Ochrona przez niekasowalne foldery/pliki "autorun.inf"

Narzędzia tworzą na dysku ukryty folder autorun.inf, który uniemożliwia szkodliwym plikom autorun.inf zapisać się bezpośrednio w root dysku - infekcja nie może tam umieścić swojego autorun.inf - (domyślnie w Windows plik mający taką samą nazwę jak katalog próbuje się automatycznie zapisywać w katalogu o tej samej nazwie a nie obok, a pliki autorun.inf działają tylko w root dysku). Folder zawiera element z zastrzeżoną nazwą, którego nie można normalnie usunąć, ale bez przeszkód można zmienić jego nazwę, przez co łatwo można pozbawić się ochrony. Można temu zapobiec (ale tylko na dyskach NTFS) odbierając folderowi uprawnienia dla wszystkich kont: PPM na folderze --> Właściwości --> karta Zabezpieczenia > usuń dostęp wszystkich kont (wtedy ten folder zacznie się pojawiać w logu z GMER jako "ukryty" = bo żadne konto nie ma uprawnień). Po pozbawieniu się wszelkich uprawnień nikt nie jest w stanie nic zrobić z tym folderem, w przeciwnym wypadku musiałby rekonfigurować cały zestaw uprawnień.
Więcej o nazwach zastrzeżonych - czytaj.

Aby ręcznie stworzyć taki folder możemy wykorzystać plik wsadowy BAT, uruchamiając go w root każdego dysku (tekst wklejamy do notatnika i zapisujemy jako plik.bat; nazwę con możemy zastąpić inną z nazw zastrzeżonych)

USBFix
download: najnowsza wersja

aplikacja umożliwia usuwanie infekcji przenoszonych drogą przez urządzenia przenośne typu USB, a także zabezpieczenie dysków przenośnych i twardych przez utworzenie ukrytych niekasowalnych folderów o nazwie autorun.inf z plikiem z wadą nazwy (działa identycznie jak Flash Disinfector).



Zabezpieczenie dysków
Wybieramy opcję Vaccinate. Pojawią się komunikaty potwierdzające wykonanie zadania dla każdego dysku: Vaccination done! (C:\Autorun.inf). Zostaną utworzone ochronne foldery:



Uwaga: osobiście miałem problem z utworzeniem takich folderów, ponieważ aplikacja się wyłączała nic nie tworząc. Rozwiązaniem może być standardowe utworzenie folderów autorun.inf poprzez explorer, a następnie uruchomienie opcji Vaccinate, która doda nieusuwalny element do folderu.

Research - funkcja wyszukuje infekcje i generuje log, bez usuwania.

Deletion - dezynfekcja systemu z rozpoznawanych infekcji. Po uruchomieniu aplikacja zakończy powłokę Explorer i utworzy kopię rejestru w Erunt (C:\UsbFix\Backup). Po zakończeniu zostaną otwarte dwa okna: log w Notatniku i strona z możliwością wysłania usuniętych elementów do autora - paczka C:\UsbFix_Upload_Me_Nazwa-komputera.zip. (elementy są poddawane kwarantannie w C:\UsbFix\Quarantine).

Listing - funkcja generuje pełną listę obiektów znajdujących się w root każdego dysku. Po zakończeniu log otworzy się w notatniku.

Uninstall - odinstalowanie aplikacji = opróżnianie katalogu narzędzia na partycji systemowej. Na koniec usuwamy sam katalog C:\UsbFix.

Options - Disable Autorun/AutoPlay automatically (automatyczna deaktywacja funkcji Autoodtwarzania nośników) oraz Include a listing at the end of the cleaning (dołączenie do raportu wytworzonego z dezynfekcji również raportu opcji Listing).

Szerszy opis i inne zastosowania opisane są na stronie www.fixitpc.pl.



Flash Disinfector download: najnowsza wersja, Flash_Disinfector.exe
aplikacja tworzy na każdym dysku niekasowalny ukryty folder autorun.inf z plikiem z wadą nazwy. Likwiduje również wąską grupę infekcji, wyłącza również Autoplay dla wszystkich dysków.



Autorun Protector
Moduł Device Protection tworzy niekasowalny folder autorun.inf dla systemu plików FAT/NTFS. Aplikacja umożliwia usuwanie takich folderów.

