Распространения вредоносных программ через USB-flash

Материал из Total Malware Info

Перейти к: навигация, поиск

Метод распространения вредоносных программ через USB-flash основан на том, что операционная система Windows XP перед открытием анализирует содержимое USB-flash. Если в корневом каталоге накопителя находится файл "Autorun.inf", то управление передается ему (по аналогии с подобными файлами на CD и DVD дисках). Этот же файл получает управление при открытии содержимого USB-flash в "Проводнике". Однако реализация этого метода возможна лишь в том случае, если значениями ключей реестра разрешен автозапуск со сменных носителей. В операционной системе Windows XP Pro данная возможность по умолчанию запрещена, в то время как в Windows XP Home, как ориентированной на рядового пользователя, разрешена. Благодаря этому данная методика распространения вредоносных программ еще не получила большого распространения. В то же время, разрешением автозапуска со сменных носителей может заниматься как вредоносная программа, созданная для этой цели и запущенная ранее, так и человек ("Инсайдер").

Реализация данного метода заражения заключается в следующем:

  1. Файл "Autorun.inf" помещается в корневой каталог любого (в большинстве случаев сменного) носителя;
  2. Примерное содержание данного файла: 
[AutoRun]
 open = <Path_To_Malware>
 shellexecute = <Path_To_Malware>
  1. Исполняемый файл вредоносной программы может размещаться либо в корневом каталоге, либо в любом каталоге на носителе.
  2. Для снижения вероятности обнаружения, файлу "Autorun.inf" и каталогу, в котором размещается файл вредоносной программы, присваиваются атрибуты "Скрытый" и/или "Системный".
  3. Также каталогам могут присваиваться различные "солидные" имена: 
     
"Recycler" 
"System Restrore" 
"ScanDiskLog" и т.д.

При отображении содержимого USB-flash в "Проводнике", это может выглядеть следующим образом:

Для возможности копирования вредоносных программ на USB-flash, необходимо наличие следящего механизма, который может быть реализован и скрыт при помощи следующих методик:

  1. Использование Rootkit-технологий;
  2. Использование похожих на системные имен для процесса-установщика названия либо;
  3. Инжектирование кода установщика в доверенное приложение с последующим перехватом управления (зачастую - "explorer.exe");
  4. Изменение в реестре или правка конфигурационных файлов для обеспечения автоматической загрузки установщика;
  5. Загрузка вредоносной программы перед запуском ОС (система драйверов либо BOOT-сектор).

Действия, выполнение которых может значительно снизить вероятность заражения компьютера через USB-flash, приведены ниже:

  1. Использование файловых менеджеров (FAR, TotalCommander и др.);
  2. Обязательная проверка антивирусным сканером внешних накопителей перед открытием файлов, полученных из других источников;
  3. Визуальная проверка содержимого накопителя перед использованием (наличие файла "Autorun.inf", скрытые каталоги и т.д.)‏;
  4. Отключение автозапуска внешних носителей.

Наиболее радикальным и в то же время наиболее надежным способом является отключение автозапуска внешних носителей и периодический контроль состояния нижеприведенных ключей реестра. Для 2000, XP Pro, 2003: Пуск - Выполнить – ввод ‘gpedit.msc’ - OK - Конфигурация компьютера - Административные шаблоны - Система - Отключить автозапуск (выберите, где отключать). Далее примените новую политику командой ‘gpupdate’ в консоли.

В XP Home оснастка управления групповыми политиками отсутствует, однако тот же эффект может быть достигнут ручной правкой реестра:

  1. Пуск - Выполнить – ввод ‘regedit’ – OK.
  2. Открыть HKLM\SOFTWARE\Micrоsoft\Windows\CurrentVersion\Policies.
  3. Создать новый раздел
  4. Переименовать созданный раздел в Explorer
  5. В этом разделе создать ключ NoDriveTypeAutoRun Допустимые значения ключа: 
  0x1 - отключить автозапуск на приводах неизвестных типов 
  0x4 - отключить автозапуск сьемных устройств 
  0x8 - отключить автозапуск НЕсьемных устройств 
  0x10 - отключить автозапуск сетевых дисков 
  0x20 - отключить автозапуск CD-приводов 
  0x40 - отключить автозапуск RAM-дисков 
  0x80 - отключить автозапуск на приводах неизвестных типов 
  0xFF - отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений. Еще одним (более удобным) вариантом отключения автозапуска является создание текстового файла с расширением "*.reg" со следующим содержимым и внесением в реестр информации, которая в нем содержится: 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Cdrom]"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Micrоперационная системаoft\Windows\CurrentVersion\policies\Explorer\
NoDriveTypeAutoRun]"NoDriveTypeAutoRun"=dword:000000b5

[HKEY_CURRENT_USER\Software\Micrоsoft\Windows\CurrentVersion\
Policies\Explorer]"NoDriveTypeAutoRun"=dword:000000b5

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""
Источник — «http://www.totalmalwareinfo.com/rus/%D0%A0%D0%B0%D1%81%D0%BF%D1%80%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D1%8B%D1%85_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC_%D1%87%D0%B5%D1%80%D0%B5%D0%B7_USB-flash»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.