Najpopularniejsze
    Czy jest sposób na wyzerowanie Windowsa

    Jak sformatować/przywrócić Windows 10?

    Nowy konkurs AVG - weź udział teraz

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    Nowy konkurs AVG

    Pomóż nam wybrać koszulkę dla Trybu i zgarnij NOWE gadżety AVG!

    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    • Strona główna
    • Tu zacznij
    • Porady
      • Dla domu
      • Dla firmy
      • Dla szkoły
      • Android
      • Windows
      • Przydatne programy
        • Komputer
        • Mobilne
    • Ciekawostki
    • AVG
      • Strona AVG w Polsce
      • AVG krok po kroku
      • Blog AVG
      • Informacje prasowe
      • Napisali o AVG
      • Promocje
      • Programy
        • Dla domu
        • Dla małej firmy
        • Dla biznesu
      • Forum
    • AVAST
    • Kontakt i współpraca
    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    Strona główna»Porady dla domu»Pendrive’y znów zagrożone
    Porady dla domu

    Pendrive’y znów zagrożone

    3 komentarzePrzeczytasz w 3 minuty

    Chyba już wszyscy wiedzą, że pendrive’y i podobne media przenośne zajmują niechlubne miejsce w czołówce sposobów na zainfekowanie komputera.

    Najczęściej zalecaną metodą na – choćby podstawowe – zabezpieczenie się przed atakami Worm/Autorun pochodzącymi z nośników wymiennych to wyłączenie autostartu urządzeń USB w systemie Windows. Do piątku 16 lipca metoda ta świetnie się sprawdzała i dawała poczucie wystarczającego bezpieczeństwa. Niestety, z przykrością muszę odebrać Wam tę resztkę optymizmu. Wyłączenie autostartu już nie wystarczy.

    Jak donosi Hynek Blinka na blogu naszego VirusLabu, namierzona została infekcja, która z nośnika wymiennego potrafi zainfekować komputer z wyłączoną w systemie Windows funkcją autostartu.

    Atak wykorzystuje pliki dostępne już od zarania dziejów (tzn. od powstania Windowsów) – skróty z rozszerzeniem *.lnk.

    Jak  to działa? Wykorzystywany jest dowolny menedżer plików wyświetlający ikony – np. Windows Explorer, Total Commander i im podobne.  Dwa pliki, które trafiły do analizy w laboratorium, to fałszywe sterowniki. Pierwsza poważna sprawa to fakt, że jeden z nich miał poprawny podpis cyfrowy informujący, że wydawcą jest Realtek Semiconductor Corp.

    Jak łatwo się domyślić – taki podpis wprowadza w błąd zdecydowaną większość programów antywirusowych, bo plik podpisany poprawnym, ważnym certyfikatem uważany jest za zdrowy. Certyfikat wykorzystany do infekcji został już deaktywowany i walidacja jego ważności kończy się aktualnie niepowodzeniem.

    Wracamy do sposobu infekcji. Wspomniałem o wykorzystaniu formatu skrótu systemu Windows. Po raz pierwszy plik *.lnk został wykorzystany jako sposób na wprowadzenie rootkita!

    Poniższy zrzut ekranu to przykładowy zestaw plików ukrytych na nośniku:

    Pliki te są niewidoczne dla użytkownika z domyślnie skonfigurowanymi opcjami folderów (czyli z zaznaczonym polem Nie pokazuj plików ukrytych lub systemowych).

    Infekcja następuje w chwili podłączenia pendrive’a zainfekowanego takim zestawem plików i wyświetlenia jego zawartości w dowolnym menedżerze plików obsługującym ikony.

