Nagyon ravasz vírusterjedési mód!!!
Veres Sandor
veresh at kossuthzs-szeged.sulinet.hu
2012. Már. 12., H, 09:17:06 CET
Sziasztok!
Egy nagyon ravasz pendrive-von történő vírusterjedési módszerrel
találkoztam ma reggel.
Röviden megírom a módszert, mert én eddig ezzel a módszerrel nem
találkoztam (lehet, hogy csak én vagyok ilyen szerencsés ;-), és nem is
gondoltam erre a módszerre.
A módszer nagyon primitív, de egyúttal nagyon ravasz és veszélyes is, a
lényege a következő:
A vírusos gépbe behelyezve a gyanútlan pendrive-ot, a gépen lévő vírus
érzékelve, hogy egy pendrive-ot csatlakoztattak a géphez átvizsgálja a
és a következő végzi:
1. Létrehoz egy RECYCLER nevű mappát, azon belül pedig két másik mappát
"S-*-*-**-**..." névvel.
2. A létrehozott mappákban elhelyezi a szükséges vírusokat.
Eddig nincs is semmi különös, ezután jöhetne az autorun.inf és kész is,
de pendrive-on a Panda USB Vaccine programmal az autorun.inf fájl
olvasása írása korlátozva van tehát azt gondolhatnánk, hogy biztonságban
vagyunk, a mi pendrive-unk már nem fertőz tovább. Sajnos ez nem
(feltétlenül) van így, ugyanis a vírus nem az autorun.inf-et használja
ahhoz, hogy lefusson a vírus egy másik gépen, hanem a következő ravasz
módszert alkalmazza:
3. A pendrive-on lévő összes mappát rejtetté és írásvédetté teszi.
4. Minden egyes mappa nevével létrehoz egy ugyanolyan nevű "lnk"
kiterjesztésű linket. A link tulajdonság lapját megnézve a "Cél" mezőben
a következő szerepel:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe
&&%windir%\explorer.exe %cd%Dokumentumok-2011-05-07
Tehát először lefuttatja a vírust, majd utána annak rendje és módja
szerint megnyitja a kívánt mappát. Briliáns!
Ha a számítógép vírusvédelme gyenge, esetleg nem naprakész, vagy egy
eddig ismeretlen vírussal lenne dolgunk, továbbá a felhasználók
figyelmetlenek (szerintem 99,9% az) és nem veszik észre, hogy a
megnyitni kívánt mappa igazából egy link, ha a rejtett fájlok el vannak
rejtve, akkor nem veszi észre, hogy "minden mappából 2 van", akkor a
felhasználók 99%-a észre sem veszi, hogy megfertőződött a gépe, ő csak
azt látja, hogy a megnyitni kívánt "Dokumentumok-2011-05-07" mappa
megnyílik, legfeljebb egy DOS-os ablak jelent meg egy pillanatra,
amelyet lehet, hogy észre sem vesz.
Az autorun.inf módszer ellen több védelem is van (kikapcsoljuk az
automatikus futtatást, Panda USB Vaccine programmal az autorun.inf fájl
olvasását írását korlátozzuk), de ez ellen csak a figyelmesség és az
óvatosság védhet meg.
Egy két tipp, hogyan védekezhetünk ez ellen:
- Nem Intézőt használunk, mert az nem jeleníti meg a "System Volume
Information" és "RECYCLER", stb. rejtett mappákat.
- TotalCommandert használunk és bekapcsoljuk a rejtett fájlok
megjelenítését.
- Minden egyes használat alkalmával árgus szemekkel nézzük végi a
könyvtárszerkezetet a rejtett mappák fájlok után kutatva, és ha akár
egyet is találunk, akkor rögtön gyanakszunk.
- stb...
A vírusfertőzés a szegedi egyetem egyik karának fénymásolószalonjában
történt (reméljük a gép nem az egyetemi hálózatra van kötve).
Az érintett egyetemi kar rendszergazdáját értesítem, ha esetleg ő
felelne az adott gépért, de legalább szólni tud az illetékesnek.
Veres Sándor
--------- következő rész ---------
A non-text attachment was scrubbed...
Name: 005-trukkos-virus.PNG
Type: image/png
Size: 19708 bytes
Desc: nem elérhető
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20120312/c2a56ed2/attachment.png>
További információk a(z) Techinfo levelezőlistáról