V-zlom.ru » Статьи » Популярные вирусы-Autorun-черви

Популярные вирусы-Autorun-черви


Особенностью данных червей является возможность распространяться через сменные носители с использованием скриптов автозапуска autorun.inf. На текущий момент Лаборатория Касперского детектирует до 100 новых модификаций Autorun-червей для ОС Windows ежедневно. 

К счастью, существует возможность обезопасить свой компьютер от вторжения целой армии Autorun-червей. Работа этих вредоносов возможна лишь в том случае, если в настройках локальной политики безопасности разрешен автозапуск со сменных носителей. 

Файлы сценариев находятся в корневых директориях съемных дисков, именно их открывает Windows при подключении нового носителя. Для снижения вероятности обнаружения, файлу "Autorun.inf" и каталогу, в котором размещается файл вредоносной программы, присваиваются атрибуты "Скрытый" и/или "Системный". Также каталогам и файлам могут присваиваться имена, имитирующие системные папки ОС:

Recycler
System restrore
ScanDiskLog




Структура скрипта автозапуска «autorun.inf» позволяет использовать их для распространения вредоносного кода в силу следующих особенностей:

• все параметры позволяют указывать произвольный путь к локальным файлам (т.е. путь абсолютно не привязан к запускаемому диску) и использовать раскрытие переменных среды;
• скрипт автозапуска позволяет указывать любой путь, который можно запустить функцией Win32API ShelluteEx (например, указать в окне Пуск – Выполнить), в том числе и осуществить переход на произвольный URI-адрес в Internet;
• имеется возможность подменить пункт контекстного меню «Открыть» на значке съемного диска;
• большинство антивирусных продуктов неспособны применить поведенческий анализ к файлам такого рода, так как для собственно ОС они не являются исполняемыми; сигнатурный же анализ неэффективен при малейших изменениях в коде.

Этих недоработок достаточно для распространения вредоносного кода путем передачи его в параметры запуска как аргументы к некоему интерпретатору. Известно, что среди стандартно присутствующих в Windows (без вызова DOS-подсистемы, которая часто блокируется защитным ПО либо пользователем за ненадобностью) подходящим для такой цели является лишь командный интерпретатор сmd.exe.


Таким образом, возможности внедрения вирусного кода с помощью сценария автозапуска непосредственно зависят от возможностей командного процессора Windows, особенно важными из которых являются:

• командный интерпретатор Windows способен принимать ключ включения расширенной обработки команд, перекрывающий установленные в реестре параметры доступа к ней;
• в командной строке можно указывать конкатенацию команд;
• команды можно группировать, расставляя приоритет всех операций необходимым образом;
• существуют команды режима расширенной обработки, устанавливающие соответствия между расширениями, именованными типами файлов и запускаемыми программами;
• интерпретатор позволяет запускать программы или пакетные файлы без привязки к окну запускающего командного сценария.

Мы до сих пор еще не затронули возможность распространения червей с использованием таких съемных носителей, как СD и DVD накопители. Однако и это возможно при помощи встроенной в Windows XP и выше программы для записи CD. Эта возможность связана с тем, что временная папка, в которую помещаются файлы для записи, фиксирована.


Как правильно бороться с autorun-червями


1. Отключение автозапуска со съемных носителей. Не всегда приемлемо для обычного пользователя, поскольку заметно снижает удобство использования оболочки Windows.
2. Отключение пакетной обработки команд. Не является универсальным решением, т.к. существует возможность создания усовершенствованного вредоносного сценария, не использующего промежуточные пакетные файлы как таковые и располагающего основную нагрузку либо в своем теле с непосредственным запуском, либо в реестре в параметрах перехвата управления от оболочки.
3. Запрет пользовательского доступа к командному интерпретатору в целом. Достаточно эффективное решение в случае отсутствия необходимости использования командного интерпретатора на конечной системе, хотя и не подходит как массовое. Однако при использовании внешних файлов сценариев либо системных утилит вроде reg (недоступна в Windows XP Home Edition) или cacls все эти ограничения могут быть сняты непосредственно из autorun.inf без вызова командного процессора.
4. Отказ от использования встроенных средств переноса файлов на съемные носители. Часто, но не всегда приемлемо для конечного пользователя.
5. Настройка групповой политики для разрешения подключения съемных носителей с уникальными идентификаторами устройства, входящими в список разрешенных в рамках данной политики (только для Windows Vista и выше).


Из всех перечисленных выше методов наиболее простым и эффективным способом является отключение автозапуска внешних носителей. В Windows 2000, XP Professional, 2003, Vista, 2008 Server необходимо запустить оснастку для редактирования групповой политики gpedit.msc. После чего выбрать: «Конфигурация компьютера - Административные шаблоны - Система - Отключить автозапуск (выберите, где отключать)». Далее примените новую политику командой ‘gp’ в консоли. 

В Windows XP Home оснастка управления групповыми политиками отсутствует, однако тот же эффект может быть достигнут ручной правкой реестра: 

1. Пуск - Выполнить – ввод ‘regedit’ – OK. 
2. Открыть HKLMSOFTWAREMicrоsoftWindowsCurrentVersionPolicies. 
3. Создать новый раздел 
4. Переименовать созданный раздел в Explorer 
5. В этом разделе создать ключ NoDriveTypeAutoRun. 

Допустимые значения ключа: 

0x1 - отключить автозапуск на приводах неизвестных типов 
0x4 - отключить автозапуск сьемных устройств 
0x8 - отключить автозапуск НЕсьемных устройств 
0x10 - отключить автозапуск сетевых дисков 
0x20 - отключить автозапуск CD-приводов 
0x40 - отключить автозапуск RAM-дисков 
0x80 - отключить автозапуск на приводах неизвестных типов 
0xFF - отключить автозапуск вообще всех дисков.


Значения могут комбинироваться суммированием их числовых значений. Еще одним (более удобным) вариантом отключения автозапуска является создание текстового файла с расширением «*.reg» со следующим содержимым и внесением в реестр информации, которая в нем содержится: 


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdrom]
«AutoRun»=dword:00000000 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Micrоsoft\\Windows\\CurrentVersion\\policies\\Explorer\\]
«NoDriveTypeAutoRun»=dword:000000b5
«NoDriveAutoRun»=dword:3fffffff
[HKEY_CURRENT_USER\\Software\\Micrоsoft\\Windows\\CurrentVersion\\Policies\\Explorer]
«NoDriveTypeAutoRun»=dword:000000b5
«NoDriveAutoRun»=dword:3fffffff
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoplayHandlers\\CancelAutoplay\\Files]
«*.*»=«»


Также необходимо учесть тот факт, что в случае, если съемное устройство уже подключалось к системе при включенном автозапуске, то его идентификатор был добавлен в ключ реестра:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerMountPoints2]
И при следующем автозапуске, несмотря на отключенный автозапуск, данное устройство будет запущено, как и прежде



Для того чтобы этого не произошло необходимо удалить указанный выше ключ для профилей всех пользователей. При следующем старте системы ключ будет создан заново, но уже не будет содержать прежней информации автозапуска.

  • Автор: admin
  • Комментарии: 0
  • Просмотры: 2926
0

Добавить комментарий

Вы не авторизованы и вам запрещено писать комментарии. Для расширенных возможностей зарегистрируйтесь!