Skocz do zawartości
119383

Infekcje z pendrive'ów na Windows 7

Rekomendowane odpowiedzi

Witam,

 

kiedyś czytałem, że Windows 7 nie parsuje plików autorun.inf znajdujących się na pendrivach. Czy to oznacza, że komputery zaopatrzone w ten system są bezpieczone przed wszystkimi infekcjami z nośników tego typu, czy też istnieje jakiś rodzaj złośliwego oprogramowania przenoszący się poprzez pendrive'y, który wykorzystuje odmienną technikę rozprzestrzeniania się, na którą Windows 7 jest wrażliwy (pomijając oczywiście włączenie przez użytkownika plików wykonywalnych złośliwej aplikacji, znajdujących się na nośniku)?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Niezabezpieczone systemy Windows 7 bez aktualizacji KB2286198 (zawiera się w SP1) mogą być podatne na lukę LNK (samo wyświetlenie skrótów w eksploratorze wykonuje infekcję). Mając jednak załatane systemy:

 

Obecnie są stosowane sztuczki socjotechniczne, by skłonić użytkownika do uruchomienia pliku infekcji, wykorzystujące fakt, że opcja Ukryj chronione pliki systemu operacyjnego jest domyślnie zaznaczona (lub infekcja stara się ją przekonfigurować i zapobiec przestawieniu opcji). Opcja jest wykorzystywana w taki sposób, by upozorować utratę danych zasadniczych lub je zasymulować. Przykład:

 

 

Robak Gamarue

 

Robak tworzy na urządzeniu ukryty (atrybuty HS) folder o nazwie spacji i przesuwa do niego wszystkie dane użytkownika, tworzy też ukryte pliki infekcji. Jako jedyny widoczny element tworzy skrót o nazwie urządzenia, który uruchamia ukryty plik infekcji. Użytkownik skonfrontowany z pozornie pustym urządzeniem szukając zaginionych danych klika na skrót. Ten skrót jest zresztą mylony z samym urządzeniem per se - nagminnie w tematach z tą infekcją słyszę sformułowanie "nie da się otworzyć pendrive" (każdy tego próbował, tzn. klikał w skrót).

 

Co widzi użytkownik:

post-11069-0-15218300-1372765022.png

Co jest w rzeczywistości na urządzeniu (przy czym skrót linkuje do pliku *.ini, zerowy autorun.inf to fantom i nie jest motorem infekcji):

post-11069-0-55128200-1372765193.png

Pomimo prostoty rozwiązania jest to bardzo skuteczna metoda i działa na różne typy użytkowników, nawet takich którzy mają większą orientację w systemie. Na forum tutaj masowe zgłoszenia problemu "braku danych", bądź też "zamiany danych w skróty", choć te sytuacje nie mają w rzeczywistości miejsca. Użytkownicy nie domyślili się samodzielnie, że nie widzą po prostu wszystkiego, a szukając danych uruchamiali co popadnie (czyli owe skróty infekcji). Pamiętam też użytkownika, który z kolei był "zbyt zaawansowany" i widząc większą zajętość pendrive niż wskazywał to widok dysku przekombinował, tzn. szukał nie tam gdzie trzeba (od razu się rzucił na TestDisk), bo tak proste rozwiązanie z atrybutami też nie przyszło mu do głowy.

 

Należy też zwrócić uwagę, że obecnie metodologia jest znana, ale gdy pierwszy taki przypadek na forum wystąpił, była to nowość. Nie było to zachowanie nigdzie opisane czy sklasyfikowane. Użytkownik nie miał żadnych danych pomocniczych, by ukierunkować swój tok rozumowania, porównać swój przypadek z jakimś opisem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...