Nový virus útočí na USB

Mam Noda, nebojim se..

Musím upozornit, že i když vypnete autorun, nejste za vodou.
Staci pak otevrit Tento pocitac a 2x kliknout na flashdisk. Pokud je na nem autorun.inf a v nem odkaz na spustitelny soubor, tak se to spusti, i kdyz mate vyply autorun ve windows.
Na tomto se svyho casu hodne vyradil vir znamy pod nickem Recycled. Vytvarel na kazdem flasdiku autorun.inf s odkazem na exac nazvany priznacne ctfmon.exe, ktery byl ulozenej ve skrytem adresari Recycled (take velmi napadite) :)

Což jen potvrzuje to, proč používat např. Total Commander nebo jiné místo debilních explorerů.

Pokud mam flashku, o kterou se bojim, co tam vytvorit prazdny soubor "autorun.inf" a nastavit ho jen pro cteni? Muze to ten vir prepsat? Pokud ne, tak by teoreticky Windowsy mely nahlasit pokus o prepsani souboru tim virem. Zkousel jste to nekdo? (nastesti) nemam k dispozici nakazenej pocitac :)

Tak si zkuste na flash dát tento soubor autorun.inf (do rootu):
[autorun]
action=Salaman!
Open=Salaman.exe
icon=Salaman.exe, 2
---------------------------
....a pak stačí jen potvrdit...

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5



-- Tohle dejte do obyčejného text souboru bez formátování a ten soubor pojmenujte třeba "autorun.reg". Pak na ten soubor 2x poklepejte.
-- Někteří lidé jsou tu fakt tak pitomý, že nevím jestli nemám připsat aby si nejdřív zapnuli počítač.

POZOR: ZIVE mi tam přidalo mezeru v slově CurrentVersion. Smažte ji aby to fungovalo....

Ahoj,
tak jsem to zkusil a objevila se hlaska: "Zadany soubor neni skript registru. Z editoru registru lze importovat pouze binarni soubory registru."
Pripada mi to jako fajn cesta, v registrech se ted hrabat nechci, tj. co je v prikazu spatne? Diky

Dobrý vtip...
Pokud to náhodou nebyl vtip, tak vrať státu školné za ZŠ, protože neumíš číst, jen psát.

Aaaa, bohuzel to vtip nebyl... Uz je mi to jasny a vsechno pekne funguje. Diky

Nahrad prvni radek prikazem REGEDIT4

hodnota "b5" vypíná autorun pro výměnné a síťové disky, pro všechny disky se jednoduššeji pamatuje "ff"

textový .reg soubor z ascii editoru importuju se záhlavím regedit4 (a taky exportuju z registrů ven, regedit5 má jiný formát). protože však živě nezná tag [code], nemá smysl to tu uvádět, a hodnotu v registrech radši opravit ručně.

taky si počtěte u m$, jak nastavovat hodnotu v registrech jen pro konkrétní účet (HKCU), nebo pro všechny uživatele (HKLM): http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/91525.mspx?mfr=true

Linuxáci závistí vymýšlí neustále nějaké viry,aby poškodily windowsy.

a vzhledem k počtu existujících virů to vypadá, že se jim daří a že to není nic težkého

Jistě
A jak je vidět, velice se nám to daří

Typicky premysleni ala microshout: misto umozneni snadneho zruseni vsech autorunu [ne pres gpedit, ne pres registry, ne pres tweakui] budou vymyslet nove uzasne tluste multifunkcni programy, ktere budou potrebovat dalsi kvantum pameti a cpu. Rofl.

A co si myslis, ze takovy tweakui a gpedit udela?
Zapise hodnotu do registru Takze jedina spravna cesta bez gui jsou registry

Vsak GUI ano, ale 'pro lamy'. Tj. napr. nejaka polozka v Ovladacich panelech.

Ano Linux je v tomto směru mnohem bezpečnější. Ten zhusta ani připojenou flešku neidentifikuje.

di ty brepto, v linuxu se mi jen jednou stalo, že jsem na flashku nemohl zapisovat SVOJE data, data z té flashky zkopírovaná na disk tam zátky zkopírovat šly - nevím proč, asi nějaký problém s právy - to se mi stalo JEDNOU, jinak připojení jakéhokoli USB (flashka, externí disk 320 Gb, foťáky, mp3 přehrávače) bylo naprosto v pohodě

oproti tomu jsem třikrát zažil, že XP odmítly flashku brát - prostě ji nedetekovaly a při tom na jiném počítači s XP běžely

