Nagyon ravasz vírusterjedési mód!!!

Veres Sandor veresh at kossuthzs-szeged.sulinet.hu
2012. Már. 12., H, 09:17:06 CET


Sziasztok!

Egy nagyon ravasz pendrive-von történő vírusterjedési módszerrel 
találkoztam ma reggel.
Röviden megírom a módszert, mert én eddig ezzel a módszerrel nem 
találkoztam (lehet, hogy csak én vagyok ilyen szerencsés ;-), és nem is 
gondoltam erre a módszerre.

A módszer nagyon primitív, de egyúttal nagyon ravasz és veszélyes is, a 
lényege a következő:

A vírusos gépbe behelyezve a gyanútlan pendrive-ot, a gépen lévő vírus 
érzékelve, hogy egy pendrive-ot csatlakoztattak a géphez átvizsgálja a 
és a következő végzi:

1. Létrehoz egy RECYCLER nevű mappát, azon belül pedig két másik mappát 
"S-*-*-**-**..." névvel.
2. A létrehozott mappákban elhelyezi a szükséges vírusokat.

Eddig nincs is semmi különös, ezután jöhetne az autorun.inf és kész is, 
de pendrive-on a Panda USB Vaccine programmal az autorun.inf fájl 
olvasása írása korlátozva van tehát azt gondolhatnánk, hogy biztonságban 
vagyunk, a mi pendrive-unk már nem fertőz tovább. Sajnos ez nem 
(feltétlenül) van így, ugyanis a vírus nem az autorun.inf-et használja 
ahhoz, hogy lefusson a vírus egy másik gépen, hanem a következő ravasz 
módszert alkalmazza:

3. A pendrive-on lévő összes mappát rejtetté és írásvédetté teszi.
4. Minden egyes mappa nevével létrehoz egy ugyanolyan nevű "lnk" 
kiterjesztésű linket. A link tulajdonság lapját megnézve a "Cél" mezőben 
a következő szerepel:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe 
&&%windir%\explorer.exe %cd%Dokumentumok-2011-05-07

Tehát először lefuttatja a vírust, majd utána annak rendje és módja 
szerint megnyitja a kívánt mappát. Briliáns!

Ha a számítógép vírusvédelme gyenge, esetleg nem naprakész, vagy egy 
eddig ismeretlen vírussal lenne dolgunk, továbbá a felhasználók 
figyelmetlenek (szerintem 99,9% az) és nem veszik észre, hogy a 
megnyitni kívánt mappa igazából egy link, ha a rejtett fájlok el vannak 
rejtve, akkor nem veszi észre, hogy "minden mappából 2 van", akkor a 
felhasználók 99%-a észre sem veszi, hogy megfertőződött a gépe, ő csak 
azt látja, hogy a megnyitni kívánt "Dokumentumok-2011-05-07" mappa 
megnyílik, legfeljebb egy DOS-os ablak jelent meg egy pillanatra, 
amelyet lehet, hogy észre sem vesz.

Az autorun.inf módszer ellen több védelem is van (kikapcsoljuk az 
automatikus futtatást, Panda USB Vaccine programmal az autorun.inf fájl 
olvasását írását korlátozzuk), de ez ellen csak a figyelmesség és az 
óvatosság védhet meg.
Egy két tipp, hogyan védekezhetünk ez ellen:
- Nem Intézőt használunk, mert az nem jeleníti meg a "System Volume 
Information" és "RECYCLER", stb. rejtett mappákat.
- TotalCommandert használunk és bekapcsoljuk a rejtett fájlok 
megjelenítését.
- Minden egyes használat alkalmával árgus szemekkel nézzük végi a 
könyvtárszerkezetet a rejtett mappák fájlok után kutatva, és ha akár 
egyet is találunk, akkor rögtön gyanakszunk.
- stb...

A vírusfertőzés a szegedi egyetem egyik karának fénymásolószalonjában 
történt (reméljük a gép nem az egyetemi hálózatra van kötve).
Az érintett egyetemi kar rendszergazdáját értesítem, ha esetleg ő 
felelne az adott gépért, de legalább szólni tud az illetékesnek.

Veres Sándor

--------- következő rész ---------
A non-text attachment was scrubbed...
Name: 005-trukkos-virus.PNG
Type: image/png
Size: 19708 bytes
Desc: nem elérhető
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20120312/c2a56ed2/attachment.png>


További információk a(z) Techinfo levelezőlistáról