Kell-e nekünk Autorun?

2009. január 23. 16:15 - Csizmazia Darab István [Rambo]

Már napok óta csak a mamára a Confickerre gondolok mindig, meg-megállva. Már a korábbi évek Sony rootkites botrányainál is látszott, hogy ez az Autorun akkor jó, ha már jól ki van kapcsolva, mondhatni "a halott Autorun a jó Autorun".

Nem igazán volt jellemző az utóbbi években, hogy a Sircam, LoveLetter, Blaster és hasonló világszerte nagymértékben elterjedt kártevő ennyire magára magára irányítsa a figyelmet, úgy tűnik, ez most mégis sikerül a Confickernek. Az utóbbi napok postjai nálunk is erről a témáról szóltak, és az események miatt az ESET is megjelent egy egyedi mentesítő segédprogrammal, amit ajánlunk jó szívvel.

Sokan az események értékelésekor úgy gondolják, nahát ez a csúnya Microsoft MS08-067 sebezhetőség, ez az oka mindennek. Pedig a valóság inkább közelebb van ahhoz, hogy az Autorun "feature" sokkal jobban rákfenéje a kialakult helyzetnek, mint az előbb emlegetett sérülékenység. Ha pedig komplexen vizsgáljuk a problémát, akkor több dolog is párhuzamosan okozója a mostani káosznak. A bekapcsolt Autorun mellett a frissítési hajlandóság és gyorsaság alacsony szintje, a fájlmegosztások elégtelen biztonsága, de persze a gyenge admin jelszavak is említhetők, és lehetne még hosszan sorolni. A nem megfelelően elvégzett vagy egyszerűen kihagyott IT jellegű feladatok aztán idővel szépen visszaütnek.

Kezeket a paplan fölé, éljenek a csajok, no meg a "védd az erdőt, egyél hódot" jegyében mindenki inkább kapcsolja ki az automatikus futtatást az USB-e eszközeinél - olvashatjuk a jótanácsokban. Aztán a végrehajtáskor derül csak ki, ez a leírás nem kapcsolja ki teljesen, mégsem tökéletes megoldás, további kézi berhelések kellenek a nyugalomhoz. Éppen emiatt adott ki a CERT egy a kártevő elleni védelemre kihegyezett összefoglalót, hogy a kialakult helyzetben ezzel is segítsen a felhasználóknak.

Nyilván belejátszik ebbe a tömeges fertőzésbe valamennyire az is, hogy míg egy autótulajdonosnak kell valamennyire érteni az autójához (nincs jogsi kötelezően fejbetöltött és levizsgázott ismeretek nélkül), ezért mondjuk nem rak kockacukrot vagy vizet a saját benzintankjába, ám egy számítógép felhasználó a legnagyobb nyugalommal ül oda a minimálisnál is kevesebb körültekintéssel, tudással, odafigyeléssel, pedig pár egyszerű alapszabályt muszáj lenne nekik is betartaniuk. Noha eleinte úgy tűnik, ez csak és kizárólag az ő érdeke lenne, azért messzebbről nézve összességében mégis mindannyiunké.

Továbbá reménykedjünk, hogy a következő Windows operációs rendszer esetleg már alapértelmezetten KIKAPCSOLT Autorunnal fog érkezni. Reménykedni szabad, azt a törvény nem bünteti ;-)

30 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr10897812

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Sákif za morro? 2009.01.23. 19:59:27

Ezt én sohase értettem, hogy a kibaszott vindóz miért akarja kitalálni hogy én mit akarok csinálni?! Miért nem dönthetem én el? Ill. miért kell először kikapcsolni azt amit ő szeretne, és utána az enyémet megcsinálni? Miért? Miért? Miért? :-S

Charlie Brown 2009.01.23. 20:22:21

Egy ideje én is tűzzel-vassal kapcsolom ki az autorunt, ahol érem.
Így viszont bizonyos másolásvédett dvd filmek nem hajlandók lejátszódni, lévén a titkosításukat az autorunnal a lemezről lefutó cucc kezeli le. Az meg valami rejtett cifraság, kézzel nem futtatható. Mindegy, aprócska áldozat a biztonság oltárán.

amondó (törölt) 2009.01.23. 20:24:49

Én jót derülök mindig, amikor autorun.inf-et találok egy usb-s meghajtón, ami az ugyanazon a meghajtón található E:\Recycle.bin\akármiservice.exe nevű rejtett rendszerfájlra mutat. Aztán szépen törlöm a fenébe, linuxszal persze.