Panda USB Vaccine download: USBVaccineSetup_1.0.1.4.exe, Panda_USB_Vaccine_1.0.1.4_Portable.rar

Moduł USB Vaccination tworzy niekasowalny plik autorun.inf na dyskach przenośnych USB (nie obsługuje twardych) sformatowanych w FAT / FAT32 / NTFS zapobiegając jego odczytowi, modyfikacji, kasacji oraz generowaniu nowego. Aplikacja ma inną metodę tworzenia obiektów:
- na FAT: plik jest widoczny, ale nie da się usunąć
- na NTFS: na dysku nie widać pliku autorun.inf, ale nie można go na nim utworzyć (błąd "taka nazwa już istnieje")
Jest to najskuteczniejsze zabezpieczenie dla USB.

Usuwanie utworzonych folderów:

MKV download: najnowsza wersja
aplikacja umożliwia tworzenie ochronnych folderów (sekcja Vacciner) a także ich usuwanie (sekcja Supprimer la vaccination). Usuwa foldery tworzone przez USBFix, Flash Disinfector, Autorun Protector, nie działa na zabezpieczenia Panda USB Vaccine.



Innymi sposobami są:
- użycie Linuxa,
- użycie aplikacji DirectoryFixer
Po skasowaniu tego pliku folder autorun.inf zostaje odblokowany i można usunąć go ręcznie.
- kasacja z wiersza poleceń zastrzeżone nazwy plików
W celu usunięcia w wiersz poleceń wklejamy:
RD /S /Q \\?\C:\autorun.inf

Ochrona przez wyłączenie odczytu plików autorun.inf

Autouruchamianie "Autorun" - możliwość automatycznego wykonywania programu z dysków, potrzebne są tutaj pliki autorun.inf, w których zapisane jest jaki program ma się uruchomić.

Metoda ta jest bardzo skuteczna ( system nie rozumie, co to jest plik autorun.inf więc nie może ich wykonać), ale nie uruchomią się żadne pliki autorun.inf, np. na płytkach gier czy oprogramowania. Pamięci typu U3 przestaną działać (ich LaunchPad wymaga używania autorun.inf). Jeśli któraś z tych okoliczności występuje, lepszą alternatywą jest Ochrona przez niekasowale foldery/pliki "autorun.inf".

Autorun Protector
download: Autorun Protector_1.1.exe (nie wymaga instalacji)

Sekcja PC Protection - definitywne wyłączenie funkcji Autorun w Windows poprzez metodę klucza IniFileMapping (wyłączenie odczytu plików autorun.inf przez system).



To samo robi Panda USB Vaccine w sekcji Computer Vaccination.

Można również zrobić to ręcznie importując pliki .reg. Wklejamy do notatnika tekst,
Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG Wprowadź wartość do rejestru poprzez dwuklik. W obu przypadkach - po wykonaniu restart komputera.

Wyłączenie funkcji Autorun

Włączenie funkcji Autorun

Dodatkowe sposoby

Etapy zabezpieczania:
Najpierw zabezpieczamy system - skan antywirusem, następnie ochrona przez jedną z wymienionych metod. Następnie podpinamy pendrivy, skanujemy antywirusem (wersja skrócona np.: Dr. Web CureIt), a na koniec go zabezpieczamy.

1. Wyłączenie funkcji Autoodtwarzania "Autoplay"

Autoodtwarzanie "Autoplay" - to pojawiające się okienko akcji AutoPlay próbujące zdefiniować typ dysku i przypisać mu domyślne akcje; funkcja bierze pod uwagę zawartość dysku (np. muzyka, video, obrazy) i wyświetla stosowne okienko z wyborem akcji; pojawia się nawet na pustych nośnikach, nie są potrzebna pliki autorun.inf.

Podsumowując - autorun reaguje wg tego co jest zapisane w pliku autorun.inf, zaś autoplay reaguje na zawartość dysku (muzyka, zdjęcia itd)

Zdezaktywowane = znika pojawianie się tego okienka akcji AutoPlay.
Teoretycznie wyłącza Autouruchamianie (AutoRun). Ale w praktyce tylko ogranicza się do wyłączania "pod-zespołu" Autoplay akcji (dyski nie startują). Mimo wyłączenia tego system i tak wyszukuje i potrafi uruchomić pliki autorun.inf
ComboFix i FlashDisinfector samoczynnie przestawiają to ustawienie wprowadzając blokady.


2. usunięcie mapowania z klucza MountPoints2

Można calkowicie usunąć ten klucz, po resecie komputera klucz się samoczynnie zrekonstruuje. Automatycznie można to zrobić w Autorun Protector funkcja "Clear MountPoints2 Registry".

