Re: Nagyon ravasz vírusterjedési mód!!!
Péntek Bálint
pmen at ivbela.hu
2012. Már. 12., H, 09:34:54 CET
Nálam is voltak ilyenek régebben én csak simán kitöröltem meg levettem az automatikus futtatási jogot a windowsban
.Nod32 -nél még nem láttam ilyen, de lehetnek kivételek.
2012.03.12. dátummal, 9:27 időpontban Felszegi Elemer írta:
> Szia Sandor,
>
> Nem ujkeletu dolog ez mar, nalam tobbszor volt, van ilyen. Es hogy egesz pontos legyek, pont a Virusbusterrel vedett gepeimen voltak ilyenek. Na errol ennyit!!
>
> Udv,
> Elemer
>
> On 2012.03.12. 10:17, Veres Sandor wrote:
>> Sziasztok!
>>
>> Egy nagyon ravasz pendrive-von történő vírusterjedési módszerrel találkoztam ma reggel.
>> Röviden megírom a módszert, mert én eddig ezzel a módszerrel nem találkoztam (lehet, hogy csak én vagyok ilyen szerencsés ;-), és nem is gondoltam erre a módszerre.
>>
>> A módszer nagyon primitív, de egyúttal nagyon ravasz és veszélyes is, a lényege a következő:
>>
>> A vírusos gépbe behelyezve a gyanútlan pendrive-ot, a gépen lévő vírus érzékelve, hogy egy pendrive-ot csatlakoztattak a géphez átvizsgálja a és a következő végzi:
>>
>> 1. Létrehoz egy RECYCLER nevű mappát, azon belül pedig két másik mappát "S-*-*-**-**..." névvel.
>> 2. A létrehozott mappákban elhelyezi a szükséges vírusokat.
>>
>> Eddig nincs is semmi különös, ezután jöhetne az autorun.inf és kész is, de pendrive-on a Panda USB Vaccine programmal az autorun.inf fájl olvasása írása korlátozva van tehát azt gondolhatnánk, hogy biztonságban vagyunk, a mi pendrive-unk már nem fertőz tovább. Sajnos ez nem (feltétlenül) van így, ugyanis a vírus nem az autorun.inf-et használja ahhoz, hogy lefusson a vírus egy másik gépen, hanem a következő ravasz módszert alkalmazza:
>>
>> 3. A pendrive-on lévő összes mappát rejtetté és írásvédetté teszi.
>> 4. Minden egyes mappa nevével létrehoz egy ugyanolyan nevű "lnk" kiterjesztésű linket. A link tulajdonság lapját megnézve a "Cél" mezőben a következő szerepel:
>>
>> %windir%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe &&%windir%\explorer.exe %cd%Dokumentumok-2011-05-07
>>
>> Tehát először lefuttatja a vírust, majd utána annak rendje és módja szerint megnyitja a kívánt mappát. Briliáns!
>>
>> Ha a számítógép vírusvédelme gyenge, esetleg nem naprakész, vagy egy eddig ismeretlen vírussal lenne dolgunk, továbbá a felhasználók figyelmetlenek (szerintem 99,9% az) és nem veszik észre, hogy a megnyitni kívánt mappa igazából egy link, ha a rejtett fájlok el vannak rejtve, akkor nem veszi észre, hogy "minden mappából 2 van", akkor a felhasználók 99%-a észre sem veszi, hogy megfertőződött a gépe, ő csak azt látja, hogy a megnyitni kívánt "Dokumentumok-2011-05-07" mappa megnyílik, legfeljebb egy DOS-os ablak jelent meg egy pillanatra, amelyet lehet, hogy észre sem vesz.
>>
>> Az autorun.inf módszer ellen több védelem is van (kikapcsoljuk az automatikus futtatást, Panda USB Vaccine programmal az autorun.inf fájl olvasását írását korlátozzuk), de ez ellen csak a figyelmesség és az óvatosság védhet meg.
>> Egy két tipp, hogyan védekezhetünk ez ellen:
>> - Nem Intézőt használunk, mert az nem jeleníti meg a "System Volume Information" és "RECYCLER", stb. rejtett mappákat.
>> - TotalCommandert használunk és bekapcsoljuk a rejtett fájlok megjelenítését.
>> - Minden egyes használat alkalmával árgus szemekkel nézzük végi a könyvtárszerkezetet a rejtett mappák fájlok után kutatva, és ha akár egyet is találunk, akkor rögtön gyanakszunk.
>> - stb...
>>
>> A vírusfertőzés a szegedi egyetem egyik karának fénymásolószalonjában történt (reméljük a gép nem az egyetemi hálózatra van kötve).
>> Az érintett egyetemi kar rendszergazdáját értesítem, ha esetleg ő felelne az adott gépért, de legalább szólni tud az illetékesnek.
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
További információk a(z) Techinfo levelezőlistáról