Sziasztok!Egy nagyon ravasz pendrive-von történő vírusterjedési módszerrel találkoztam ma reggel. Röviden megírom a módszert, mert én eddig ezzel a módszerrel nem találkoztam (lehet, hogy csak én vagyok ilyen szerencsés ;-), és nem is gondoltam erre a módszerre.
A módszer nagyon primitív, de egyúttal nagyon ravasz és veszélyes is, a lényege a következő:
A vírusos gépbe behelyezve a gyanútlan pendrive-ot, a gépen lévő vírus érzékelve, hogy egy pendrive-ot csatlakoztattak a géphez átvizsgálja a és a következő végzi:
1. Létrehoz egy RECYCLER nevű mappát, azon belül pedig két másik mappát "S-*-*-**-**..." névvel.
2. A létrehozott mappákban elhelyezi a szükséges vírusokat.Eddig nincs is semmi különös, ezután jöhetne az autorun.inf és kész is, de pendrive-on a Panda USB Vaccine programmal az autorun.inf fájl olvasása írása korlátozva van tehát azt gondolhatnánk, hogy biztonságban vagyunk, a mi pendrive-unk már nem fertőz tovább. Sajnos ez nem (feltétlenül) van így, ugyanis a vírus nem az autorun.inf-et használja ahhoz, hogy lefusson a vírus egy másik gépen, hanem a következő ravasz módszert alkalmazza:
3. A pendrive-on lévő összes mappát rejtetté és írásvédetté teszi.4. Minden egyes mappa nevével létrehoz egy ugyanolyan nevű "lnk" kiterjesztésű linket. A link tulajdonság lapját megnézve a "Cél" mezőben a következő szerepel:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe &&%windir%\explorer.exe %cd%Dokumentumok-2011-05-07
Tehát először lefuttatja a vírust, majd utána annak rendje és módja szerint megnyitja a kívánt mappát. Briliáns!
Ha a számítógép vírusvédelme gyenge, esetleg nem naprakész, vagy egy eddig ismeretlen vírussal lenne dolgunk, továbbá a felhasználók figyelmetlenek (szerintem 99,9% az) és nem veszik észre, hogy a megnyitni kívánt mappa igazából egy link, ha a rejtett fájlok el vannak rejtve, akkor nem veszi észre, hogy "minden mappából 2 van", akkor a felhasználók 99%-a észre sem veszi, hogy megfertőződött a gépe, ő csak azt látja, hogy a megnyitni kívánt "Dokumentumok-2011-05-07" mappa megnyílik, legfeljebb egy DOS-os ablak jelent meg egy pillanatra, amelyet lehet, hogy észre sem vesz.
Az autorun.inf módszer ellen több védelem is van (kikapcsoljuk az automatikus futtatást, Panda USB Vaccine programmal az autorun.inf fájl olvasását írását korlátozzuk), de ez ellen csak a figyelmesség és az óvatosság védhet meg.
Egy két tipp, hogyan védekezhetünk ez ellen:- Nem Intézőt használunk, mert az nem jeleníti meg a "System Volume Information" és "RECYCLER", stb. rejtett mappákat. - TotalCommandert használunk és bekapcsoljuk a rejtett fájlok megjelenítését. - Minden egyes használat alkalmával árgus szemekkel nézzük végi a könyvtárszerkezetet a rejtett mappák fájlok után kutatva, és ha akár egyet is találunk, akkor rögtön gyanakszunk.
- stb...A vírusfertőzés a szegedi egyetem egyik karának fénymásolószalonjában történt (reméljük a gép nem az egyetemi hálózatra van kötve). Az érintett egyetemi kar rendszergazdáját értesítem, ha esetleg ő felelne az adott gépért, de legalább szólni tud az illetékesnek.
Veres Sándor
<<attachment: 005-trukkos-virus.PNG>>
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