Ty jsi mi taky expert...
Flashka na XP se neinicializuje správně poprvé pokud uživatel pracuje pod user právy a do té doby nebylo inicializované USB storage.
Lék je přihlásit se jako administrator a flashku připojit nebo cokoliv jiného s "diskem" na USB, pak už to jde. Bohužel je to nějaké asi myšlenka zabezpečení nebo spíš chyba...
Stává se většinou v PC v sítích, kde se vše řídí přes doménovou politiku.
Musím ale říct, že v posledním půlroce jsem se s tím nesetkal, asi to MS opravil.

já jsem netvrdil, že jsem expert přes XP, jen jsem popisoval svoji zkušenost. Ve finále je mi to spíš buřt, jen mě to překvapilo.

No jo no...
Tady jeden nevím, co čekat za úroveň.

teď nevím, jestli Tě mám poslat do p*dele, nebo ne

Záleží na úhlu pohledu a na úhlu dopadu...

lék je přihlásit se jako administrátor? To může být u spousty firemních počítačů docela velký problém. Ale asi to MS opravdu opravil, nikdy jsem se s tím nesetkal a to mám v práci pouze User práva.

Bohužel, bylo to tak, když někdo chtěl připojit foťák, tak jsem tam musel zajít, a poprvé mu ho připojit pod adminem, pak už nebyl problém.

připojit pod adminem ... - obdobne jsou tak pro bezneho USERa nastaveny i palirny - Utilitka od NERO od odstranuje jednoduse - NeroBurnRightsInstaller.exe - ale jen pro CD/DVD, pro digi-fotaky neznam.

A nebo je taky mozne pouzit Tweak UI, ve kterem jde nastavit spousta veci,, mimojine vypnuti autorunu, a funkce ktera me osobne pekne dlouho otravovala tzv. autoplay (co chcete delat s diskem" kdyz vlozim CD/DVD, FLASH. Ten program doporucuju hlavne v XP home bo tam neni nastroj pro zpravu zasad skupin a v registrech to hledat je kolikrat docela sranda :)

no na zablokovanie autorunu z CD/DVD staci v XP stlacit pocas inicializacie SHIFT. mozno zabere aj na USB :)

A když ho podržíte déle než pět vteřin, tak to berou widle jako pokyn k zapnutí filtrování kláves a nadělá to víc škody než užitku :D

to se týká pravého shiftu, nikoliv toho levého...

Již vyšel ve vaších balících pro Flash Disky 128, 256 a 512 nějaky Antivirus?!
Jak tomu zabránít aby se vůbec na ten disk něco dostalo...

vypnout ten stupidní autorun...

Takže když přijdu ke kamošovi a nechci si od něho domu donest nějakou havět (kdo vi kde co nachytal , nemám přehled co má v PC) na disku tak před strčením Flashky bude stačít vypnout Autorun v jeho PC?! A nasledně v každem PC kde chci strčit Flashku?! Teda pkud již není INFIKOVÁNA

Nemusí, být vůbec, na tom, USB, Disku, ale nejdřív, ten soubor AUTORUN.INF, aby se ten, AUTO-RUN, třeba u toho Flash-Disku, v Operačním systému Microsoft WINDOWS XP Proffesional SP2, asi nějaká verze CZ, vůbec, spustil? Já myslím, že jo, já si myslím, že když, je soubor, AUTORUN.INF, třeba na Disketě, tak funguje, AUTORUN, i na disketě, snad, ale myslím, že se musí, povolit, AUTORUN, u FlashDisků, a Disket, snad, v nějakém speciálním programu, jinak, snad ani, v Operačním systému Microsoft WINDOWS XP Proffesional SP2 CZ, snad ani nefunguje, prostě no!

proč píšeš jak piča?

to, je , Ladík, prostě no!

Ladikovi: mas silenou vetnou skladbu! Sazis carky nesmyslne, jako bys na text sypal cajove listky. Pis v bodech, pokud to jinak neumis. Treba budou ty tve nesmysly aspon gramaticky spravne.
Myslim to dobre, toto neni hanopis. Pis radsi jednoduche vety. Neumis delat souveti.

Takže když přijdu ke kamošovi a nechci si od něho domu donest nějakou havět (kdo vi kde co nachytal , nemám přehled co má v PC) na disku tak před strčením Flashky bude stačít vypnout Autorun v jeho PC?! A nasledně v každem PC kde chci strčit Flashku?!
Teda pkud již není INFIKOVÁNA

no důležitý je vypnout si autorun u sebe , aby se při připojení potencionálně zavirovanýho USB disku do tvýho PC nic nespouštělo
z hlediska přenosu viru z kámošova PC na tvůj USB disk je jedno, jestli má on autorun povolený nebo ne.

