Pewnego dnia podłączyłem do swojego komputera Pendrive kolegi. Przegrałem potrzebne przeze mnie pliki, wyciągnąłem przenośny napęd oddając go właścicielowi, lecz chcąc kontynuować pracę na komputerze odkryłem, że większość programów nie chce się już uruchamiać, przywracanie systemu nawet nie chce zadać jakiegokolwiek pytania. Czy posiadam już w swoim systemie malware lub coś podobnego?
Oczywiście! A dlaczego? Ponieważ w przeciwieństwie do dysków CD-ROM czy DVD funkcja „Auto uruchamiania” w systemie Windows dla dysków Flash (Pendrive, Thumbdrive, Memorystick itd.) nie uznaje możliwości zapytania użytkownika systemu czy chce uruchomić program przypisany do funkcji automatycznego uruchomienia po zamontowaniu nośnika w systemie – tylko uruchamia go automatycznie bez naszej wiedzy. To samo tyczy się dysków CD/DVD zawierających plik autorun.inf. Dzięki temu malware musi jedynie oczekiwać kiedy system sam przyjmie go z otwartymi rękoma, co bardzo, ale to bardzo ułatwia przenoszenie się tego typu niebezpiecznego oprogramowania wśród komputerów. Zjawisko to, można porównać do dawniejszego odczytywania boot sektora dyskietek, w których zazwyczaj kryły się wirusy czekające na uaktywnienie. Po tylu latach, jak widać zmienił się tylko nośnik, a autor malware musi jedynie odpowiednio go dostosować do aktywacji poprzez Autorun. W dodatku możemy rozważyć następujący scenariusz: w domu posiadamy komputer zainfekowany malware, który przedostał się za pomocą Internetu (czyt. dla przykładu przeglądarki Internet Explorer). Wracamy z pracy posiadając przy sobie firmowy Pendrive, na którym posiadamy różnego rodzaju dokumenty, które zdecydowaliśmy się dokończyć w domu. Podłączamy nasz przenośny dysk Flash do USB, a po zakończeniu niczego świadomi przemycamy już zainstalowane oprogramowanie do naszej sieci firmowej. Oczywiście każdy komputer w firmie posiada oprogramowanie antywirusowe, ale akurat ten rodzaj malware jeszcze nie został opracowany przez speców od „elektronicznych mikroorganizmów”. Skutki tego scenariusza można pozostawić można fantazji… W czym leży wina? Oczywiście w programie funkcji Autorun systemu Windows. Jedynym ułatwieniem tej funkcji jest ominięcie dwóch kliknięć zanim dostaniemy się do zawartość dysku przenośnego.
Jak wyłączyć tą funkcję dla własnego bezpieczeństwa mniej dla wygody? Dla Windows XP Home Edition, potrzebne jest zewnętrzne oprogramowanie np. Tweak UI, które zajmuje tylko 147 KB. Po instalacji programu przechodzimy do START -> Wszystkie programy -> Powertoys for Windows XP. Uruchamiamy Tweak UI, przechodzimy do zakładki My Computer / Autoplay / Types i odznaczamy wszystkie opcje. W Windows XP Professional możemy tego dokonać przy pomocy wbudowanej funkcji Zarządzania Polityką Grup. W linii poleceń (START -> Uruchom: ) wpisujemy: gpedit.msc. Przechodzimy do Konfiguracji Komputera (Computer Configuration) / Szablonów administracyjnych (Administrative Templates) / Systemu / i z bocznej listy szukamy funkcji „Wyłącz Autoodtwarzanie” („Turn off Autoplay”) – po uruchomieniu – przełączamy na opcję: Włączone (Enabled). Poniżej znajduje się rozwijana lista z dyskami przenośnymi, dla których opcja ta ma być wyłączona – zaznaczamy na: Dla wszystkich napędów (All drives).
Co więcej, większość użytkowników wykonuje tą operację zaraz po instalacji systemu, uznając funkcję tą za bardzo niewygodną, gdy podczas podłączenia / włączenia przenośnego nośnika danych otrzymuje okno dialogowe z odpowiednim zestawem pytań lub od razu prezentowany jest im program uruchomiony za pomocą autorun.inf – nie świadomie zabezpieczając się w ten sposób przed przenoszeniem się malware na nośnikach, gdzie inni dowiadują się o infekcji systemu wówczas kiedy coraz mniej programów chce się uruchamiać, a system powoli odmawia posłuszeństwa.
Więcej informacji: Zapytaj LEO.
