala na bezpieczne otwarcie folderu dysku USB po określonym czasie w sekundach

lock autorun.inf file when it contains more than 4 lines. ( prevent potential parsing error.) – blokada pliku autorun.inf, jeśli zawiera więcej niż 4 linie. (zapobiega potencjalnym błędom parsowania)

Download: najnowsza wersja (nie wymaga instalacji, typ portable; przed uruchomieniem wkleić w pusty plik NoAutorun.ini:
[system]
auto_start=0
start_as_task=0
auto_check_updates=0

NoAutorunOptions.jpg

USB WriteProtector

aplikacja blokuje możliwość zapisu oraz kasowania danych na urządzeniach podłączonych do portu USB (możliwe jest tylko kopiowanie i odtwarzanie plików). Aplikację najlepiej uruchomić prosto z dysku USB, wówczas nie potrzeba restartować komputer. Po uruchomieniu zaznaczamy opcję Ochrona zapisu USB włączona. Aby ochrona została uaktywniona musimy odłączyć i ponownie podłączyć urządzenie. Aby umożliwić zapis zaznaczamy Ochrona zapisu USB wyłączona.

Download: najnowsza wersja

Zrzut ekranu:
USBWriteProtector.jpg

One Comment

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *