Предотвращение распространения USB вирусов

Перевод статьи с английского, автор Robin Bailey 05/04/2009
Оригинал на английском

Введение

Поскольку использование флешки становится все более и более широко и вредоносные программы начали использовать их в качестве средства распространения с машины на машину. Хотя это проблема самих пользователей, но представляет большую опасность для IT специалистов, которые могут использовать тот же USB Stick в десятки компьютеров в течение одного дня и часто входят с административными привилегиями, тем самым давая достук важной информации и распространению вирусов. Эта статья предназначена для IT специалистов (и не только для них), и как они могут снизить риск передачи инфекции на другие машины.

Описание проблемы

Вредоносная программа использует два основных метода для распространения через карты памяти. Во-первых, и менее серьезные, заражает исполняемые файлы на карту памяти, так что когда они работают на другую машину, инфекция перемещается вместе с ними. Более распространенным, и более опасным, является распространение через autorun.inf, которые Windows автоматически выполняет при подключении диска (шлешки), это означает, что не требуется взаимодействие с пользователем. Conficker было получить много внимания недавно, и это было одним из методов, используются для распространения себя, но многие другие вредоносные программы использовали ту же технику. Можно отключить функцию автозапуска из windows, но не всегда есть возможность отключить автоматическое выполнение.

Решение

Поскольку мы не можем полагаться на компьютер, чтобы предотвратить выполение файл autorun.inf, мы должны делать это с флешкой. Можно купить флешку с переключателем в режим только чтения. Дать компьютер для них, но это может вызвать проблемы, легко забыть, и не помогает после того как флешка была инфицирована.

Однако, если на флешке ФС FAT32, которая стоит на большинстве которых, за исключением некоторых из новых флешек на 8GB + диски, но мы можем создать быстро исправить используя шестнадцатиричный редактор, и базовые знания FAT32 таблице каталога.

Во-первых, мы создаем пустой autorun.inf файл на карту памяти, затем открываем диск в шестнадцатеричном редакторе. Неважно, если вы откроете физического диска или логический раздел, но если на диске более одного раздела, то лучше сделать его последним. Убедитесь, что диск открыт для чтения / записи разрешения, и что ничего не блокирует доступ к ней на тот момент. HxD Для Windows это небольшое, портативное шестнадцатеричном редакторе, если у вас ее еще нет.

Хотя это можно сделать с дисками с данными, но это безопаснее сделать на пустом насителе на всякий случай. Если нет, то убедитесь, что у вас есть копия информации или сделайте резервное копирование, только Вы несете ответсвенность за потерю информации с носителя.

Затем выполните поиск на диске для струнного AUTORUN, не как Unicode текста. Она должна найти его ближе к началу диска. Области мы заинтересованы в том, как следует.

41 55 54 4F 52 55 4E 20 49 4E 46 20 A U T O R U N I N F

Первые 8 байт файла (с пробелом в конце, потому что автозапуск только 7 символов), за которыми следуют 3 байта расширение файла (РСМД), за которыми следуют один байт на атрибуты файла. Именно это окончательное байт, который является искомым.

Текущее значение байт (0x20) только в архив битом. Что мы хотим сделать, это изменить этот байт на 0x40, который устанавливает бит устройства. Блок теперь будет выглядеть следующим образом.

41 55 54 4F 52 55 4E 20 49 4E 46 40 A U T O R U N I N F @

После этого был сохранен на диске, игнорируя все предупреждения, что это может повредить диске, мы тогда монтирования и размонтирования тома. Теперь при просмотре диске файл autorun.inf, можно видеть, но он не может быть удален, открыт, не редактируются, не перезаписаны, или его атрибуты изменены.

Когда флешка используется на заражонном компьютере, она не может заразиться, потому что при копировании файл autorun.inf будет ошибка.

milw0rm.com [2009-04-06]