To je pokud se nepletu na běžné instalaci WXP docela složité, protože dementní Widle si to nepamatují. Abys mohl vypnout autorun, musí být ta jednotka dostupná, čili musíš nejdřív vložit vlastní prověřenou flashku, vypnout na ní autorun, vrazit druhou a co na tebe nevykoukne...? Prostě Widle si pamatují nastavení jen pro konkrétní model a možná i kus a USB port, jak se cokoliv změní, nastavení se resetuje.

po pár letech na tom stupidním, pitomým, nefunkčním, hnusným, složitým, zbastleným linuxu se nestačím divit, co je všechno možný

to windows neumí něco jako noexec?

To nevím, co je, rozumím výhradně Windows.
Ovšem kdybych měl vypisovat, co tento systém nezvládá (i kdyby šlo jen o zjevné logické chyby a nedodělky), měřil by tento příspěvek metr. A navíc by mi ho asi pan Waic smazal.

jde o to, že je možné nastavit nějaké oddíly (třeba home - ten obsahuje uživatelská data) tak, aby nebylo možné spouštět programy v nich uložené - třeba email s přílohou worm+backdoor.exe v něm nespustíš.

Samozřejmě programy nainstalované v systému spustíš (pokud k nim máš přidělená práva)

Díky, zase jsem chytřejší.

Ono to mount -o noexec,nosuid apod v tom "geniálním" Linuxu funguje poněkud Microsoftově, to jest blbě- jen na binárky. Trojánek napsaný v shellu bude samozřejmě vesele běhat i na noexec oddílu...

No kupodivu neumí

Myslim, ze na NTFS umi.

noexec?
Jak nastavíme na flash disk s NTFS?
Wokna mají nějaký FSTAB? Od kdy?

1) Flag "execute".
2) Stejne jako FAT32.
3) Nemaji a ani to k nicemu nepotrebuji.

To byla spíš jedna otázka rozdělená na tři části.

Takže se nechám poučit, jak přinesený FLASH disk (FAT32) od někoho připojím k PC aniž bych se musel obávat spuštění zavirovaného souboru (pomiňme antivir)?
Jak windows donutit, aby si namountovali flash disk s noexec flagem?
Předpokládám standardní instalaci Windows.

1) Na FAT32 to pochopitelne nedokazete.
2) Neni potreba je nejak zvlast presvedcovat, staci mit na NTFS formatovanem flashdisku nastavena prava tak, aby na nem nebylo pro soubory pravo X. Bohuzel vzhledem k tomu, jak Windows oznacuji uzivatele, to je prakticky realizovatelne jen pro uzivatele Administrator a pro standardni skupiny (Administrators, Power Users, Users).
3) S instalaci Windows to nijak nesouvisi, zalezi vyhradne na tom, jak je nastaven filesystem na flashdisku.

FAT/FAT32 je na všech flash discích, které koupíte, pochybuji, že tam je někdy NTFS. :)

Aha, takže zase ten administrator účet. :)
S instalací si myslím, že v případě NTFS to souvisí, při instalaci se totiž vytváří jedinečné SID pro systémové účty a systém jako takový a pak když takto nastavíte opravnění na NTFS disku, tak ta práva nefungují na jiném systému. Systém má jiná SID pro účty.

Administrátor není to samé jako ROOT, který má absolutní vládu nad systémem. Divné ne? :)

Jediná možná cesta je ihned po instalaci zakázat autorun. :/
Tohle ale bohužel není standardní nastavení systému po instalaci.

<i>"S instalací si myslím, že v případě NTFS to souvisí, při instalaci se totiž vytváří jedinečné SID pro systémové účty a systém jako takový a pak když takto nastavíte opravnění na NTFS disku, tak ta práva nefungují na jiném systému. Systém má jiná SID pro účty."</i>

Proto pisu, ze to prakticky je pouzitelne jen pro administratora a pro standardni skupiny (protoze u tech je vzdy stejne SID).

<i>"Jediná možná cesta je ihned po instalaci zakázat autorun. :/
Tohle ale bohužel není standardní nastavení systému po instalaci."</i>

U USB je. Tvrdi Microsoft a rada dalsich zdroju, viz jeden muj prispevbek vyse.

Takze se shodneme na tom, ze bez bastleni je to nepouzitelne

A co takhle pri pripojeni flashdisku podrzet SHIFT a tak zabranit autorunu, jako u CD???