USB-set
download: najnowsza wersja, mirror (wymaga zainstalowania)

kompleksowa aplikacja, która umożliwia skonfigurowanie systemu, aby ograniczyć rozpowszechnianie infekcji z dysków przenośnych. Program nie ma funkcji dezynfekcyjnych, stosuje się go prewencyjnie.
Aplikacja wymaga zainstalowania. Jeżeli mamy kłopot z deinstalacja starszej wersji można użyć deinstalatora.

Aplikacja pozwala dostosować funkcje Autorun i Autoplay, usunąć ślady pozostawione przez stare nośniki wymienne, nałożyć ochronę na dyski w postaci folderów Autorun.inf, zablokować instalację nowych urządzeń USB...

Zakładka Global State
Wyświetla zestawienie aktualnie funkcjonujących ustawień systemu, które może modyfikować:
- status rezydenta zabezpieczającego nowo podpinane dyski
- status zabezpieczenia każdego wykrytego dysku
- konfigurację Autorun / Autoplay
Zielone ustawienia są optymalne, czerwone stanowią ryzyko dla bezpieczeństwa komputera. (jednak u mnie aplikacja nie potrafi rozpoznać folderów autorun.inf na dyskach (czerwony kolor), choć w istocie one tam się znajdują).



Zakładka Autorun Settings
Umożliwia konfigurację funkcji Autorun / Autoplay.
Klucz NoDriveTypeAutoRun kontroluje autoplay dla typów dysków np. można włączyć funkcję na dyskach CD i wyłączyć dla wszystkich innych rodzajów dysków. W sposób można zminimalizować ryzyko i jednocześnie zachować automatyczne uruchamianie dla napędu CD / DVD.
Klucz NoDriveAutoRun kontroluje z kolei autoplay dla liter dysków np. można włączyć funkcję na dysku D i wyłączyć dla wszystkich innych liter dysków

Zaznacz pola wyboru różnych rodzajów napędów w celu umożliwienia im funkcji autoplay, odznacz je aby wyłączyć. Każdą zmianę zatwierdzamy przyciskiem Save Changes. Nastąpi restart Explorera w celu aktywacji zmian (ponowne uruchomienie systemu Windows nie jest konieczne).

Inhibit Autorun - opcja wyłączająca odczyt / rozpoznawanie plików autorun.inf odpowiedzialnych za infekcje.
HonorAutorunSetting - tej opcji nie modyfikujemy.



Zakładka Cleaning traces
Mountpoints with potentially infected command - opcja usunięcie mapowania z klucza MountPoints2. Wyczyszczenie kluczy MountPoints2 jest ważnym krokiem, jeśli wcześniej podłączany był zakażony dysk. Windows będzie próbował użyć tych zapisów i uruchomić polecenia w pliku autorun.inf przy ponownym podłączeniu urządzenia. Spowoduje to ponowną infekcję. Można calkowicie usunąć ten klucz, po resecie komputera klucz się samoczynnie zrekonstruuje.

Traces of previous connected removable drives - czyszczenie śladów starych urządzeń. Usuwane są ustawienia instalacji danego urządzenia z rejestru, tak, że przy kolejnym podłączeniu wymagana jest ponowna instalacja.

Enable/Disable recognition for new USB drives - wykrywanie nowych urządzeń. Opcja pozwala zablokować instalację nowych urządzeń USB - system je może zobaczyć, lecz nie może instalować. Funkcja przydatna, gdy chcemy korzystać tylko z określonych urządzeń. Najpierw usuwamy stare urządzenia >>> podłączamy urządzenia z których będziemy korzystać >>> wyłączamy instalacje nowych.



Zakładka Vaccination
Automatic vaccination - automatyczne zabezpieczenia. Moduł można uruchomić natychmiast lub podczas startu systemu. Kontroluje stan zabezpieczenia (obecność folderu autorun.inf) każdego wykrytego dysku, zabezpieczając nie chronione oraz wszystkie nowo podłączane. Działa w formie rezydenta, zajmuje bardzo mało zasobów. Zaznaczając Silent vaccination każde nowe urządzenie zostanie zabezpieczone po cichu, żadnych komunikatów.

Manual vaccination - ręczne zabezpieczanie. Zabezpieczanie odbywa się ręcznie. Jest także opcja usuwania ochronnych folderów.