    Na dysku lądują pliki:

    %system%Driversmrxcls.sys
    %system%Driversmrxnet.sys

    W rejestrze powstają wpisy dla nowych usług uruchamiających infekcję:

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls]
    „Description”=”MRXCLS”
    „DisplayName”=”MRXCLS”
    „Group”=”Network”
    „ImagePath”=”\??\C:\WINDOWS\system32\Drivers\mrxcls.sys”
    „Start”=dword:00000001
    „Type”=dword:00000001
     
     
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet]
    „Description”=”MRXNET”
    „DisplayName”=”MRXNET”
    „Group”=”Network”
    „ImagePath”=”\??\C:\WINDOWS\system32\Drivers\mrxnet.sys”
    „Start”=dword:00000001
    „Type”=dword:00000001
     

    Po utworzeniu wpisów o usługach, przy najbliższym starcie systemu aktywuje się rootkit. Infekcja następuje z wykorzystaniem Process Injection (wstrzyknięcie procesu w przestrzeń adresową innego działającego programu) i API hooking (przechwytywanie wywołań systemowych).

    Rootkit wprowadza infekcję w następujące procesy:

    lsass.exe
    svchost.exe
    services.exe
     

    Póki co namierzone zostały dopiero dwie mutacje wykorzystujące powyższą – podkreślam, nową – metodę ataku. Nie wiadomo, jaki będzie dalszy rozwój wydarzeń. Jeśli cyberprzestępcy zechcą wykorzystać ten sposób do szerzenia kolejnych infekcji, to jesteśmy zdani na czekanie, aż Microsoft załata problem w systemach Windows. Wsparcie techniczne MS zna już problem – możemy więc mieć nadzieję, że zareagują na niego odpowiednio szybko i zamkną furtkę dla infekcji używających luk w obsłudze windowsowych plików *.lnk.

    Do tego czasu pozostaje nam z większą troską posługiwać się nośnikami wymiennymi.

    Na sam koniec jestem oczywiście zmuszony podkreślić, że wspomniane infekcje (i sama metoda) zostały wykryte przez VirusLab AVG, w związku z czym znane obecnie rootkity wykorzystujące tą lukę są bezproblemowo blokowane przez AVG.

    Źródło: Dangerous Flash Drives – AVG VirusLab Blog.

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj wielofunkcyjny antywirus AVG do pełnej ochrony Twojego komputera.
    antywirus avg logo

     

    Oceń artykuł
    [Głosów: 0 Średnia: 0]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    infekcja pendrive Windows wirus
    Udostępnij. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Arkadiusz Zakrzewski

      Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

      Subscribe
      Powiadom o
      guest
      guest
      3 komentarzy
      najstarszy
      najnowszy oceniany
      Inline Feedbacks
      View all comments
      Arek
      Arek
      12 lat temu

      Dodam w ramach komentarza aktualizację do powyższego.
      Lista aliasów dla detekcji przez skanery antywirusowe konkurencji:

      Aliasy:
      • Symantec: W32.Temphid
      • Kaspersky: Rootkit.Win32.Stuxnet.a
      • TrendMicro: RTKT_STUXNET.A
      • F-Secure: Rootkit.Stuxnet.A
      • Sophos: W32/Stuxnet-B
      • Bitdefender: Rootkit.Stuxnet.A
      • Avast: Win32:Stuxnet-B
      • Microsoft: Trojan:WinNT/Stuxnet.A
      • AVG: Rootkit-Pakes.AG
      • PCTools: Rootkit.Stuxnet
      • Eset: Win32/Stuxnet.A
      • GData: Rootkit.Stuxnet.A
      • AhnLab: Backdoor/Win32.Stuxnet
      • DrWeb: Trojan.Stuxnet.1
      • Fortinet: W32/Stuxnet.A!tr.rkit
      • Ikarus: Rootkit.Win32.Stuxnet
      • Norman: W32/Stuxnet.D

      0
      Odpowiedz
      trackback
      Łatka na problem infekcji przez skrót LNK « techblog.avg.pl
      12 lat temu

      […] opisałem raptem wpis niżej Pendrive`y znów zagrożone. Tym razem zostawiam załącznik z paczką zip i 4 kluczami rejestru […]

      0
      Odpowiedz
      Zaiana
      Zaiana
      12 lat temu

      Witam!

      Zastanawiam się czy jest możliwość, wykrycia czy ma się takie złośliwe oprogramowanie na pamięci przenośnej. Mam tych pamięci kilkanaście i są często gęsto używane.
      W większości przypadków udaje się wykryć wirusa nim go przeniosę na własny komputer, niezwłocznie też zaktualizowałam kompa o przygotowaną przez Pana paczkę. Niestety pamięci używam też na wielu innych komputerach i nie chciałabym być przyczyną awarii czyjegoś komputera. Sformatowanie pamięci jest krótko terminowe, gdyż często przenoszę na nich pliki z internetu, a wraz z nimi mogło by się zaplątać jakieś złośliwe oprogramowanie.