Taky me to napadlo. Staci podrzet Shift pri pripojeni a pristupovat pres nejaky commander a je vyreseno. A my co pouzivame autorun treba pro Truecrypt si prirozene davame pozor kam co strkame

noexec copak je to pekneho?

neumí...
Na první pohled je systém oprávnění vypadá nabušeně a komplikovaně, ale opravdu vychytávky co jdou ve FSTAB Wokna neumí.
Na právech v linuxu se mi líbí, že jsou jednodušší a přehledná. Méně znamená v tomto případu více.

Haha, jsem se zas po ranu pobavil

start-spustit-
gpedit.msc
konfigurace uzivatele-sablony pro spravu-system

vypnout automaticke prehravani
-zvolit volbu: povoleno

a automaticke prehravani ma smolika.

Na USB discích nefunguje, máš smolíka.

Proc by to nemelo fungovat?
To se autorunem nemysli to krasne okno co vyskoci kdyz clovek vlozi CDcko a tak?

Tak beru zpět, zdá se, že to funguje, i když jaksi podivně, poprvé se autorun na druhé FD spustil, pak už ne... Ovšem chudáci BFU a každý, kdo tato nastavení nemůže měnit. Dtto platí pro radu níže.

Neni az tak uplne pravda. V registrech je nastaveni, ktere rika, pro ktere typy disku se ma Explorer o autorun pokouset. Tohle by melo vypnout autorun pro vsechny disky:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000f f

Konečně první kloudná odpověď .. už jsem si myslel, že je to tady mezi uživateli Windows spolek samých lam
Např.na Linuxu jde nastavit zákaz spouštění třeba příkazem chmod a+rw-x /adresar, jde to snadno i z grafického prostředí

O té možnosti se mezi zkušenějšími uživateli samozřejmě ví, problém mají především ti, pro které chlapci z Redmontu Windows vymysleli - prostí uživatelé.

Chyba....tim jen zakazes prochazeni adresare. Atribut x ma v pripade adresaru jiny vyznam.
Kdybys do sveho prikazu zahrnul -R, nebylo by mozne soubory spoustet. Ovsem i adresar samotny pak neni mozno prochazet.

Jo, kolego, není nad to, když radu k linuxu dává někdo, kdo tomu nerozumí. Nastavení práva x na adresáři ovlivňuje jen to, jestli se do něj dá cdčknout, nikoli spouštění souborů v něm (a ke spuštění není nutné se do adresáře CDčkovat, stačí, když je k adresáři právo r, aby systém zjistil, kde cílový soubor hledat); dále: unixová práva nefungují jak na Novellu či aspoň na těch woknech: nejde tam nastavit maska, která se bude propagovat/dědit směrem dolů v rámci adresářové struktury. ACL či podobné vychytávky nepočítám, bavíme se o standardních unixových právech. A vir by si při zápisu na médium samozřejmě v samotném virovém souboru vždy nastavil práva na rx pro všechny... Navíc pro úplné lamy by si vir nastavil i suid a sgid a vlastnictví na roota, takže by měl při spuštění plná práva k počítači, i kdyby lama náhodou pracovala pod běžným uživatelským účtem. Holt spouštění "libovolných" souborů je na unixu ještě nebezpečnější než pod windozema, pokud je uživatel úplná lama a někdo mu chce uškodit...

Tohle funguje dobře. Doporučuji.

"uloží soubor pro automatické spouštění a instalaci do systému" <-- To jde?

autorun ne?

Pokud vim, tak za normalnich okolnosti berou Windows na autorun.inf ohled jen u CD/DVD medii, ne u flashdisku.

No tak to jsi naprosto mimo...

Tak si precteme, co rika napriklad takovy Microsoft:
http://www.microsoft.com/whdc/device/storage/usbfaq.mspx
(zhruba v 60% stranky u otazky "Q: What must I do to trigger Autorun on my USB storage device?"

Nebo radsi nekoho jineho, protoze zly satan Microsoft urcite lze?
http://www.frontpagewebmaster.com/m-229119/tm.htm#229119
http://labnol.blogspot.com/2006/02/enable-autorun-in-usb-flash-pen-drives.html

Nepouzivani autorun na standardnich USB je mimochodem duvod pro existenci "uzasneho" "standardu" U3, kde se cast flashdisku tvari jako CDROM prave proto, aby se na ni ten autorun spoustel.

Spustí se i na zrovna ručně mapovaném síťovém disku, když je zrovna ve sdílení autorun.inf.
Jo wokna, to je věc. :)