Már napok óta csak a mamára a Confickerre gondolok mindig, meg-megállva. Már a korábbi évek Sony rootkites botrányainál is látszott, hogy ez az Autorun akkor jó, ha már jól ki van kapcsolva, mondhatni "a halott Autorun a jó Autorun".
Nem igazán volt jellemző az utóbbi években, hogy a Sircam, LoveLetter, Blaster és hasonló világszerte nagymértékben elterjedt kártevő ennyire magára magára irányítsa a figyelmet, úgy tűnik, ez most mégis sikerül a Confickernek. Az utóbbi napok postjai nálunk is erről a témáról szóltak, és az események miatt az ESET is megjelent egy egyedi mentesítő segédprogrammal, amit ajánlunk jó szívvel.
Sokan az események értékelésekor úgy gondolják, nahát ez a csúnya Microsoft MS08-067 sebezhetőség, ez az oka mindennek. Pedig a valóság inkább közelebb van ahhoz, hogy az Autorun "feature" sokkal jobban rákfenéje a kialakult helyzetnek, mint az előbb emlegetett sérülékenység. Ha pedig komplexen vizsgáljuk a problémát, akkor több dolog is párhuzamosan okozója a mostani káosznak. A bekapcsolt Autorun mellett a frissítési hajlandóság és gyorsaság alacsony szintje, a fájlmegosztások elégtelen biztonsága, de persze a gyenge admin jelszavak is említhetők, és lehetne még hosszan sorolni. A nem megfelelően elvégzett vagy egyszerűen kihagyott IT jellegű feladatok aztán idővel szépen visszaütnek.
Kezeket a paplan fölé, éljenek a csajok, no meg a "védd az erdőt, egyél hódot" jegyében mindenki inkább kapcsolja ki az automatikus futtatást az USB-e eszközeinél - olvashatjuk a jótanácsokban. Aztán a végrehajtáskor derül csak ki, ez a leírás nem kapcsolja ki teljesen, mégsem tökéletes megoldás, további kézi berhelések kellenek a nyugalomhoz. Éppen emiatt adott ki a CERT egy a kártevő elleni védelemre kihegyezett összefoglalót, hogy a kialakult helyzetben ezzel is segítsen a felhasználóknak.
Nyilván belejátszik ebbe a tömeges fertőzésbe valamennyire az is, hogy míg egy autótulajdonosnak kell valamennyire érteni az autójához (nincs jogsi kötelezően fejbetöltött és levizsgázott ismeretek nélkül), ezért mondjuk nem rak kockacukrot vagy vizet a saját benzintankjába, ám egy számítógép felhasználó a legnagyobb nyugalommal ül oda a minimálisnál is kevesebb körültekintéssel, tudással, odafigyeléssel, pedig pár egyszerű alapszabályt muszáj lenne nekik is betartaniuk. Noha eleinte úgy tűnik, ez csak és kizárólag az ő érdeke lenne, azért messzebbről nézve összességében mégis mindannyiunké.
Továbbá reménykedjünk, hogy a következő Windows operációs rendszer esetleg már alapértelmezetten KIKAPCSOLT Autorunnal fog érkezni. Reménykedni szabad, azt a törvény nem bünteti ;-)
Sákif za morro? 2009.01.23. 19:59:27
Charlie Brown 2009.01.23. 20:22:21
Így viszont bizonyos másolásvédett dvd filmek nem hajlandók lejátszódni, lévén a titkosításukat az autorunnal a lemezről lefutó cucc kezeli le. Az meg valami rejtett cifraság, kézzel nem futtatható. Mindegy, aprócska áldozat a biztonság oltárán.
amondó (törölt) 2009.01.23. 20:24:49
Amikor egyszer az összes családi wines gépről kellett leirtani egy ilyet, akkor nem derültem annyira.