      0
      Odpowiedz
      Arek
      Arek
      4 lat temu

      Dodam w ramach komentarza aktualizacje do powyzszego. Lista aliasow dla detekcji przez skanery antywirusowe konkurencji:Aliasy:• Symantec: W32.Temphid• Kaspersky: Rootkit.Win32.Stuxnet.a• TrendMicro: RTKT_STUXNET.A• F-Secure: Rootkit.Stuxnet.A• Sophos: W32/Stuxnet-B• Bitdefender: Rootkit.Stuxnet.A• Avast: Win32:Stuxnet-B• Microsoft: Trojan:WinNT/Stuxnet.A• AVG: Rootkit-Pakes.AG• PCTools: Rootkit.Stuxnet• Eset: Win32/Stuxnet.A• GData: Rootkit.Stuxnet.A• AhnLab: Backdoor/Win32.Stuxnet• DrWeb: Trojan.Stuxnet.1• Fortinet: W32/Stuxnet.A!tr.rkit• Ikarus: Rootkit.Win32.Stuxnet• Norman: W32/Stuxnet.D

      0
      Odpowiedz
      Zaiana
      Zaiana
      4 lat temu

      Witam!Zastanawiam sie czy jest mozliwosc, wykrycia czy ma sie takie zlosliwe oprogramowanie na pamieci przenosnej. Mam tych pamieci kilkanascie i sa czesto gesto uzywane.W wiekszosci przypadkow udaje sie wykryc wirusa nim go przeniose na wlasny komputer, niezwlocznie tez zaktualizowalam kompa o przygotowana przez Pana paczke. Niestety pamieci uzywam tez na wielu innych komputerach i nie chcialabym byc przyczyna awarii czyjegos komputera. Sformatowanie pamieci jest krotko terminowe, gdyz czesto przenosze na nich pliki z internetu, a wraz z nimi moglo by sie zaplatac jakies zlosliwe oprogramowanie.

      0
      Odpowiedz
      Najnowsze komentarze
      • Magda Kiedy używałam smartfonu z androidem do 10, łączyłam się z torem bez problemu. Teraz mam 1...ABC TORa
      • Tim Miał pan kiedyś iPhone, czy pan tak tylko gada? iPhone to nie jest przestarzała technologi...12 powodów dlaczego iPhone jest lepszy niż Android
      • ZSzp wybieramy "Wyłączony" "Następnie klikamy na nią dwukrotnie lewym przyciskiem myszki i w „...Konfiguracja dysków SSD pod system Windows 7
      • 10 sprawdzonych sposobów na zwiększenie anonimowości w sieci […] wystarczy ściągnąć przeglądarkę TOR stąd. Jeśli zdecydujesz się pobrać przegląda...ABC TORa
      • 10 bezpiecznych nawyków korzystania z poczty internetowej - TrybAwaryjny.pl […] W ten sposób w przypadku przejęcia przez osoby trzecie hasła do konta w serwisie...Jedno hasło by wszystkimi rządzić czyli KeePass krok po kroku
      Skuteczny Antywirus
      Encyklopedia Bezpieczeństwa
      Odbierz darmowe porady od AVG
      O nas

      TrybAwaryjny.pl to strona stworzona specjalnie dla użytkowników antywirusa AVG. Oprócz szeregu porad i artykułów dotyczących bezpieczeństwa, znajdziecie tutaj wszystko to co jest związane z programami AVG w Polsce. Możecie również zadać pytania dotyczące bezpieczeństwa komputerów ekspertom pomocy technicznej AVG.

      Znajdź nas na FB
      Facebook YouTube
      • Polityka prywatności
      • Regulamin
      © 2023 Trybawaryjny.pl

      Wypełnił powyższe pole i naciśnij Enter żeby wyszukać. Naciśnij Esc żeby anulować.

      wpDiscuz