-
Junior Member
- Вес репутации
- 64
Как полностью обезопаситься от autorun-нов?
Добрый день! Думаю не меня одного достали вирусы кочующие с одного компа на другой на флэшках. Помогите пожалуйста решить эту проблему.
Имеется примерно три десятка компов разбросанных по магазинам в разных концах города. На всех стоит Win XP SP2 rus corp + KAV v7.0.0125 или v7.0.1.321. Инета в большинстве магазинов нет, соответственно базы обновляются вручную, примерно раз в неделю.
Компы служат для приема заказов у клиентов, так что поросячий визг каспера сышен каждые пять минут. Ну и соответственно то одна машина, то другая, несмотря на присутсвие каспера, переодически хватает заразу.
На всех машинах через групповые политики отключен автозапуск всех дисков.
Ранее я полагал, что отключение автозапуска, предотвращает выполнение команд в файле autorun.inf, но как я понял, на самом деле эта процедура лишь предотвращает автоматическое выполнение содержимого авторана, при подключении фэшки или вставке диска. Кода же юзер открывает флэшку двойным кликом в эксплорере, содержимое авторана приспокойненько исполняется, и как результат -- зараженная машина
Подскажите пожалуйста, можно ли как-нибуть запретить системе вообще обращать внимание на autorun.inf ?
Или может есть способ запретить системе выполнение исполняемых файлов на всех сменных носителях (что также по идее должно решить проблему) ?
Вобщем помогите люди добрые кто чем может, а то сил моих уже нет бороться с этой пакостью .
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите автозапуск (не путать с автозагрузкой!!!) на всех дисках.
-
-
Junior Member
- Вес репутации
- 64
2Maxim
скачал, установил, снял все галки, применил, перезагрузился (на всякий случай), вставляю диск в CD-юк, открываю его -- СРАБАТЫВАЕТ АВТОЗАПУСК!!!, т.е. выполняется содержимое autorun.inf
другие идеи есть?
p.s. кстати, а причем тут автозагрузка, или я чего-то не понял?
-
-
-
Talanius, в данном случае, на мой взгляд, логичнее исключить эксплореер... Пользуйтесь каким-нибудь файловым менеджером... Тем же Total Commander, например...
-
-
Ну а "кардинальное" решение - это политика ограниченного использования программ, тогда пользователь вообще не запустит НИЧЕГО кроме того, что разрешено.
Как минимум, IMHO надо запретить исполнение из "C:\Documents and Settings". Но я "наоборот" - запрещаю по default и разрешаю нужные, соотв. пользователи "выкуривают" и с CD-юками, и с флэшками, и с остальным хламом из и-нета, в т.ч. и с вирусами (то есть они безобидно валяются в профиле, откуда их в учётке юзера можно пытаться даже запустить "руками" :-) )
-
Junior Member
- Вес репутации
- 64
2drongo
в ветке
'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer', значение параметра 'NoDriveTypeAutoRun' у меня стоит 'ff', т.е. отключен автозапуск всех дисков
скажи пожалуйста, чем отличается параметр NoDriveTypeAutoRun' от NoDriveAutoRun' ?
2ed13
переучивать юзеров с эксплорера на тотал слишком уж сложно
2Vinni
собственно я уже думал об этом, но если существует менее радикальный способ, то все-таки хотелось бы обойтись без "драконовских" мер
-
Сообщение от
Talanius
2drongo
в ветке
'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer', значение параметра 'NoDriveTypeAutoRun' у меня стоит 'ff', т.е. отключен автозапуск всех дисков
скажи пожалуйста, чем отличается параметр NoDriveTypeAutoRun' от NoDriveAutoRun' ?
Полагаю первый запрещает автозапуск с определенных носителей, второй запрещает автозапуск вообще.
-
-
Можно испортить ассоциацию файлов .inf , например поменять на notepad.exe .Правда если есть нужные программы, которые используют .inf - они работать перестанут.
-
-
В сети появились ссылки на найденные автораны такого содержания
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe
При этом, естественно, даже выбор Explore в меню диска вызывает калькулятор
Авторан со всех дисков выключен.
-
-
Сообщение от
psw
В сети появились ссылки на найденные автораны такого содержания
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe
При этом, естественно, даже выбор Explore в меню диска вызывает калькулятор
Авторан со всех дисков выключен.
Это потому что когда вы просто вставляете USBDrive, MountPoints2 обновляется сразу же новыми параметрами - политики Explorer обходятся очень просто. Есть защита против этого: просто отредактировать Разрешения всех пользователей (включая админов) ключа MountPoints2 в реестре на 'Deny' по всем пунктам кроме 'Чтение'. Никакой Brontok и пр. вашу машину уже не заразит через авторан...
P.S.: Ключ MountPoints2 находится здесь:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2]
для всех юзеров отдельно.
Paul
Последний раз редактировалось XP user; 23.02.2008 в 19:58.
Причина: P.S.
-
А надо ли предварительно создавать ключи для букв дисков (Z etc.), которых пока нет, но могут появиться в будущем, или и так все будет работать?
-
-
Сообщение от
psw
А надо ли предварительно создавать ключи для букв дисков (Z etc.), которых пока нет, но могут появиться в будущем, или и так все будет работать?
Я думаю, что лучше перед добавлением новых дисков отредактировать Разрешения MountPoints2 обратно. Заранее разрешить то, что ещё нет - не знаю...