És ez nem a felhasználók hibája. Miért kéne a felhasználónak egy rejtett feature-ről tudnia, amire ráadásul nincs is szüksége? Ha a felhasználó elindítja a levélben kapott nudebritney.jpg.pif.exét, akkor ő a hibás, na de itt, honnan a retkesből tudja, hogy a fényképelőhívásnál a sd-kártyájára rákerült egy rejtett, törölhetetlen fájl, ami automatikusan terjed, amint berakja a gépébe, mert a windows olyan jófej, hogy lefuttatja kérés nélkül?
amondó (törölt) 2009.01.23. 20:26:24
És ha a filmet a boltba visszaviszed, és megmondod, hogy nem szabványos dvd, mert nem játszódik le a sima dvd-lejátszó programmal, te meg nem vagy hajlandó ismeretlen szoftvert telepíteni a gépedre?
Royaljerry · http://be.net/royaljerry 2009.01.23. 20:48:04
dark future · http://www.andocsek.hu 2009.01.23. 20:56:26
Pl. így: www.webdiag.hu/autorun_off.zip
(a csomagban egy registry-javító bejegyzés van, szimplán csak kattintani kell rá, garantáltan vírusmentes)
dark future · http://www.andocsek.hu 2009.01.23. 21:04:58
Ha egyszer már felkerült a gépre a cucc, és akkor nem fogta meg a víruskereső, akkor már mindegy, leszedni általában úgysem tudja. Meg sajnos a user sem, kár is próbálkozni. A rendszervisszaállítás néha szokott segíteni, de csak ritkán, mert bootolás után a legtöbb vírus azonnal bekerül a memóriába, és nem nagyon hagyja magát kiirtani. Ha valaki vírustémadásra gyanakszik, legjobb, ha hozzáértő segítségét kéri. Általános receptek sajnos nincsenek, csak céleszközök (pl. CD-lemezes XP), meg sok-sok tapasztalat.
cuebler 2009.01.23. 21:08:42
aqswdefr 2009.01.23. 21:26:00
Hahaha, becsszó? :)
Mob. 2009.01.23. 21:33:42
:-)
MP 2009.01.23. 21:34:39
Sákif za morro? 2009.01.23. 21:50:47
Charlie Brown 2009.01.23. 21:52:08
Akkor az eladó készségesen megmutatná a doboz hátulján a figyelmeztetést, hogy a lemez másolásvédett. Ha még mindig erősködnék, akkor visszavenné, nekem meg nem lenne filmem, az pedig nem jó, mert én csak olyan filmet veszek meg ami nélkül rosszul alszom. :)
Royaljerry:
Bizisten nem emlékszem, mert régen volt és hamar túlléptem a kérdésen, de a megoldás nem volt ilyen triviális. Ha jól emlékszem, a lemezt a gépbe rakva nem látszott semmilyen autorun.inf, sem a futtatandó kód. Nyilván ennek érdekében volt ott minden, második session, korrupt tartalomjegyzék, satöbbi. A dolog természete onnan volt látható, hogy az automatikus futtatás ki-be kapcsolásával ment illetve nem ment a lejátszás.
Ha eszembe jut, melyik film volt az, meg fogom nézni közelebbről.
Sákif za morro? 2009.01.23. 21:52:16
dark future · http://www.andocsek.hu 2009.01.23. 21:55:21
Nem :-) Sikerült 262 bájtban vírust írnom :-)
Gyulimali 2009.01.23. 22:10:13
amondó (törölt) 2009.01.23. 22:18:47
Erre, ahelyett, hogy valami tiszta, szép új megoldást találnának ki, belehekkelték a windowsba, hogy nosza indítsa el azt, amit az autorun.inf-ben talál. Az eredmény nyilvánvaló.
A normális megoldás az lett volna, ha a betett lemez/floppy/pendrive ikonja, neve feltűnően megjelenik berakáskor (pl az asztalon), és a felhasználó azt észrevéve, maga indítja el a rajta lévő fájlt. Így a kicsit is odafigyelő felhasználó láthatná, hogy EXÉ-t indít vagy JPG-et nyit meg.
