Садовой
А.В.
Национальный
горный университет
Autorun-черви и
методы борьбы с ними
В последнее время зафиксировано увеличение объемов
распространения вредоносных программ, в составе которых имеется функционал
червя, использующийся для распространения через съемные носители (например, Flash-накопители).
Особенностью данного вида червей является
использование сценария автозапуска «autorun.inf» для своего распространения. Структура
сценариев «autorun.inf» позволяет использовать их
для распространения вредоносного кода, так как язык написания сценария
несовершенен и имеет ряд особенностей:
·
указание
произвольного пути к локальным файлам в параметрах сценария;
·
использование
переменных среды;
·
запуск Win32API
ShelluteEx при помощи скрипта автозапуска;
·
подмена команды
исполнения «Открыть» на значке съемного диска;
Эти особенности в структуре сценариев автозапуска,
а также уязвимые места командного интерпретатора позволяют злоумышленникам использовать их для создания вредоносных
программ, которые могут быть не идентифицированы антивирусными средствами.
Применение поведенческого анализ к файлам такого рода неэффективно, так как для
операционной системы данные файлы сценариев не являются исполняемыми;
сигнатурный же анализ неэффективен при малейших изменениях в коде.
Вредоносный код, записанный в пакетном файле с
расширение .bat в совокупности со сценарием автозапуска «autorun.inf» не определиться
антивирусными средствами так как, по сути, не является вредоносным, а просто
содержащим набор команд командного интерпретатора. Примеров написания bat-вирусов огромное множество. Они могут представлять из себя, как обычную
шутку, так и серьёзный вирус, червь, бэкдор, открывающий доступ злоумышленнику
на компьютер жертвы. Определяются bat-вирусы только тогда, когда они были перекомпилированы в исполняемый файл
типа .exe.
В результате выполнения сценария автозапуска
происходит инфицирование червём рабочей станции. Далее происходит инфицирование
всех съемных носителей, которые подключены к рабочей станции. Заражение съёмных
носителей будет происходить до тех пор, пока не будет удалён из системы червь,
который до этого времени уже инфицирует другие носители.
На текущий момент самым распространённой угрозой
является червь Win32/Conficker (Win32/Conficker.AA, Win32/Conficker.AE). Данным
червём уже инфицировано свыше 8,76% всех компьютеров в мире, и он продолжает
распространяться с высокой скоростью.
Основными методами борьбы с подобными угрозами являются
отключение автоматического запуска съёмных носителей, отключение пакетной обработки
команд, запрет доступа к командному интерпретатору.
Методы борьбы с Autorun-червями
и их недостатки:
1. Отключение автоматического запуска со съемных
носителей.
2. Препятствование проникновения на съемные носители.
3. Отключение пакетной обработки команд. Существует
возможность обхода путём создания усовершенствованного вредоносного сценария.
4. Запрет пользовательского доступа к командному
интерпретатору. При использовании внешних файлов сценариев ограничения могут
быть сняты непосредственно из «autorun.inf» без вызова командного интерпретатору.
5. Настройка групповой политики для разрешения
подключения съемных носителей входящих в список разрешённых.
Из всех перечисленных выше методов наиболее
простым и эффективным способом является отключение автозапуска внешних
носителей.
В Windows 2000, 2003, XP Professional, Vista, 2008
Server, Windows 7 необходимо отключить автозапуск, запустив
оснастку для редактирования групповой политики: Пуск → Выполнить → gpedit.msc
→ Конфигурация компьютера → Административные шаблоны →
Система → Отключить автозапуск → Включен «на всех дисководах».
Препятствование проникновения Autorun-червей на съемные носители может достигнуто двумя
методами: аппаратным и программным;
Аппаратный метод подразумевает использование
съёмных носителей с возможностью защиты от записи (write-protect). Достаточно
защищенными от проникновения вирусов являются некоторые модели флешек с
аутентификацией по отпечатку пальца (Fingerprint access) — такая защита вызвана
особенностью архитектуры подобных флешек, поскольку у них уже существует файл «autorun.inf»,
обеспечивающий запуск приложения аутентификации, и удалить его стандартными
средствами невозможно. Такой метод эффективен только тогда, когда требуется
перенести файлы с незаражённого компьютера на потенциально опасный компьютер. В
случае необходимости записи на съёмный
носитель эту защиту придётся отключить, что в свою очередь даст возможность
записаться червю на данный носитель.
Программный метод заключается в использование
портативного программного обеспечения позволяющего запретить создание
зловредного «autorun.inf». Такой программой
является Panda USB and AutoRun Vaccine. Файл «autorun.inf», создаваемый ею на съёмном
носителе (дабы предотвратить создание такого файла вирусом) невозможно ни
удалить, ни переименовать. Данный метод запрещается применять для защиты
съёмных носителей, использующих возможности autorun (например, с доступом по
отпечатку пальца).
Autorun-черви опасны, но с ними можно эффективно бороться
и предотвращать их массовое распространение используя выше перечисленные
методы.
Литература:
1.
Касперски К.
Компьютерные вирусы изнутри и снаружи. – СПб.: Питер, 2006. -507 с.: ил.
2.
Касперски К. Записки
исследователя компьютерных вирусов. – СПб.: Питер, 2005. -507 с.: ил.
3.
http://www.siteguard.ru/p26.html