A tökéletes katona

2008. szeptember 10. 15:01 - Csizmazia Darab István [Rambo]

Marx szerint a mennyiség egy idő után minőségbe csap át, ennek szellemében úgy érezzük, a világszerte használt egyre több USB kulcs, iPod és egyéb MP3 lejátszó, hordozható háttértároló van veszélyben az emberek kezében. Számuk elérte, sőt az utóbbi években meg is haladta azt a kritikus elterjedtségi szintet, hogy már megéri férgeket, kártevőket, kémprogramokat fejleszteni rájuk.

A cégeknél sokszor van konkrét szabályzat arra, ki és hogyan használhatja a fénymásolót, hogyan nyomtathat, milyen hálózati meghajtókhoz férhet hozzá, stb. Azonban azt már  kevésbbé hatékonyan (vagy sehogyan sem) szabályozzák, hogy a kisméretű, hordozható eszközöket, kamerás telefonokat, fényképezőgépeket, memória kártyákat, stb.  a munkahelyen ki és hogyan használhatja, ez pedig egyre inkább veszélyes lehet: a számítógép alapból kezeli ezeket vagy azonnal USB tárolóként; vagy más eszközként, de legtöbbször adattárolóként is. A kényelmes autoplay funkció elindítja, lefuttatja az autorun.inf állományban meghatározott kódokat legyen az bármi, és a használt antivírus alkalmazás esetleg nem érzékeli (a nem megfelelő beállítások miatt, vagy pedig vadonatúj kártevő esetén). És itt nem is tértünk most ki az adatvédelmi, adatszivárgási aspektusra.

Még az olyan ártatlannak látszó dolog is bajt okozhat, ha nem is másolunk fájlokat, csupán a mobil eszköz akkumlátorát töltjük fel a számítógép USB csatlakozójáról. Az autorun vak, nem válogat, nem kérdez, nem gondolkodik, igazi tökéletes katona: csak végrehajt és mindenre képes. Randy Abrams egyenesen örültségnek nevezte ezt a featuret, hasonlatában úgy festi le, hogy a Windows felhasználók egy olyan hoki meccs részesei, ahol eltörölték a támadó és védelmi vonalakat, mi vagyunk a kapusok, csak éppen a Microsoft elvette tőlünk az összes maszkot, kesztűt, és egyéb védelmi felszerelést, pluszban extra korongokat tett a jégre, és azt susogja az ellenfél játékosainak fülébe, hogy csak hajrá fiúk, szórakozzatok jól :-)

Persze sokszor és sok helyen tanácsolják az automatikus lejátszás kikapcsolását - ehhez mi is csatlakoztunk - de a kommentek is arról tanúskodtak, hogy ez nem mindig olyan egyszerű feladat. A kézi módszerek mellett egyszerűen lehet az effajta beállításokat ellenőrizni, változtatni, finomhangolni például a TweakUI ingyenes segédprogrammal.

Nemrég olyan fertőzött MP3 állományokról ejtettünk szót, ahol a fertőzött zeneállomány - amely valójában WMA szerkezetű volt, csak a kiterjesztése volt álcázva és egy exploitot tartalmazott - képes volt a lejátszás indításakor megfertőzni a számítógépet, és ezzel újabb, káros kódok automatikus letöltése indult el. Nemrég kezdődött egy új jelenség, ahol pedig valódi MP3 állományok sérültek meg érthetetlen módon, hogy utána már csak zajosan és sisteregve lehetett lejátszani, az állományok vizsgálata gőzerővel folyik. Úgy tűnik, az Autorun probléma mellett hamarosan ez is egy erőteljes új irány lehet, ezért ha már Marxszal kezdtünk, akkor egy módosult Leninnel fejezzük be: a biztonsági programok használatán és az autorun kikapcsolásán felül az adatainkat időszakosan és rendszeresen CD/DVD lemezre menteni, menteni, menteni...