Az OSX alatt már ősidők óta az asztalon jelenik meg a meghajtó ikonja, az újabb linuxokon is.
Ezek után mindenféle utólagos megoldás (autorun kikapcsolása, vírusellenőrzés) csak félmegoldás lehet. És utálom, hogy 1-2 nap szükséges ahhoz, hogy egy windows rendszert hülyebiztossá tudjak tenni.
Androsz · http://wikipedia.blog.hu/ 2009.01.23. 22:25:12
Charlie Brown 2009.01.23. 23:52:07
És hogy nézed meg az autorun.inf tartalmát? Ahhoz előbb meg kell nyitnod a meghajtót. Márpedig az autorun fő veszélye nem az, hogy bedugáskor rögtön lefut valami (alapértelmezés szerint az usb eszközökön hiába van ott, nem fut le automatikusan az autorun.inf tartalma, ellentétben az optikai lemezekkel!), hanem hogy az autorun.inf fájlban át lehet definiálni az történéseket (vagyis azokat a parancsokat, amik a jobbgombos context-menüben is olvashatók), valamint hogy mi legyen az alapértelmezett (a context menüben vastag betűvel szedett) parancs, ami duplakattintásra végrehajtódik. Tehát pl meg lehet adni, hogy a "Megnyitás" parancsra az történjen, hogy lefut egy rejtett exe, és csak azután nyissa meg a meghajtót az intézőben. Ilyenkor elég, ha a Sajátgépben duplakattintással próbálsz megnyitni egy usb meghajtót, vagy a csatlakoztatáskor felkínált menüből kiválasztod a "megnyitást", és már meg is vagy fertőzve. Nem fut le semmi automatikusan, te magad futtatod az exét, csak épp nem tudsz róla!
Ha a viszont a meghajtót a Sajátgép címsorának legördülő menüjével nyitod meg, akkor nem fut le az autorun.inf-ben definiált "megnyitás" szekvencia, tehát ha nincs írmagostul kiirtva az autorun a gépen, akkor javasolt ezt használni duplakattintás helyett. Másik lehetőség hogy minden usb meghajtót pl. Total Commanderben nyitsz meg, az sem futtatja az autorun tartalmát, ráadásul figyelmen kívül hagyja a Windows rejtett fájljait, akkor is mutatva azokat, ha az intézőben nem látni őket -sokszor épp mert a féreg letiltotta a láthatóságukat. A fertőzés egyik legbiztosabb jele, hogy az intézőben nem lehet látni a rejtett fájlokat, és hiába is próbálod bekapcsolni a láthatóságukat.
The Great Destroyer 2009.01.23. 23:56:46
Az autorun ugyanis az automount része.
Amikor berakunk egy cd-t, vagy bedugunk egy pendriveot, akkor a felcsatolással együtt(amikor megjelenik a sajátgépben a meghajtó, vagy a lemez) lefut az autorun, nem lehet őket szétválasztani, amikor letiltod az autorun "szolgáltatást", akkor csak azt tiltod meg, hogy az autorun.inf fileban megadott opciók szerint csináljon valamit a meghajtón lévő fileokkal.
Ha tényleg ki akarod kapcsolni, akkor azt csak a biztonsági házirend módosításával tudod megtenni, de akkor viszont muszáj lesz a helyi lemezkezelésből le/fel csatolgatni a meghajtókat(pendrive, cd, stb...).
Ebben az egészben az a mókás, hogy kb egy éve néhány ismerősömmel (hardcore kockák) azon röhögtünk, hogy a windows összes biztonsági résének 99%-a az úgymond kényelmi szolgáltatásokat érinti, mostanra kiderült, hogy tényleg így van.
Charlie Brown 2009.01.24. 00:11:05
"amikor letiltod az autorun szolgáltatást, akkor csak azt tiltod meg, hogy az autorun.inf fileban megadott opciók szerint csináljon valamit a meghajtón lévő fileokkal"
Pont ez a cél, nem? Hogy ne hajtsa végre az autorun.inf tartalmát, sem csatoláskor automatikusan, se máshogy. Így viszont nem értem, mit értesz "lefutó autorun" alatt, ha nem az inf-ben definiált dolgok futtatását?
