-
Junior Member
- Вес репутации
- 53
вирусы с USB-флешек
Совсем недавно я верил в некую истину - на компьютер есть два пути проникновения: интернет(скачанные файлы или зараженные страницы) и usb-флешки. И на первый пункт, и на второй существовали свои методы борьбы, как использование Noscript(это пример к первому), так и тотальное отключение autorun.inf(это пример к второму).
Недавно же мне попался, можно сказать, прямо в лапы, интересный вирус. С флешки. Который вообще не использовал autorun.inf. А использовал, как ни странно, ярлыки. Нет, не ту уязвимость, а самую простую и элементарную вещь - скрытие настоящих папок, замена их ярлыками с выполением .exe вируса перед открытием соответствующей папки. По мне, очень классная реализация - учитывая почти 100% срытие системных файлов на пользовательских системах с малой вероятностью того, что конечный пользователь обратит внимание на стрелочку на иконке ярлыка.
Меня все же удивило, а что он все-таки не использовал файл autorun.inf. Тут-то я и открыл кое-что новое:
http://windows.microsoft.com/ru-RU/w...ay-and-autorun
Далее, оказалось, что автозагрузка(именно она, а не автозапуск), отключена обновлениями безопасности и на XP, и на Vista, и на 7(на ней вообще изначально).
Ну, собственно, зачем я все это писал - получается, на системах с этими обновлениями нет опасности заразиться через autorun.inf? Этот способ ушел в прошлое? Или здесь есть какие-то хитрости с автозапуском?
Последний раз редактировалось dan_p; 29.11.2011 в 20:40.
[I]Если хочешь стать оптимистом и понять жизнь, то перестань верить тому, что говорят и пишут, а наблюдай сам и вникай. [/I]А.П. Чехов
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
dan_p
получается, на системах с этими обновлениями нет опасности заразиться через autorun.inf?
Не забывайте, что кроме автозапуска при подключении устройства есть автозапуск при открытии: autorun.inf исполняется при двойном клике на флэшку в "Моем компьютере".
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Bratez
Не забывайте, что кроме автозапуска при подключении устройства есть автозапуск при открытии: autorun.inf исполняется при двойном клике на флэшку в "Моем компьютере".
Получается, сделали дело наполовину?
Посидел я над упомянутым выше вирусом. Разобрался я более или менее, куда он прописывается. Но вот как, не пойму. В процессэксплорере ни сам вирус-процесс, не создаваемые им процессы не записывают файлов на диск. Это делают svchost.exe и explorer.exe:
WinXP_Pro_Rus_VL_TestVM_for_V-2011-12-01-00-12-23.jpg
[I]Если хочешь стать оптимистом и понять жизнь, то перестань верить тому, что говорят и пишут, а наблюдай сам и вникай. [/I]А.П. Чехов
-
1)Файловый вирус. Заражает експлорер, а тот уже занимается "пропиской"
2) Регистрация и запуск службы, которая...
3) Тысячи их.
Взялся за грудь - говори что-нибудь
У меня будет свой Internet, без MMORPG и порно-див!
-
-
Junior Member
- Вес репутации
- 0
Сообщение от
Bratez
Не забывайте, что кроме автозапуска при подключении устройства есть автозапуск при открытии: autorun.inf исполняется при двойном клике на флэшку в "Моем компьютере".
Если я чего-то понимаю, то при подключении устройства происходит лишь "определение оборудования оболочки", а автозапуск происходит при обращении к диску, и именно его отключают либо вручную, либо обновлениями системы, если требуется. По крайней мере, у меня с отключенным автозапуском по клику на флешку в "Моем компьютере" ничего автоматического не происходит :-)
-
Сообщение от
rodocop
По крайней мере, у меня с отключенным автозапуском по клику на флешку в "Моем компьютере" ничего автоматического не происходит :-)
Поправка принимается. Действительно, если автозапуск со с'ёмных носителей запрещен, то и по клику в "Моем компьютере" autorun.inf не исполняется.
I am not young enough to know everything...
-