Drives excluded from vaccination - napędy wyłączone z ochrony (nie będą tworzone na nich ochronne foldery autorun.inf).

No Autorun
download: najnowsza wersja (nie wymaga instalacji)

aplikacja monitoruje każdy podłączany dysk USB i blokuje znajdujące się na nim plik autorun.inf wraz z zapisanymi w nim plikami wykonywalnymi. Po wykryciu pliku autorun.inf wyświetlane jest okienko z wyborem akcji. Do czasu podjęcia stosownej akcji pliki nie mogą się wykonać i nie zaszkodzą systemowi, nie można także ich usuwać z poziomu Explorera. Aby usunąć wszystkie pliki wybieramy Delete Autorun Files / Delete All. Pojedyncze pliki kasujemy Delete. Przyciskiem Unlock zdejmujemy blokadę z plików i mamy do nich dostęp. Quarantine - kwarantanna.

Opcja "USB disk soft write protect" pozwala na zablokowanie zapisu na każdym nowo podłączanym dysku USB, który będzie tylko do odczytu. Jest to przydatne, gdy komputer jest już zakażony, ale nie chcesz rozprzestrzeniać wirusa.



Wybierając Config mamy dostęp do konfiguracji:

auto start with system - automatyczny start z systemem
disable autorun - opcja wyłącza funkcje autoodtwarzania Autoplay

when a usb disk is inserted, safely open the disk folder - opcja pozwala na bezpieczne otwarcie folderu dysku USB po określonym czasie w sekundach

lock autorun.inf file when it contains more than 4 lines. ( prevent potential parsing error.) - blokada pliku autorun.inf, jeśli zawiera więcej niż 4 linie. (zapobiega potencjalnym błędom parsowania)

USB WriteProtector
download: najnowsza wersja, Portable_USB_WriteProtector_1.1.0.0.rar

aplikacja blokuje możliwość zapisu oraz kasowania danych na urządzeniach podłączonych do portu USB (możliwe jest tylko kopiowanie i odtwarzanie plików). Aplikację najlepiej uruchomić prosto z dysku USB, wówczas nie potrzeba restartować komputer. Po uruchomieniu zaznaczamy opcję Ochrona zapisu USB włączona. Aby ochrona została uaktywniona musimy odłączyć i ponownie podłączyć urządzenie. Aby umożliwić zapis zaznaczamy Ochrona zapisu USB wyłączona.

Infekcje wykorzystujące lukę w przetwarzaniu plików .lnk (skrótów)

Nowy rodzaj infekcji wykorzystuje błąd w przetwarzaniu plików .lnk (skróty), a nie jak większość tego typu szkodników korzystających z możliwości pliku autorun.inf . Dziura istnieje w bibliotece shell32.dll, w kodzie odpowiedzialnym za wyświetlanie ikon skrótów (plików LNK). Otóż dla pliku LNK można wskazać plik z ikonką, takim plikiem może być biblioteka DLL lub inny program. Mamy wówczas sytuację, że już same wyświetlenie skrótu, na przykład do panelu sterowania, może automatycznie uruchamiać dowolny program na prawach użytkownika. Jeśli użytkownik ma prawa administratora możliwe jest zainstalowanie w systemie rootkita.

Aby zostać zainfekowanym, wystarczy podłączyć tylko zainfekowany dysk przenośny jeśli autoodtwarzanie jest włączone lub wyświetlić zawartość dysku USB za pomocą dowolnego programu, który automatcznie pokazuje ikonki plików (np. Total Commander czy Windows Explorer), jeśli autoodtwarzanie jest wyłączone.

Objawy:
foldery na dysku zostają ukryte poprzez nałożenie atrybutów ukryty + systemowy, a w zamian pojawiają się skróty o nazwach katalogów, lecz nie prowadzące do nich, tylko do infekujących plików (PPM >>> właściwości >>> element docelowy).



Zapobieganie:
instalacja łaty eliminującej lukę w przetwarzaniu skrótów: KB2286198
Biuletyn zabezpieczeń firmy Microsoft MS10-046 – krytyczny

Leczenie:
jeżeli nie zainstalowaliśmy łaty i zostaniemy zainfekowani musimy wykonać kolejne działania:

1. instalacja łaty - bez łaty leczenie może być nieskuteczne
2. usunięcie infekujących plików oraz plików .lnk (skrótów) jak przy normalnej infekcji
3. zdjęcie atrybutów ukryty + systemowy z katalogów, aby foldery stały się widoczne