Odpovědět na komentář

V ostatnom čase sa značne rozšíril škodlivý software označovaný ako INF/Autorun. V správe Eset-u o globálnych hrozbách za mesiac jún figuruje na treťom mieste. INF/Autorun je súhrnné označenie pre rodinu trójskych koní, ktoré na svoje šírenie zneužívajú funkciu automatického spustenia (autorun) vymeniteľných diskov (napr. USB kľúčov).
Informácie o automaticky spúšťaných programoch sú uložené v súbore autorun.inf v koreňovej zložke vymeniteľného disku. Trójsky kôň v napadnutom počítači na každý pripojený vymeniteľný disk uloží svoju kópiu a upravený súbor autorun.inf, ktorý zabezpečí, že škodlivý kód sa aktivuje aj na ďalšom počítači prostredníctvom automatického spustenia. Na tomto počítači si trójsky kôň zabezpečí spúšťanie po štarte systému a rovnakým spôsobom infikuje všetky pripojené USB kľúče. Pokiaľ sa do cesty nepostaví antivírus alebo skúsený používateľ, bludný kruh sa tým uzatvára. V nasledujúcom návode si ukážeme, čo môžeme urobiť, aby sme ho preťali.

Ochrana počítača

Prvým krokom je znemožniť aktiváciu škodlivého kódu, t. z. vypnúť automatické spúšťanie vymeniteľných diskov, pričom chceme zachovať automatické spúšťanie CD/DVD diskov. Najjednoduchšie je dočasné vypnutie podržaním klávesy Shift po pripojení vymeniteľného disku. V prípade, že požadujeme trvalé vypnutie, dosiahneme ho spustením nesledujúceho príkazu:

reg add HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer /v
NoDriveTypeAutoRun /t REG_DWORD /d 149 /f



Ak chcete vrátiť nastavenia do pôvodného stavu, aplikujte tento príkaz:

reg delete HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer /v
NoDriveTypeAutoRun /f



Zmeny sa prejavia po reštarte. Automatické spustenie bude však stále fungovať po dvojkliku na ikonu disku v Prieskumníkovi. Preto pri neoverených USB kľúčoch radšej použite kontextovú voľbu Preskúmať (Explore).

Ochrana USB kľúčov

Druhým krokom preventívnych opatrení je zabezpečiť, aby sa škodlivý kód neskopíroval na USB kľúč a nemohol sa takto šíriť do ostatných počítačov. Trójsky kôň INF/Autorun na USB kľúči vždy vytvorí súbor autorun.inf a samotné telo uloží väčšinou do skrytej zložky Recycler, na pevných diskoch uchovávajúcej obsah koša. Na USB kľúči však nemá čo hľadať, preto vytvoríme zložku, resp. súbor s rovnakými názvami skôr, ako to urobí trójsky kôň.

Na USB kľúči vytvorte zložku autorun.inf a súbor bez prípony recycler. Na vytvorenie súboru bez prípony je potrebné mať zapnuté zobrazovanie prípon súborov. Trójsky kôň nebude môcť vytvoriť súbor autorun.inf, keďže v koreňovej zložke už bude zložka s rovnakým názvom. Väčšina trójskych koní však túto situáciu nemá ošetrenú, preto sa bude neúspešne snažiť prepísať obsah zložky. Podobne nebude môcť vytvoriť zložku Recycler, takže na USB kľúč sa nedostane žiadny škodlivý kód. Jedinou nevýhodou tohto riešenia je nemožnosť automaticky spúšťať zavádzače prenosných aplikácií (napr. U3 Launchpad).

Odkazy:

Autorun from floppy drives