Geser
15.12.2005, 23:13
Если включена автозагрузка, то когда вставляешь CD в дисковод, (это возможно и для других дисков), запускается файл, находящийся на CD, прописанный в файле autorun.inf:
[autorun]
OPEN=AUTORUN.EXE
Переправить строку с autorun.exe на troyan.exe не составит труда (ну или подготовить троян с именем autorun.exe .
Предположим, что злоумышленник имеет кратковременный физический доступ к вашему серверу. Он вставляет заранее подготовленный сидюк с троянчиком в CD драйвер, и троян запускается с правами пользователя, под которым запущен компьютер.
Так же актуально для домашник компьютеров. Достаточно вставить зараженный диск, и троян уже живёт у вас.
Решение проблемы: для отключения автозапуска программ при загрузке CD нужно поставить ключ реестра в значение 0: HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autor un
А можно также отключить автозапуск только у одного привода, если в системе их несколько. Делается это в следующем ключе:
HKLM\SYSTEM\CurrentControlSet\Services\CDRom\AutoR unAlwaysDisable
Туда необходимо записать имя привода, как оно записано в Диспетчере устройств.
securitylab.ru (http://www.securitylab.ru/forum/read.php?FID=18&TID=1274)
[autorun]
OPEN=AUTORUN.EXE
Переправить строку с autorun.exe на troyan.exe не составит труда (ну или подготовить троян с именем autorun.exe .
Предположим, что злоумышленник имеет кратковременный физический доступ к вашему серверу. Он вставляет заранее подготовленный сидюк с троянчиком в CD драйвер, и троян запускается с правами пользователя, под которым запущен компьютер.
Так же актуально для домашник компьютеров. Достаточно вставить зараженный диск, и троян уже живёт у вас.
Решение проблемы: для отключения автозапуска программ при загрузке CD нужно поставить ключ реестра в значение 0: HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autor un
А можно также отключить автозапуск только у одного привода, если в системе их несколько. Делается это в следующем ключе:
HKLM\SYSTEM\CurrentControlSet\Services\CDRom\AutoR unAlwaysDisable
Туда необходимо записать имя привода, как оно записано в Диспетчере устройств.
securitylab.ru (http://www.securitylab.ru/forum/read.php?FID=18&TID=1274)