11 komment
Címkék: mobil mp3 usb fertőzés eszköz automatikus mentés autorun

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

whiteCat 2008.09.10. 20:40:22

Hát én nem USB-n keresztül hanem a töltővel töltöm fel a telefonom. USB-n keresztül a Win azonnal két cserélhető meghajtóként ismeri fel. Ergo reális lehet a veszély
Válasz erre 

Hurrá Torpedó · http://www.youtube.com/watch?v=br-D7UneS0E 2008.09.10. 20:55:21

nálunk a cégnél csak két ember gépén van engedélyezve az usb. az egyik én vagyok, a másik a fejlesztők főnöke.

ha valakinek alami kínja van kettőnkhöz fordul - pl fényképek feltöltése szerverre, stb.

egyrészt így védekezünk az infóból nem profi felhasználók USB kulcsaitól (ami otthon simán kaphat vírust), másrészt így fontos adatok kiszivárogtatásáak lehetőségét is csökkentjük. (lennének amúgy olyan buzgó emberek akik vinnének haza munkát, félig-teljesen kész műszaki dokumentációkat, stb, ami egy fertőzött otthoni gépről kijuthatna)

ha kell van céges Pendrive, azt lehet csak használni. lehet hogy kicsit túlságosan is paranoásak vagyunk bennt a cégnél, de az ördög sohasem alszik...
Válasz erre 

Higany 2008.09.10. 21:32:08

Úgy emlékszem ezt nem Marx, hanem valamelyik ókori görög filozófus mondta.
Válasz erre 

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.10. 22:29:56

Helló whiteCat és Hurrá Torpedó!

Amiket én láttam saját és cimborák munkahelyein, az kb. a szóban és írásban szabályozott volt, de hát a gyakorlatban mindenki azt csinált, amit akart. Azt másolt le, azt vitt haza, stb. Persze jobb helyeken van profilfigyelő, ami kb annyit tesz, hogy ha valaki a szokásos viselkedéstől eltérően szokatlan és a munkaköréhez nem tartozó hálózati meghajtókon próbálkozik, korábbi szokásától eltérően nagy mennyiségű adatot tölt le, másol át, stb. akkor megy a jelzést titokban a főnöknek, rendszergizdának, és számonkérhető az emberke. Sőt olyan is van - igaz ez már más téma - ami adott kulcszsavakra keres a dolgozó emailjeiben, és nem engedi elküldeni, ha vélémezhető. hogy bizalmas anyagot akar házon kívülre küldeni.

Szóval elvileg sok helyen szabályoznak sok mindent, közben gyakorlatilag meg szabad a pálya.
Válasz erre 

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.10. 22:32:43

Szia Higany!
Jogos a két pont, bár Marx is írt (plagizélt ;-) ilyet, de Hegel is, és nem kizárt, hogy ő meg az ókoriaktól koppintotta :-)
Válasz erre 

The Great Destroyer 2008.09.10. 23:33:10

A szopódás ezzel az egésszel az, hogy a windóznál az autorun egy subprocess, ami az automount része, viszont az automount teszi lehetővé azt, hogy amikor beteszel egy cd-t, vagy bedugsz egy pendrive-ot, akkor annak a filerendszerét tudd olvasni. Sajnos az ikszpében már nem tudsz manuálisan befűzni fizikai meghajtókat a fillerendszerbe, illetve az automountot is csak a registryből tudod kiírtani. Az automatikus lejátszás letiltásával sajnos csak a vírusok egy részét lehet kiszűrni, mivel az csak az autorun.inf-ben meghívott alkalmazások futását tiltja le, de ettől függetlenül maga az autoplay ugyanúgy lefut, tehát, ha a fertőzött script az autorunban van, akkor azt értelmezi is...
Válasz erre 