P.S.: Надо будет искать как это работает. По умолчанию Windows делает доступными ВСЕВОЗМОЖНЫЕ диски. Я те, которые не нужны сделал недоступными.
Paul
Последний раз редактировалось XP user; 22.02.2008 в 22:35.
-
Сообщение от
ed13
Talanius, Пользуйтесь каким-нибудь файловым менеджером... Тем же Total Commander, например...
ООчень полезная вещь....если честно сам долго переучивался....теперь использую стандартный интерфейс (windows) только когда работаю с рабочим столом или папкой Мои документы...все остальные операции с файлами только через Total Commander...довольно часто спасал от авторанчиков...откроешь флешку, а там *.inf, *.vbs и другие радости жизни из 10 случаев в 3 антивирус не распознал заразу.
Microsoft Most Valuable Professional in Consumer Security
-
Можно запретить запуск любых программ с USB -флэшек.
Что бы случайно не произошел запуск трояна, с помошью
C:\WINDOWS\system32\secpol.msc
"Политики ограниченного испльзования программ" -> "Дополнительные правила" ->"Создать правило для пути"
для пути - если у вас флешка на "f:\" поставить "Не разрешено".
(+еще другие возможные старшие буквы G:\, H:\, I:\... на случай того если клиент одновременно вставил несколько USB, например сотовый и свою флешку+Флешку продавца+...)
т.е. Windows XP будет блокировать запуск исполняемых файлов из этого диска/папки.
P.S.
Не стоит писать: !!!
C:\
т.к. будет запрещен запуск программ с системного диска!
Примечание
Можно
C:\WINDOWS\system32\secpol.msc
запустить по другому:
Пуск-> Панель управления-> Администрирование-> Локальная политика безопасности
Последний раз редактировалось DoSTR; 23.02.2008 в 17:31.
Причина: удалил
-
@ DoSTR:
Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство. Сами создайте, пожалуйста такой авторан для этого устройства и убедитесь:
Код:
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe
Это безопасно. Просто вместо Explorer.exe, калькулятор будет запускаться когда вы щёлкаете дважды на устройство, и на него не распространяются эти ограничения.
Решение: запретить системе доступ к параматрам MountPoints2 через запрет админ группы на этот ключ. Система (при наличие у вас админ прав) изменяет эти параметры каждый раз, когда вы вставляете новое устройство в обходе вами указанных политик.
P.S.: Ваш вариант сработает только, если у юзера хватает дисциплины НЕ щёлкать дважды, а открыть диск через клик правой кнопкой мыши + open. На практике у пользователей нет такой дисциплины. Кроме того, Троян сам может ещё щёлкать...
P.S.2: Ещё одна особенность - Политики Windows применяются достаточно поздно в процессе загрузки Windows. Зловред может успеть запускаться (если машина уже заражена) ДО ТОГО, как применяются эти политики.
Paul
Последний раз редактировалось XP user; 23.02.2008 в 20:00.
-
Дисциплина пользователя для данного примера не поможет тоже, потому что на правый клик + Open будет вызываться все тот же калькулятор.
-
-
Сообщение от
psw
Дисциплина пользователя для данного примера не поможет тоже, потому что на правый клик + Open будет вызываться все тот же калькулятор.
В этом примере да. Спасибо за поправку!
Как раз сегодня в разделе 'Помогите' опять пример, где автозапуск отключён и всё равно заражаются:
http://virusinfo.info/showthread.php?t=18512
P.S.: Пользователи-умники вставляют диск и нажимают одновренменно на клавишу Shift, и запрет авторан тоже снимается!
Paul
Последний раз редактировалось XP user; 23.02.2008 в 09:49.
Причина: P.S.
-
Применение secpol поможет, если стоит вызов программы прямо со сменного носителя.
Во всяком случае, прямой вызов E:\mycalc.exe прописанный во всех строчках autorun у меня не работает.
Вопрос: можно ли же сначала средствами ОС (cmd, xcopy) скопировать что-то во временную директорию жесткого диска, а потом запустить оттуда? Если да, то это путь обхода secpol.
-
-
Сообщение от
psw
Применение secpol поможет, если стоит вызов программы прямо со сменного носителя.
Во всяком случае, прямой вызов E:\mycalc.exe прописанный во всех строчках autorun у меня не работает.
Вопрос: можно ли же сначала средствами ОС (cmd, xcopy) скопировать что-то во временную директорию жесткого диска, а потом запустить оттуда? Если да, то это путь обхода secpol.
Боюсь, что да.
Обход кнопкой Shift тоже можно блокировать по моему через secpol. Точно не помню (у меня XP Home).
Всегда новые пути обхода политик secpol открываются. Я не стал бы пологаться на эти политики. Ещё раз упоминаю, что политики грузятся с опозданием. Если вы забыли снять устройство - поздно. Другое дело когда Windows уже загрузилась полностью - тогда есть вероятность, что политики действуют.
P.S.: Вариант с блокировкой доступа к MountPoints2 сам считаю наилучшим...
В связи с этим надо отметить, что и в MountPoints2 может быть предусмотрен Autorun для определённых ранее уже использованных устройств (тоже обход политик!). Следует чистить эти параметры до того, как блокировать доступ (просто удалить ключ целиком - создаётся чистый ключ при перезагрузке).
Paul
Последний раз редактировалось XP user; 23.02.2008 в 10:24.