Amikor egyszer az összes családi wines gépről kellett leirtani egy ilyet, akkor nem derültem annyira.

És ez nem a felhasználók hibája. Miért kéne a felhasználónak egy rejtett feature-ről tudnia, amire ráadásul nincs is szüksége? Ha a felhasználó elindítja a levélben kapott nudebritney.jpg.pif.exét, akkor ő a hibás, na de itt, honnan a retkesből tudja, hogy a fényképelőhívásnál a sd-kártyájára rákerült egy rejtett, törölhetetlen fájl, ami automatikusan terjed, amint berakja a gépébe, mert a windows olyan jófej, hogy lefuttatja kérés nélkül?

amondó (törölt) 2009.01.23. 20:26:24

@Charlie Brown:

És ha a filmet a boltba visszaviszed, és megmondod, hogy nem szabványos dvd, mert nem játszódik le a sima dvd-lejátszó programmal, te meg nem vagy hajlandó ismeretlen szoftvert telepíteni a gépedre?

Royaljerry · http://be.net/royaljerry 2009.01.23. 20:48:04

@Charlie Brown: parancssort (Command Line) elindítod a DVD-meghajtón, és beírod ugyanazt a sort, ami az autorun.inf filban található, kapcsolókkal együtt.

dark future · http://www.andocsek.hu 2009.01.23. 20:56:26

Egyetértek a posttal, az autorunt KI KELL KAPCSOLNI.

Pl. így: www.webdiag.hu/autorun_off.zip
(a csomagban egy registry-javító bejegyzés van, szimplán csak kattintani kell rá, garantáltan vírusmentes)

dark future · http://www.andocsek.hu 2009.01.23. 21:04:58

A pendrive-okat, SD-kártyákat meg tessék csekkolni (legegyszerűbb Total Commanderrel, ha be van kapcsolva a rejtett fájlok megjelenítése funkció). Ha találtok autorun.inf-et, az gáz, végig kell nézni az összes olyan gépet, amiben járt a kütyü.

Ha egyszer már felkerült a gépre a cucc, és akkor nem fogta meg a víruskereső, akkor már mindegy, leszedni általában úgysem tudja. Meg sajnos a user sem, kár is próbálkozni. A rendszervisszaállítás néha szokott segíteni, de csak ritkán, mert bootolás után a legtöbb vírus azonnal bekerül a memóriába, és nem nagyon hagyja magát kiirtani. Ha valaki vírustémadásra gyanakszik, legjobb, ha hozzáértő segítségét kéri. Általános receptek sajnos nincsenek, csak céleszközök (pl. CD-lemezes XP), meg sok-sok tapasztalat.

cuebler 2009.01.23. 21:08:42

nekem most valami resycled mappa jelent meg az összes meghajtómon... mondjuk tudom az okát, szántszándékkal mentem fel egy cracker honlapra...

aqswdefr 2009.01.23. 21:26:00

"(a csomagban egy registry-javító bejegyzés van, szimplán csak kattintani kell rá, garantáltan vírusmentes)"
Hahaha, becsszó? :)

Mob. 2009.01.23. 21:33:42

Namost én eztet úgy csináltam meg, hogy minden pendriveomon készítettem a gyökérben egy "autorun.inf" nevű könyvtárat, amit írásvédetté tettem. Most gyakorolhatnak a vírusok. Ha eltűnne a könyvtár csak észrevenném, akármilyen is a gép beállítása.
:-)

MP 2009.01.23. 21:34:39

Szerintem a helyzet nem ennyire egyértelmű. Egy átlag felhasználónak az autorun nagy segítség. Az más kérdés hogy ha egy gépszerelő elmegy hozzá s feltesz vírusirtót tűzfalat egyebet akkor azt nem kell letiltania vagy felülbírálnia. De egy ilyen helyzetben a felhasználót hibáztatni nem tisztességes. Az autós példánál maradva a vizsga után mindent el szoktak felejteni. Az átlag autós max azt tudja hogy milyen folyadékot hová kell tölteni.