FPéter 2008.09.11. 00:13:41

a legjobb ilyesmi amit mostanában láttam, az egy Sandisk (?) USB kulcs volt, ami hardverből hazudott maga mellé egy CD-ROM-ot, amit se letörölni, se autorun-t letiltani nem tudtál. Amint betetted, már tolta is a reklám szemetet. Előtte meg csodálkozott a fószer, hogy miért ilyen olcsó... nagy nehezen aztán meglett a levakaró progi, de nem volt egyszerű meccs... ja, linuxnak is hazudta a CD-t, igaz az autorun ott nem ment, viszont hiába formáztuk bármi alatt, mivel hardverből nyomta nem lehetett spéci cucc nélkül leszedni.
Válasz erre 

dark future · http://www.andocsek.hu 2008.09.11. 02:19:50

Hölgyek, urak,

még csak TweakUI sem kell, itt egy "célfegyver":
www.netdiag.hu/autorun_off.zip

Használat: linkre katt, megnyitás, autorun_off.reg-re katt, igen, ok.
5 sec az egész, és máris nem nyílnak meg a ronda dögök maguktól.

Ja, és a fájl garantáltan vírusmentes :-)

Válasz erre 

Gery Greyhound // · http://www.bestofgyurcsany.hu 2008.09.11. 07:36:58

Valakinek mond valamit a Hakaglan.G nevezetű féreg? Nálunk a melóhelyen szépen végigfutott szinte minden gépen, ha bedugsz egy pendrive-ot a fertőzött gépbe, akkor az azon levő minden folderben létrehoz egy [mappaneve].exe fájlt, sárga mappa-ikonnal (gondolom, ha be van kapcsolva az "ismert típusú fájlok kiterjesztésének elrejtése" opció, akkor mappának látszik teljesen) és ha ezt elindítja a gyanútlan júzer, meg is van a baj.

Ráadásul van egy olyan kedves mellékhatása a vírusnak, hogy a fertőzés eltávolítása után is (nod32) a CTRL+ALT+DEL billentyűk lenyomására vagy a regedit futtatásakor "A feladatkezelőt/regisztrációs adatbázis szerkesztőt letiltotta a rendszergazda" hibaüzenet ad. Aranyos.
Válasz erre 

virkid 2008.09.11. 08:33:29

Érdekes a bejegyzés, de azért én hozzá tennék egy pár megjegyzést.
- Csak azért nem szokták az USB-s kütyüket berakni a gépekbe, hogy villogjanak vele. A Rambo is megjegyezte, hogy jelentősen elterjedt, így már nem státusszimbólum, hanem igen is munkaeszköz. Őszintén ki nem volt már úgy, hogy hazavittem a munkát, ha csak egy doksi, is volt.
- Egy vírusirtó programnak kutya kötelessége megfogni a terjedését, mint ahogy a NOD32 is teszi, és teszi más komoly vírusirtó program is. Kötelező megfognia a káros folyamat indulásakor, és a fájlt is kötelező letörölni, persze ha jól van beállítva.
- Azt nem tartom informatikusnak, aki nem tudja kikapcsolni, valamilyen eljárással az automatikus indulást. Attól, hogy valaki informatikus, nem kötelező jól programozni is, de ez fordítva is igaz. Én mondjuk a policy szerkesztésével szoktam kikapcsolni.
- A fertőzött média fájlok esetén pedig én is egy klasszikust fogok idézni. Kodály Zoltán: „Csak tiszta forrásból”. Abból, hogy mi a tiszta forrás, azt mindenki döntse el maga! :-)
Válasz erre 

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.11. 15:12:00

Szia Gery!
Itt a féreg leírása, ebben benne vannak a Registry kulcsok is:
www.eset.hu/virus/hakaglan-g
Gyógyításhoz itt van egy lehetséges segédeszköz:
Tweaknow PowerPack
www.tweaknow.com/products.html
De a supportos srácok már várják a jelentkezésedet és részletesen segítenek, ehhez írj a support KUKAC sicontact PONT hu címre.
Válasz erre 
süti beállítások módosítása