Najpopularniejsze
    Czy jest sposób na wyzerowanie Windowsa

    Jak sformatować/przywrócić Windows 10?

    Nowy konkurs AVG - weź udział teraz

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    Nowy konkurs AVG

    Pomóż nam wybrać koszulkę dla Trybu i zgarnij NOWE gadżety AVG!

    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    • Strona główna
    • Tu zacznij
    • Porady
      • Dla domu
      • Dla firmy
      • Dla szkoły
      • Android
      • Windows
      • Przydatne programy
        • Komputer
        • Mobilne
    • Ciekawostki
    • AVG
      • Strona AVG w Polsce
      • AVG krok po kroku
      • Blog AVG
      • Informacje prasowe
      • Napisali o AVG
      • Promocje
      • Programy
        • Dla domu
        • Dla małej firmy
        • Dla biznesu
      • Forum
    • AVAST
    • Kontakt i współpraca
    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    Strona główna»Porady dla domu»Pendrive’y znów zagrożone
    Porady dla domu

    Pendrive’y znów zagrożone

    3 komentarzePrzeczytasz w 3 minuty

    Chyba już wszyscy wiedzą, że pendrive’y i podobne media przenośne zajmują niechlubne miejsce w czołówce sposobów na zainfekowanie komputera.

    Najczęściej zalecaną metodą na – choćby podstawowe – zabezpieczenie się przed atakami Worm/Autorun pochodzącymi z nośników wymiennych to wyłączenie autostartu urządzeń USB w systemie Windows. Do piątku 16 lipca metoda ta świetnie się sprawdzała i dawała poczucie wystarczającego bezpieczeństwa. Niestety, z przykrością muszę odebrać Wam tę resztkę optymizmu. Wyłączenie autostartu już nie wystarczy.

    Jak donosi Hynek Blinka na blogu naszego VirusLabu, namierzona została infekcja, która z nośnika wymiennego potrafi zainfekować komputer z wyłączoną w systemie Windows funkcją autostartu.

    Atak wykorzystuje pliki dostępne już od zarania dziejów (tzn. od powstania Windowsów) – skróty z rozszerzeniem *.lnk.

    Jak  to działa? Wykorzystywany jest dowolny menedżer plików wyświetlający ikony – np. Windows Explorer, Total Commander i im podobne.  Dwa pliki, które trafiły do analizy w laboratorium, to fałszywe sterowniki. Pierwsza poważna sprawa to fakt, że jeden z nich miał poprawny podpis cyfrowy informujący, że wydawcą jest Realtek Semiconductor Corp.

    Jak łatwo się domyślić – taki podpis wprowadza w błąd zdecydowaną większość programów antywirusowych, bo plik podpisany poprawnym, ważnym certyfikatem uważany jest za zdrowy. Certyfikat wykorzystany do infekcji został już deaktywowany i walidacja jego ważności kończy się aktualnie niepowodzeniem.

    Wracamy do sposobu infekcji. Wspomniałem o wykorzystaniu formatu skrótu systemu Windows. Po raz pierwszy plik *.lnk został wykorzystany jako sposób na wprowadzenie rootkita!

    Poniższy zrzut ekranu to przykładowy zestaw plików ukrytych na nośniku:

    Pliki te są niewidoczne dla użytkownika z domyślnie skonfigurowanymi opcjami folderów (czyli z zaznaczonym polem Nie pokazuj plików ukrytych lub systemowych).

    Infekcja następuje w chwili podłączenia pendrive’a zainfekowanego takim zestawem plików i wyświetlenia jego zawartości w dowolnym menedżerze plików obsługującym ikony.