AKTUALIZACJA: 09-04-2008, Patryk Dawidziuk
Całkiem miła wpadka nawiązująca do posta przydarzyła się panom z firmy HP (oddział Australia). Otóż do serverów Proliant dodawali na pendrive opcjonalne sterowniki do stacji dyskietek a oprócz sterowników, pan klient w prezencie dostawał także malware, a dokładnie Fakerecy oraz SillyFDC.
7 komentarzy do
18 marca, 2008 o godzinie 14:24
Taki drobny newsik uzupełniający posta, http://it.slashdot.org/article.pl?sid=08/03/18/0518242&from=rss, jak widać problem przenośnych urządzeń dotyczy nie tylko standardowych userów ale i poważnych agencji rządowych w wydawałoby się poważnym kraju.
18 marca, 2008 o godzinie 17:31
Podobna sytuacja z życia wzięta.
Na Pendrajwie przynoszę materiały do wydruku do kawiarni internetowej. Pendrajw podłączany jest do głównego komputera osoby odpowiedzialnej za całą kawiarnie. Przegrywa, drukuje, dziekuje, wychodzę. W domu mountując recznie pod Linuksem partycję [mount nie ma opcji autorun], ogladam nowy plik + utworzony Autorun.inf. Przy okazji przechodząc obok kawiarni informuje gościa o przygodzie i słyszę:
CafeMan: „Ale usuneło Panu?”
Ja: „Słucham?”
CafeMan: „Ale antywirus usunął?”
Ja: „Nie bo czuje potrzeby pod Linuksem używania ale drażnią mnie nowe pliki na Pendrajwie”
CafeMan: „Bo normalnie usuwam a potem znowu i tak jest…”
W związku z tym będę musiał drukować gdzie indziej, tudzież przychodził z czystym Pendrajwem i awaryjnie drukował… życie.
19 marca, 2008 o godzinie 15:25
Sytuacja którą opisałeś w poście, jest jak z życia wzięta. Znam pewną sporą firmę, która ma między innymi całkiem sporą siedzibę w PL, polityka firmy zabrania wgrywania jakiegokolwiek softu na komputery firmowe (co nie zmienia faktu, że każdy pracownik instaluje firefoxa), niektórzy chcąc obejść faszystowski regulamin robią dokładnie jak opisałeś, przynoszą ze sobą dyski lub flasha podpinane po usb…
19 marca, 2008 o godzinie 16:35
Punkt ksero koło Wojskowej Akademii Technicznej też rozprzestrzenia jakieś świństwo. Studenci przychodzą drukować materiały, a potem te same dyski flash wpinają w komputery na salach wykładowych i w labolatoriach. Skutek jest taki, że chyba wszystkie komputery są zarażone jakimś ścierwem.
20 marca, 2008 o godzinie 09:45
A ja lubię okno, które pozwala mi szybko wybrać jaką akcję ma system wykonać z włożonym dyskiem :-)
Ale Windows Vista nie uruchamia „sama” autorun.inf, a prosi o wybranie uruchomienia tego na właśnie tym oknie pojawiającym się po włożeniu dysku.
I niedawno też zauważyłem autorun.inf i skrypt VBS na moim dysku pożyczonym koledze do korzystania z ksero na wydziale.
23 marca, 2008 o godzinie 13:01
Również parę razy zauważyłem nowe pliki na moim pendrive i karcie pamięci, ale na szczęście zbytnio mnie to nie obchodzi – w domu nie korzystam z Windowsa wcale (wyjątkiem jest laptop, z którego właśnie pisze, który jest dla mnie tylko „terminalem internetowym” gdy stacjonarny jest zajęty…). Jak dla mnie żaden system operacyjny nie powinien odwalać takich numerów, nawet Windows – im dłużej korzystam z GNU/Linuksa, tym bardziej jestem zadowolony z mojej decyzji całkowitego usunięcia Windowsów z mojego dysku. Teraz nie mam na nim żadnej partycji windowsowej, więc nawet jak podłącze do któregoś komputera by za chwilę zrebootować i odpalić mój system to jestem bezpieczny… Takie rozwiązanie naprawdę polecam ;)
26 marca, 2008 o godzinie 17:39
„Ale Windows Vista nie uruchamia “sama” autorun.inf, a prosi o wybranie uruchomienia tego na właśnie tym oknie pojawiającym się po włożeniu dysku.”
Hihi.. no to mamy postep w informatyce :D
” potem te same dyski flash wpinają w komputery na salach wykładowych i w labolatoriach. Skutek jest taki, że chyba wszystkie komputery są zarażone jakimś ścierwem.”
Hmm u nas po prostu studenci nie maja praw roota.. cale szczescie:/
chociaz z drugiej strony to brakuje wielu programow i sie nie mozna doprosic admina o nie :/