Що таке autorun-черви і з чим їх треба їсти - установка, настройка, оптимізація, відновлення

Останнім часом все більшої популярності набувають шкідливі програми, в складі яких є функціонал хробака, який використовується для поширення шкідливий через знімні носії (н-р, флеш-брелоки). У цій статті ми поговоримо про цього різновиду зловреда і способах боротьби з ним.

Особливістю даних черв'яків є можливість поширюватися через змінні носії з використанням скриптів автозапуску autorun.inf. На поточний момент Лабораторія Касперського детектирует до 100 нових модифікацій Autorun-черв'яків для ОС Windows щодня. Динаміка обробки нових версій черв'яків з сімейства Worm.Win32.Autorun (класифікація ЛК) представлена ​​на графіку:

На щастя, існує можливість убезпечити свій комп'ютер від вторгнення цілої армії Autorun-черв'яків. Робота цих шкідників можлива лише в тому випадку, якщо в настройках локальної політики безпеки дозволений автозапуск зі змінних носіїв.

Файли сценаріїв знаходяться в кореневих директоріях знімних дисків, саме їх відкриває Windows при підключенні нового носія. Для зниження ймовірності виявлення, файлу "Autorun.inf" і каталогу, в якому розміщується файл шкідливої ​​програми, присвоюються атрибути "Прихований" і / або "Системний". Також каталогам і файлам можуть присвоюватися імена, що імітують системні папки ОС:

Cодержімое знімного диска з причаївся на ньому черв'яком може виглядати наступним чином:

Структура скрипта автозапуску «autorun.inf» дозволяє використовувати їх для поширення шкідливого коду в силу таких особливостей:

Цих недоробок досить для поширення шкідливого коду шляхом передачі його в параметри запуску як аргументи до якогось інтерпретатора. Відомо, що серед стандартно присутніх в Windows (без виклику DOS-підсистеми, яка часто блокується захисним ПЗ або користувачем за непотрібністю) відповідним для такої мети є лише командний інтерпретатор сmd.exe.

Таким чином, можливості впровадження вірусного коду за допомогою сценарію автозапуску безпосередньо залежать від можливостей командного процесора Windows, особливо важливими з яких є:

• командний інтерпретатор Windows здатний приймати ключ включення розширеної обробки команд, який перекриває встановлені в реєстрі параметри доступу до неї;
• в командному рядку можна вказувати конкатенацію команд;
• команди можна групувати, розставляючи пріоритет всіх операцій необхідним чином;
• існують команди режиму розширеної обробки, встановлюють відповідності між розширеннями, іменованими типами файлів і запускаються програмами;
• інтерпретатор дозволяє запускати програми або пакетні файли без прив'язки до вікна запускає командного сценарію.

Ми до сих пір ще не торкнулися можливість поширення хробаків з використанням таких знімних носіях, як СD і DVD накопичувачі. Однак і це можливо за допомогою вбудованої в Windows XP і вище програми для запису CD. Ця можливість пов'язана з тим, що тимчасова папка, в яку поміщаються файли для запису, фіксована.

Методи боротьби з подібними погрозами і їх недоліки:

1. Відключення автозапуску зі знімних носіїв. Не завжди прийнятно для звичайного користувача, оскільки помітно знижує зручність використання оболонки Windows.
2. Відключення пакетної обробки команд. Чи не є універсальним рішенням, тому що існує можливість створення вдосконаленого шкідливого сценарію, що не використовує проміжні пакетні файли як такі і має в своєму розпорядженні основне навантаження або в своєму тілі з безпосереднім запуском, або в реєстрі в параметрах перехоплення управління від оболонки.
3. Заборона призначеного для користувача доступу до командного інтерпретатора в цілому. Досить ефективне рішення в разі відсутності необхідності використання командного інтерпретатора на кінцевій системі, хоча і не підходить як масове. Однак при використанні зовнішніх файлів сценаріїв або системних утиліт на зразок reg (недоступна в Windows XP Home Edition) або cacls всі ці обмеження можуть бути зняті безпосередньо з autorun.inf без виклику командного процесора.
4. Відмова від використання вбудованих засобів перенесення файлів на знімні носії. Часто, але не завжди прийнятно для кінцевого користувача.
5. Налаштування групової політики для вирішення підключення знімних носіїв з унікальними ідентифікаторами пристрою, що входять до списку дозволених в рамках даної політики (тільки для Windows Vista і вище).

У Windows XP Home оснащення управління груповими політиками відсутній, проте той же ефект може бути досягнутий річний правкою реєстру:

1. Пуск - Виконати - введення 'regedit' - OK.
2. Відкрити HKLMSOFTWAREMicrоsoftWindowsCurrentVersionPolicies.
3. Створити новий розділ
4. Перейменувати створений розділ в Explorer
5. У цьому розділі створити ключ NoDriveTypeAutoRun.

Допустимі значення ключа:

0x1 - відключити автозапуск на приводах невідомих типів
0x4 - відключити автозапуск зйомних пристроїв
0x8 - відключити автозапуск несьемних пристроїв
0x10 - відключити автозапуск мережевих дисків
0x20 - відключити автозапуск CD-приводів
0x40 - відключити автозапуск RAM-дисків
0x80 - відключити автозапуск на приводах невідомих типів
0xFF - відключити автозапуск взагалі всіх дисків.

Значення можуть комбінуватися підсумовуванням їх числових значень. Ще одним (зручнішим) варіантом відключення автозапуску є створення текстового файлу з розширенням «* .reg» з наступним змістом і внесенням до реєстру інформації, яка в ньому міститься:

Windows Registry Editor Version 5.00

Також необхідно врахувати той факт, що в разі, якщо знімний пристрій вже підключався до системи при включеному автозапуску, то його ідентифікатор був доданий в ключ реєстру:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerMountPoints2]
І при наступному автозапуску, незважаючи на відключений автозапуск, даний пристрій буде запущено, як і раніше

Для того щоб цього не сталося необхідно видалити вказаний вище ключ для профілів всіх користувачів. При наступному старті системи ключ буде створено заново, але вже не буде містити колишньої інформації автозапуску.