    Na dysku lądują pliki:

    %system%Driversmrxcls.sys
    %system%Driversmrxnet.sys

    W rejestrze powstają wpisy dla nowych usług uruchamiających infekcję:

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls]
    „Description”=”MRXCLS”
    „DisplayName”=”MRXCLS”
    „Group”=”Network”
    „ImagePath”=”\??\C:\WINDOWS\system32\Drivers\mrxcls.sys”
    „Start”=dword:00000001
    „Type”=dword:00000001
     
     
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet]
    „Description”=”MRXNET”
    „DisplayName”=”MRXNET”
    „Group”=”Network”
    „ImagePath”=”\??\C:\WINDOWS\system32\Drivers\mrxnet.sys”
    „Start”=dword:00000001
    „Type”=dword:00000001
     

    Po utworzeniu wpisów o usługach, przy najbliższym starcie systemu aktywuje się rootkit. Infekcja następuje z wykorzystaniem Process Injection (wstrzyknięcie procesu w przestrzeń adresową innego działającego programu) i API hooking (przechwytywanie wywołań systemowych).

    Rootkit wprowadza infekcję w następujące procesy:

    lsass.exe
    svchost.exe
    services.exe
     

    Póki co namierzone zostały dopiero dwie mutacje wykorzystujące powyższą – podkreślam, nową – metodę ataku. Nie wiadomo, jaki będzie dalszy rozwój wydarzeń. Jeśli cyberprzestępcy zechcą wykorzystać ten sposób do szerzenia kolejnych infekcji, to jesteśmy zdani na czekanie, aż Microsoft załata problem w systemach Windows. Wsparcie techniczne MS zna już problem – możemy więc mieć nadzieję, że zareagują na niego odpowiednio szybko i zamkną furtkę dla infekcji używających luk w obsłudze windowsowych plików *.lnk.

    Do tego czasu pozostaje nam z większą troską posługiwać się nośnikami wymiennymi.

    Na sam koniec jestem oczywiście zmuszony podkreślić, że wspomniane infekcje (i sama metoda) zostały wykryte przez VirusLab AVG, w związku z czym znane obecnie rootkity wykorzystujące tą lukę są bezproblemowo blokowane przez AVG.

    Źródło: Dangerous Flash Drives – AVG VirusLab Blog.

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj wielofunkcyjny antywirus AVG do pełnej ochrony Twojego komputera.
    antywirus avg logo

     

    Oceń artykuł
    [Głosów: 0 Średnia: 0]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    Encyklopedia Bezpieczeństwa

    Odbierz darmowe porady od AVG
    infekcja pendrive Windows wirus
    Udostępnij. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Arkadiusz Zakrzewski

      Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

      Subscribe
      Powiadom o
      guest
      guest
      3 komentarzy
      najstarszy
      najnowszy oceniany
      Inline Feedbacks
      View all comments
      Arek
      Arek
      12 lat temu

      Dodam w ramach komentarza aktualizację do powyższego.
      Lista aliasów dla detekcji przez skanery antywirusowe konkurencji:

      Aliasy:
      • Symantec: W32.Temphid
      • Kaspersky: Rootkit.Win32.Stuxnet.a
      • TrendMicro: RTKT_STUXNET.A
      • F-Secure: Rootkit.Stuxnet.A
      • Sophos: W32/Stuxnet-B
      • Bitdefender: Rootkit.Stuxnet.A
      • Avast: Win32:Stuxnet-B
      • Microsoft: Trojan:WinNT/Stuxnet.A
      • AVG: Rootkit-Pakes.AG
      • PCTools: Rootkit.Stuxnet
      • Eset: Win32/Stuxnet.A
      • GData: Rootkit.Stuxnet.A
      • AhnLab: Backdoor/Win32.Stuxnet
      • DrWeb: Trojan.Stuxnet.1
      • Fortinet: W32/Stuxnet.A!tr.rkit
      • Ikarus: Rootkit.Win32.Stuxnet
      • Norman: W32/Stuxnet.D

      0
      Odpowiedz
      trackback
      Łatka na problem infekcji przez skrót LNK « techblog.avg.pl
      12 lat temu

      […] opisałem raptem wpis niżej Pendrive`y znów zagrożone. Tym razem zostawiam załącznik z paczką zip i 4 kluczami rejestru […]

      0
      Odpowiedz
      Zaiana
      Zaiana
      12 lat temu

      Witam!

