Nośniki USB - zapobieganie zagrożeniom

CERT.GOV.PL
Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/110,Nosniki-USB-zapobieganie-zagrozeniom.html
Wygenerowano: Czwartek, 2 marca 2017, 18:01
Nośniki USB - zapobieganie zagrożeniom
Zespół CERT.GOV.PL zaobserwował wzrost aktywności szkodliwego oprogramowania wyspecjalizowanego w
rozprzestrzenianiu się za pomocą wymiennych nośników pamięci (pendrive'y, karty pamięci, zewnętrzne dyski twarde).
Dotyczy to szczególności przenośnych pamięci typu flash USB, które są najpopularniejszym medium przenoszenia danych Do
infekcji dochodzi podczas podłączania dysku do komputera, poprzez wykorzystanie pliku autorun.inf. AutoRun jest funkcją
systemów Windows umożliwiającą automatyczne uruchomienie programu znajdującego się na nośniku. Plik tekstowy
autorun.inf umieszczany jest w głównym katalogu pamięci.
Jak dochodzi do infekcji?
Zainfekowana pamięć po podpięciu do komputera, natychmiast infekuje dyski twarde. Szkodliwy kod jest automatycznie
uruchomiany i kopiuje pliki z pamięci na dysk twardy, dociągając również inne trojany. Tworzy podobne pliki autorun.inf dla
wszystkich dysków twardych i pamięci podłączonych do zakażonego komputera, co powoduje automatyczną reinfekcję w
chwili otwierania dysku.
Uwaga: nie wszystkie pliki autorun.inf są szkodliwe. Wiele programów w C:\Program files takie posiada, płyty CD z grami czy
instalatorami programów, sterowników również.
Jakie zagrożenia niesie za sobą zainfekowany komputer?
Komputer zostaje zainfekowany złośliwym oprogramowaniem mającym na celu kradzież poufnych informacji z komputera
(hasła, klucze itd.) Ofiary najczęściej nie zdają sobie sprawy ze ich komputery zostały zainfekowane.
Jak zapobiec zainfekowaniu?
1.
2.
3.
4.
Zainstalować program antywirusowy z aktualnymi sygnaturami wirusów
Nie podłączać pamięci USB nieznanego pochodzenia
Wyłączyć funkcje autorun dla wymiennych nośników danych
Poinformować innych użytkowników sieci o zagrożeniach wynikających z podłączania pamięci USB
Jak wyłączyć funkcję autorun?
Zalecanym przez Microsoft sposobem wyłączenia funkcji jest zmiana wartości kluczy o nazwie Autorun i NoDriveTypeAutorun
w rejestrze systemowym. Niestety, postępując zgodnie z instrukcjami producenta nie da się całkowicie zablokować
automatycznego podejmowania działań. Usterka sprawia, że po wykryciu nośnika przez system użytkownikowi prezentowane
są w odpowiednim oknie dialogowym możliwe opcje wyboru – na przykład otwarcie folderu czy uruchomienie instalatora.
Wtedy może pojawić się problem, kiedy - na przykład popularny ostatnio robak Conficker - wykorzysta słaby punkt
mechanizmu Autorun.
Dla systemów Vista i Server 2008 należy skorzystać z ustawień kluczy rejestru wyłączających autouruchamianie, należy
zainstalować aktualizację 950582 (biuletyn zabezpieczeń MS08-038). Dla pozostałych systemów należy zastosować
polecenia wskazane poniżej.
I. Wyłączenie funkcji autorun w gpedit.msc
●
Dla Windows 2000 / XP Pro / 2003:
Start >> Uruchom >> gpedit.msc
Konfiguracja komputera >> Szablony administracyjne >> System
Wybierając opcję Wyłącz funkcję Autoodtwarzanie >> Włączone a z rozwijalnej listy wybrać opcję dla wszystkich dysków.
●
Dla Windows XP Home:
Niestety XP Home nie posiada edytora gpedit.msc. Odpowiednikiem tej akcji jest edycja rejestru. Należy stworzyć gotowy
plik do zaimportowania, który wyłącza Autoodtwarzanie dla wszystkich dysków. W tym celu należy stworzyć plik w edytorze
tekstowym o treści:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoDriveTypeAutoRun”=dword:0x000000FF
Zapisać plik jako FIX.REG. Uruchomić plik i zrestartować komputer.
II. Zmodyfikowanie wartości NoDriveTypeAutoRun
Aby wyłączyć wybrane funkcje autouruchamiania, należy zmodyfikować wartość NoDriveTypeAutoRun w następującym
podkluczu rejestru:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Wartość NoDriveTypeAutoRun należy ustawić na 0xFF co spowoduje wyłączenie autoodtwarzania na wszystkich typach
dysków.
III. Wyłączenie funkcji autorun.inf w rejestrze
Należy stworzyć plik w edytorze tekstowym o treści:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Zapisać plik jako regauto.reg. Uruchomić plik i zrestartować komputer.
Wpis w rejestrze powinien wyglądać następująco:
Ze względu na buforowanie informacji podłączonych wcześniej dysków, należy wykasować dla każdego użytkownika klucze
w rejestrze przy wpisie MountPoints2:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Zespół CERT.GOV.PL zaleca:
●
●
●
Zainstalowanie oprogramowania antywirusowego i aktualizowanie na bieżąco sygnatur wirusów
Nie podłączanie dysku USB do komputera niewiadomego pochodzenia
Wyłączenie funkcji autoodtwarzania dla nośników wymiennych.
Wiecej informacji:
http://support.microsoft.com/kb/953252
http://support.microsoft.com/kb/967715
http://www.us-cert.gov/cas/techalerts/TA09-020A.html
http://www.cert.org/blogs/vuls/2008/04/the_dangers_of_windows_autorun.html
http://www.publicsafety.gc.ca/prg/em/ccirc/2008/tr08-004-eng.aspx
http://www.microsoft.com/technet/security/Bulletin/MS08-038.mspx
http://www.heise-online.co.uk/security/Microsoft-s-instructions-for-disabling-AutoRun-don-t-work--/news/112469
autorun, Conficker, USB, Windows, trojan, biuletyn
RG
Ocena: 3.7/5 (9)