Charlie Brown 2009.01.23. 21:52:08

amondó:

Akkor az eladó készségesen megmutatná a doboz hátulján a figyelmeztetést, hogy a lemez másolásvédett. Ha még mindig erősködnék, akkor visszavenné, nekem meg nem lenne filmem, az pedig nem jó, mert én csak olyan filmet veszek meg ami nélkül rosszul alszom. :)

Royaljerry:

Bizisten nem emlékszem, mert régen volt és hamar túlléptem a kérdésen, de a megoldás nem volt ilyen triviális. Ha jól emlékszem, a lemezt a gépbe rakva nem látszott semmilyen autorun.inf, sem a futtatandó kód. Nyilván ennek érdekében volt ott minden, második session, korrupt tartalomjegyzék, satöbbi. A dolog természete onnan volt látható, hogy az automatikus futtatás ki-be kapcsolásával ment illetve nem ment a lejátszás.
Ha eszembe jut, melyik film volt az, meg fogom nézni közelebbről.

Sákif za morro? 2009.01.23. 21:52:16

@-=Z=-: Az autorun.inf nem fájl véletlenül? Amúgy az ötlet nem rossz. :-) Én a munkahelyi számítógépes buziságok ellen csináltam ilyet. Egyedül az én gépemről lehet pronó oldalakat látogatni. :-)

dark future · http://www.andocsek.hu 2009.01.23. 21:55:21

@aqswdefr:
Nem :-) Sikerült 262 bájtban vírust írnom :-)

Gyulimali 2009.01.23. 22:10:13

@dark future: Biztos az csak a bootloader, és a 'zinternetről tölti le a vírustrójaiadvárét! :-)

amondó (törölt) 2009.01.23. 22:18:47

Az autorun egy elavult, nehézkes fájlrendszer terméke szerintem: az, hogy a felcsatolt meghajtó egy tetszőleges betűjelet kap, azt eredményezi, hogy az egyszerű felhasználó nem fog rájönni, hogyan kell a lemez tartalmához hozzáférni. Win 3.11 alatt még kézzel kellett beírni, hogy D:\install.exe (és nem is biztos, hogy D, lehet E, F... is!), win 95-től meg a sajátgépben kellett turkálni.

Erre, ahelyett, hogy valami tiszta, szép új megoldást találnának ki, belehekkelték a windowsba, hogy nosza indítsa el azt, amit az autorun.inf-ben talál. Az eredmény nyilvánvaló.

A normális megoldás az lett volna, ha a betett lemez/floppy/pendrive ikonja, neve feltűnően megjelenik berakáskor (pl az asztalon), és a felhasználó azt észrevéve, maga indítja el a rajta lévő fájlt. Így a kicsit is odafigyelő felhasználó láthatná, hogy EXÉ-t indít vagy JPG-et nyit meg.

Az OSX alatt már ősidők óta az asztalon jelenik meg a meghajtó ikonja, az újabb linuxokon is.

Ezek után mindenféle utólagos megoldás (autorun kikapcsolása, vírusellenőrzés) csak félmegoldás lehet. És utálom, hogy 1-2 nap szükséges ahhoz, hogy egy windows rendszert hülyebiztossá tudjak tenni.

Androsz · http://migransozo.blog.hu 2009.01.23. 22:25:12

Bocs, hogy elemi dologról kérdezek, de csak most jöttem rá, hogy én itt valamivel nem vagyok tisztában. Azért nem foglalkoztam sokat az autorunnal, mert egyrészt valamennyire ki van kapcsolva a gépemen, másrészt én baromira utálom, ha a rabszolgám izgágáskodik, ezért oda szoktam figyelni a gép manővereire. De mégis felmerült bennem a kérdés, hogy ha van is a lemezen autorun.inf, de a lemez behelyezésekor az az ablak jön elő, hogy mondjam meg szépen, mi a tervem a lemezzel a következők közül, akkor az autorun.inf még nem futott le, igaz? Annál is inkább hiszem ezt, mert én szépen megnézem, melyik exe van a fájlban indításra előjegyezve, és ha az tetszik nekem, akkor kézzel elindítom. Szóval, a jelek alapján, akkor most nálam ki van kapcsolva vagy nincs ez a hülyeség?