      Zastanawiam się czy jest możliwość, wykrycia czy ma się takie złośliwe oprogramowanie na pamięci przenośnej. Mam tych pamięci kilkanaście i są często gęsto używane.
      W większości przypadków udaje się wykryć wirusa nim go przeniosę na własny komputer, niezwłocznie też zaktualizowałam kompa o przygotowaną przez Pana paczkę. Niestety pamięci używam też na wielu innych komputerach i nie chciałabym być przyczyną awarii czyjegoś komputera. Sformatowanie pamięci jest krótko terminowe, gdyż często przenoszę na nich pliki z internetu, a wraz z nimi mogło by się zaplątać jakieś złośliwe oprogramowanie.

      0
      Odpowiedz
      Arek
      Arek
      4 lat temu

      Dodam w ramach komentarza aktualizacje do powyzszego. Lista aliasow dla detekcji przez skanery antywirusowe konkurencji:Aliasy:• Symantec: W32.Temphid• Kaspersky: Rootkit.Win32.Stuxnet.a• TrendMicro: RTKT_STUXNET.A• F-Secure: Rootkit.Stuxnet.A• Sophos: W32/Stuxnet-B• Bitdefender: Rootkit.Stuxnet.A• Avast: Win32:Stuxnet-B• Microsoft: Trojan:WinNT/Stuxnet.A• AVG: Rootkit-Pakes.AG• PCTools: Rootkit.Stuxnet• Eset: Win32/Stuxnet.A• GData: Rootkit.Stuxnet.A• AhnLab: Backdoor/Win32.Stuxnet• DrWeb: Trojan.Stuxnet.1• Fortinet: W32/Stuxnet.A!tr.rkit• Ikarus: Rootkit.Win32.Stuxnet• Norman: W32/Stuxnet.D

      0
      Odpowiedz
      Zaiana
      Zaiana
      4 lat temu

      Witam!Zastanawiam sie czy jest mozliwosc, wykrycia czy ma sie takie zlosliwe oprogramowanie na pamieci przenosnej. Mam tych pamieci kilkanascie i sa czesto gesto uzywane.W wiekszosci przypadkow udaje sie wykryc wirusa nim go przeniose na wlasny komputer, niezwlocznie tez zaktualizowalam kompa o przygotowana przez Pana paczke. Niestety pamieci uzywam tez na wielu innych komputerach i nie chcialabym byc przyczyna awarii czyjegos komputera. Sformatowanie pamieci jest krotko terminowe, gdyz czesto przenosze na nich pliki z internetu, a wraz z nimi moglo by sie zaplatac jakies zlosliwe oprogramowanie.

      0
      Odpowiedz
      Najnowsze komentarze
      • Patryk Dropbox jest świetny. Fajnie zintegrowany z wieloma aplikacjami, wygodny, wiele użytecznyc...Dropbox – dysk w chmurze
      • Wiktoro Dobre zasilacze awaryjne UPS ma w ofercie marka armacJaki zasilacz UPS do firmy wybrać?
      • Arkadiusz Zakrzewski Cześć, Skontaktuj się z biuro@avg.pl podaj dane subskrypcji (numer zamówienia oraz nr refe...Pomoc techniczna dla użytkowników darmowych wersji antywirusów – AVG FREE i AVAST FREE
      • Robert Zainstalowałem i opłaciłem subskrypcję produktu avg TuneUp i teraz mam problem z anulowan...Pomoc techniczna dla użytkowników darmowych wersji antywirusów – AVG FREE i AVAST FREE
      • Asia Świetny artykuł, ale warto go trochę zaktualizować, bo powstało sporo ciekawych stron z ra...Aplikacja z promocjami – którą wybrać?
      Skuteczny Antywirus
      O nas

      TrybAwaryjny.pl to strona stworzona specjalnie dla użytkowników antywirusa AVG. Oprócz szeregu porad i artykułów dotyczących bezpieczeństwa, znajdziecie tutaj wszystko to co jest związane z programami AVG w Polsce. Możecie również zadać pytania dotyczące bezpieczeństwa komputerów ekspertom pomocy technicznej AVG.

      Znajdź nas na FB
      Facebook YouTube
      • Polityka prywatności
      • Regulamin
      © 2023 Trybawaryjny.pl

      Wypełnił powyższe pole i naciśnij Enter żeby wyszukać. Naciśnij Esc żeby anulować.

      wpDiscuz