Nálam kis lett kapcsolva az autorun a policiy editorban, ott vigyoroghat a görénység az usb meghajtón, nem fut le, és mégsem kell kézzel föl-le csatolnom a meghajtókat. Akkor most hogy is van ez?
The Great Destroyer 2009.01.24. 00:27:37
Az autorun tulajdonképpen egy alkalmazás, ami minden esetben lefut, ha a windóz magától felcsatol egy eszközt a filerendszerbe, az autorun.inf tartalma minden esetben értelmezésre kerül, ezután a benne hivatkozott programok a megadott paraméterekkel elő lesznek készítve az indításra.
Hiába nem indul el egy adott alkalmazás, attól még bekerül minden hozzátartozó szutyokkal együtt a virtuális memóriába.
Mivel a M$ nem vitte túlzásba a biztonság kérdését '94ben(főleg, mivel még csak nem is sejthették a pendrájv korszakot, amikor mindenki mindenféle vackot beledugdos mindenféle lyukba), amikor fejlesztették az NT kernelt(ez van moszt a zikszpé és a viszta alatt is, csak picit felpiszkálva) és azóta sem sikerült elfogadható szintre csökkenteni a kockázatot.
Az autorun csak az automounttal együtt irtható le teljesen, mivel egy és ugyanaz a rendszerszolgáltatás mind a kettő, attól, hogy egy elb...ott cuccnak letiltod egy fícsörjét, attól még ugyanolyan elb...ott cucc marad ugyanolyan biztonsági résekkel.
VaZso 2009.01.24. 00:31:19
Többek között éppen a vírusok miatt, ugyanis többször van szükségem turkálni egyes gépek rendszerén, ahol így nagyon sokminden megtörténhet... :(
Ugyan van a driveon live Linux, de azért mégsem ugyanarra találták ki mint egy nyamvadt írásvédő kapcsolót.
Az egyik leglényegesebb és biztonsági megfontolásból legfontosabb dolgot hagyják ki... és senkinek fel sem tűnik.
V.A.Lacky 2009.01.24. 00:59:17
illetve a
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
értékek legyenek mind 255 (FF).
Ha nincsenek ilyenek, akkor létre kell hozni (duplaszó, azaz DWORD). Ezzel minden autorun le lesz tiltva. Persze én kötelezném a Microsoftot, hogy ezekkel az értékekkel szállítsa a rendszert, és én majd visszaállítom, ha akarom.
Itt egyébként az érték minden bitje egy meghajtót jelent sorrendben, és amelyik 0, ott lehet Autorun-t végrehajtani. Mert bár az autorun.inf írásvédett könyvtár létrehozása is teljesen hatékony, de azt minden esetleges új meghajtóra fel kéne tenni.
Miután ezeket az értékeket beállítottam, simán töröltem az összes autorun file-t. Addig hiába próbáltam, mindig visszajött.
verghaust (törölt) 2009.01.24. 01:20:25
Charlie Brown 2009.01.24. 03:14:33
Hol lehet az automount és az autorun elválaszthatatlan egységéről bővebben olvasni? Kicsit túrtam már a Guglit meg a Technetet, de eddig nem találtam erről semmi releváns infót sehol.
espadazo - Játékbolt: · http://aruhaz.nettfilm.hu 2009.01.24. 09:11:06
Androsz · http://wikipedia.blog.hu/ 2009.01.24. 15:58:41
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.02.02. 13:46:54
www.hwsw.hu/hirek/37984/microsoft_windows_7_biztonsag_user_account_control_jogosultsag.html
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.04.30. 15:32:05
index.hu/tech/szoftver/2009/04/30/korlatozza_az_automatikus_futtatast_a_windows_7/