Charlie Brown 2009.01.23. 23:52:07

Androsz:

És hogy nézed meg az autorun.inf tartalmát? Ahhoz előbb meg kell nyitnod a meghajtót. Márpedig az autorun fő veszélye nem az, hogy bedugáskor rögtön lefut valami (alapértelmezés szerint az usb eszközökön hiába van ott, nem fut le automatikusan az autorun.inf tartalma, ellentétben az optikai lemezekkel!), hanem hogy az autorun.inf fájlban át lehet definiálni az történéseket (vagyis azokat a parancsokat, amik a jobbgombos context-menüben is olvashatók), valamint hogy mi legyen az alapértelmezett (a context menüben vastag betűvel szedett) parancs, ami duplakattintásra végrehajtódik. Tehát pl meg lehet adni, hogy a "Megnyitás" parancsra az történjen, hogy lefut egy rejtett exe, és csak azután nyissa meg a meghajtót az intézőben. Ilyenkor elég, ha a Sajátgépben duplakattintással próbálsz megnyitni egy usb meghajtót, vagy a csatlakoztatáskor felkínált menüből kiválasztod a "megnyitást", és már meg is vagy fertőzve. Nem fut le semmi automatikusan, te magad futtatod az exét, csak épp nem tudsz róla!

Ha a viszont a meghajtót a Sajátgép címsorának legördülő menüjével nyitod meg, akkor nem fut le az autorun.inf-ben definiált "megnyitás" szekvencia, tehát ha nincs írmagostul kiirtva az autorun a gépen, akkor javasolt ezt használni duplakattintás helyett. Másik lehetőség hogy minden usb meghajtót pl. Total Commanderben nyitsz meg, az sem futtatja az autorun tartalmát, ráadásul figyelmen kívül hagyja a Windows rejtett fájljait, akkor is mutatva azokat, ha az intézőben nem látni őket -sokszor épp mert a féreg letiltotta a láthatóságukat. A fertőzés egyik legbiztosabb jele, hogy az intézőben nem lehet látni a rejtett fájlokat, és hiába is próbálod bekapcsolni a láthatóságukat.

The Great Destroyer 2009.01.23. 23:56:46

Az a legnagyobb gáz, hogy az autorunt nem lehet kikapcsolni...
Az autorun ugyanis az automount része.
Amikor berakunk egy cd-t, vagy bedugunk egy pendriveot, akkor a felcsatolással együtt(amikor megjelenik a sajátgépben a meghajtó, vagy a lemez) lefut az autorun, nem lehet őket szétválasztani, amikor letiltod az autorun "szolgáltatást", akkor csak azt tiltod meg, hogy az autorun.inf fileban megadott opciók szerint csináljon valamit a meghajtón lévő fileokkal.
Ha tényleg ki akarod kapcsolni, akkor azt csak a biztonsági házirend módosításával tudod megtenni, de akkor viszont muszáj lesz a helyi lemezkezelésből le/fel csatolgatni a meghajtókat(pendrive, cd, stb...).
Ebben az egészben az a mókás, hogy kb egy éve néhány ismerősömmel (hardcore kockák) azon röhögtünk, hogy a windows összes biztonsági résének 99%-a az úgymond kényelmi szolgáltatásokat érinti, mostanra kiderült, hogy tényleg így van.

