luni, 29 aprilie 2013

Protejează-ţi memoriile USB de atacurile prin autorun.inf

Prezenţa unui fişier autorun.inf pe un stick USB
indică o infecţie cu viruşi în 90% din cazuri
Odată cu Windows '95 Microsoft introduce o funcţionalitate care ani mai târziu avea să devină cea mai mare bombă de insecuritate din sistemul de operare Windows: AutoPlay. Această funcţionalitate a fost introdusă, conform Wikipedia, pentru a veni în ajutorul utilizatorilor neiniţiaţi care apelau prea des la serviciile de asistenţă telefonică când introduceau CD-ul în unitatea optică şi... nu se întâmpla nimic.

Există mai multe probleme de securitate legate de acest autorun.inf, fişierul descriptiv care indică sistemului de operare ce să facă când mediul de date (CD, memorie USB, etc.) e montat în sistem. Lucrurile merg atât de departe încât autorun.inf poate conţine nu doar un program care să fie executat automat la montarea mediului de stocare, ci indicaţii despre modificarea meniului contextual sau manipularea regiştrilor (nu pot să îmi imaginez ce-a fost în mintea celor ce au implementat astfel de funcţionalităţi în Windows). Partea proastă e că simpla dezactivare a AutoPlay-ului, cel ce face posibilă pornirea automată a unei aplicaţii la introducerea unui CD sau stick USB în unitate, nu te apără de necazuri: sistemul de operare execută întru totul ce scrie în acel fişier, mai puţin partea cu execuţia unui program (există un patch de securitate pentru asta, citiţi mai jos). Sper că nu aţi uitat deja că mai sus scriam de manipularea regiştrilor...

Există un truc ingenios aflat de la un user de pe Mobilewave.ro, modoran, care vă va proteja memoriile USB de a fi infectate prin acest mod atunci când le introduceţi într-un sistem infectat. Veţi avea nevoie, însă, de un sistem Linux pentru că pe Windows nu veţi putea executa al doilea pas.


1. Într-un sistem Linux, introduceţi memoria USB şi montaţi-o. Ştergeţi, dacă există, autorun.inf (deşi în acest caz ar fi indicat să ştergeţi cam tot ce e pe stick, deoarece e semn că acesta a fost infectat). Apoi creeaţi un director (folder) cu numele de autorun.inf.
2. În acest director (folder) creeaţi un fişier cu numele CON. CON este un nume rezervat în Windows şi MS-DOS, iar în mod normal un fişier nu poate purta această denumire. Dar noi suntem în Linux unde CON nu înseamnă nimic special aşa că putem să-l creăm liniştit. De ce facem acest pas? Atunci când vom introduce stick-ul într-un PC infectat virusul va încerca să şteargă autorun.inf şi să-l înlocuiască cu al său. Acum trebuie explicat că un director (folder) nu poate fi şters fără ca în prealabil să i se şteargă conţinutui, iar pentru că în cazul nostru autorun.inf e un director (folder) virusul ori va cauza o excepţie, ori va încerca să şteargă conţinutul său mai întâi pentru ca apoi să îl poată înlocui cu un autorun.inf infectat. Acum... multă baftă cu ştergerea CON-ului din autorun.inf!
Mare atenţie că reformatând stick-ul această protecţie este eliminată făcând din nou stick-ul vulnerabil la infectarea cu viruşi. Apoi acest truc nu vă protejează de fişierele infectate de pe memoria USB şi pe care le executaţi manual, ci doar previne ca virusul să se propage automat în sistem doar prin introducerea memoriei USB în unitate.

Ca final cel mai important e să vă protejaţi pe voi înşivă aşa că folosiţi un prezervativ dezactivaţi cu totul parsarea şi execuţia fişierelor autorun.inf.



1 comentarii :

Anonim spunea...

Multumim pentru trick.