Zabezpieczenie przed infekcją z pendrive'a

Dla specjalistów Bezpieczeństwo
#1

Być może wątek w niezbyt odpowiednim dziale…

Jak można się zabezpieczyć przed infekcją z pendrive’a (WinXP PRO SP2 oraz Home SP2) ? Komputer nie jest zainfekowany (natomiast pendrive - tak). Czy wyłączenie autoodtwarzania na wszystkich dyskach wystarczy ? Zakładam, że samodzielnie nie uruchomię wirusa, np. przez kliknięcie na jego pliku wykonywalnym na pendrive’ie. Spotkałem się z różnymi opiniami wg tego artykułu można przypuszczać, że tak:

http://www.searchengines.pl/lofiversion … 94761.html

natomiast według tego wątku - nie:

http://forum.gazeta.pl/forum/72,2.html? … a=77224766

Jest to pytanie typu “lepiej zapobiegać niż leczyć”.

#2

hmm… ja złapałem amvo po podpięciu pendrive kolegi, który nie pochwalił się że przechowuje na swojej pamięci takie prezenty… walczyłem walczyłem ale się udało. Lepiej zapobiegać niż leczyć - nie podpinaj “obcych” pamięci, staraj sie mieć aktualne bazy antywirusowe i antyspyware. Jeśli zaraziłeś sie jakimś niefajnym “czymś” dysk przeskanuj i sformatuj go. Po tym zabiegu, sprawdź także ponownie swój dysk - mogłeś mieć pecha i Twój komputer się zaraził. Użyj nie tylko Antywirusa ale, ComboFix, HijackThis i jakiegoś z programów typowo przeciw spyware.

#3

Wyłącz autodtwarzanie jak tak mam zrobione i jeszcze nie zlapalem wirusa ale zawsze jak podejrzewam ze cos mi wlazlo na pendriva to od razu po włożeniu do kompa robie format bo chyba inaczej nie da rady żeby nie przeniść tego syfu na komputer??

#4

Tak, wyłączenie Autoodtwarzania wystarczy :slight_smile:

Picasso (która pisała ten artykuł) jest jednym z najlepszych specjalistów :slight_smile:

#5

Pozwolę sobie odświeżyć temat. Natknąłem się na następujący wątek:

http://archives.neohapsis.com/archives/ … /0250.html

Czyli jeśli dobrze zrozumiałem to wyłączenie autoodtwrzania nie rozwiąże sprawy ?

To może odebrać użytkownikom i systemowi prawo do zapisu gałęzi:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

http://techrepublic.com.com/5208-6230-0 … ID=2319929

Zrobiłem jeszcze jeden prosty eksperyment:

na płytę cd skopiowałem notatnik, zmieniłem mu nazwę na test.exe, zatem w przypadku wykonania powinno wyskoczyć puste okno notatnika.

utworzyłem plik autorun.inf z następującą zawartością:

[autorun]

open=test.exe

shellexecute=test.exe

Wszystko to nagrałem na płytkę (w katalogu głównym) OK, po włożeniu płyty dodają się do rejestru nowe gałęzie:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5751c0c3-ffe9-11db-98ab-806d6172696f}\Shell\AutoRun\command

a w niej wpis (jako wartość domyślna):

C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL test.exe

Jeśli przeglądamy nośniki korzystając z “Mój komputer”, to dwukrotne kliknięcie ikony napędu spowoduje wykonanie pliku, czyli tu - otwarcie pustego okna notatnika.

Jeśli zaś korzystam z Eksploratora Windows (zrobiłem sobie skrót: C:\WINDOWS\explorer.scf)

to wyświetlenie zawartości płyty odbywa się przez jednokrotne kliknięcie na ikonie napędu, a plik test.exe (czyli mój notatnik) już nie jest otwierany.

Po wyjęciu płyty wpisy znikają.

Pokombinuję jeszcze z prawami zapisu w gałęziach o których pisałem wcześniej, może się to komuś do czegoś przyda.

Podejrzewam, że z nośikami USB będzie sytuacja bardzo podobna.