Charlie Brown 2009.01.24. 00:11:05

atka:

"amikor letiltod az autorun szolgáltatást, akkor csak azt tiltod meg, hogy az autorun.inf fileban megadott opciók szerint csináljon valamit a meghajtón lévő fileokkal"

Pont ez a cél, nem? Hogy ne hajtsa végre az autorun.inf tartalmát, sem csatoláskor automatikusan, se máshogy. Így viszont nem értem, mit értesz "lefutó autorun" alatt, ha nem az inf-ben definiált dolgok futtatását?
Nálam kis lett kapcsolva az autorun a policiy editorban, ott vigyoroghat a görénység az usb meghajtón, nem fut le, és mégsem kell kézzel föl-le csatolnom a meghajtókat. Akkor most hogy is van ez?

The Great Destroyer 2009.01.24. 00:27:37

Ok, akkor érthetőbben.
Az autorun tulajdonképpen egy alkalmazás, ami minden esetben lefut, ha a windóz magától felcsatol egy eszközt a filerendszerbe, az autorun.inf tartalma minden esetben értelmezésre kerül, ezután a benne hivatkozott programok a megadott paraméterekkel elő lesznek készítve az indításra.
Hiába nem indul el egy adott alkalmazás, attól még bekerül minden hozzátartozó szutyokkal együtt a virtuális memóriába.
Mivel a M$ nem vitte túlzásba a biztonság kérdését '94ben(főleg, mivel még csak nem is sejthették a pendrájv korszakot, amikor mindenki mindenféle vackot beledugdos mindenféle lyukba), amikor fejlesztették az NT kernelt(ez van moszt a zikszpé és a viszta alatt is, csak picit felpiszkálva) és azóta sem sikerült elfogadható szintre csökkenteni a kockázatot.
Az autorun csak az automounttal együtt irtható le teljesen, mivel egy és ugyanaz a rendszerszolgáltatás mind a kettő, attól, hogy egy elb...ott cuccnak letiltod egy fícsörjét, attól még ugyanolyan elb...ott cucc marad ugyanolyan biztonsági résekkel.

VaZso 2009.01.24. 00:31:19

Soha nem értettem, hogy miért hiányzik az összes újabb pendriveról az "írásvédő kapcsoló".

Többek között éppen a vírusok miatt, ugyanis többször van szükségem turkálni egyes gépek rendszerén, ahol így nagyon sokminden megtörténhet... :(

Ugyan van a driveon live Linux, de azért mégsem ugyanarra találták ki mint egy nyamvadt írásvédő kapcsolót.

Az egyik leglényegesebb és biztonsági megfontolásból legfontosabb dolgot hagyják ki... és senkinek fel sem tűnik.

V.A.Lacky 2009.01.24. 00:59:17

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun

illetve a

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun

értékek legyenek mind 255 (FF).

Ha nincsenek ilyenek, akkor létre kell hozni (duplaszó, azaz DWORD). Ezzel minden autorun le lesz tiltva. Persze én kötelezném a Microsoftot, hogy ezekkel az értékekkel szállítsa a rendszert, és én majd visszaállítom, ha akarom.

Itt egyébként az érték minden bitje egy meghajtót jelent sorrendben, és amelyik 0, ott lehet Autorun-t végrehajtani. Mert bár az autorun.inf írásvédett könyvtár létrehozása is teljesen hatékony, de azt minden esetleges új meghajtóra fel kéne tenni.

Miután ezeket az értékeket beállítottam, simán töröltem az összes autorun file-t. Addig hiába próbáltam, mindig visszajött.

Charlie Brown 2009.01.24. 03:14:33

atka:

Hol lehet az automount és az autorun elválaszthatatlan egységéről bővebben olvasni? Kicsit túrtam már a Guglit meg a Technetet, de eddig nem találtam erről semmi releváns infót sehol.

espadazo - Játékbolt: · http://aruhaz.nettfilm.hu 2009.01.24. 09:11:06

Én feltettem egy víruskeresőt, ami minden ilyen lehetőségnél megkérdi, hogy engedem-é, avagy sem. Én meg nem engedem.

Androsz · http://migransozo.blog.hu 2009.01.24. 15:58:41

@Charlie Brown: Azt valóban kihagytam, hogy én gyakorlatilag kivétel nélkül mindig Total Commanderben kezelem a háttértárakat, ami ezek szerint kisebb kockázatot jelent. Viszont a sajátgépes tanácsot köszönöm, még nagyon hasznos lehet.