Установка вируса с флешки



USB-гигиена

Чистим зубы, моем руки, предотвращаем заражение флешек.

12 августа 2013

Вы наверняка помните об угрозах, которые поджидают вас в темных уголках Интернета и грозят заразить ваши цифровые устройства. От фишинга до вредоносных сайтов, открывающихся после клика на заманчивые баннеры – веб-серфинг несет угрозы тем, кто не защищается надежным антивирусом.

Но значит ли это, что отключение Интернета решает все проблемы? Увы, нет. Фактически, около 30% компьютерных инфекций распространяется через съемные носители, такие как карты памяти и USB-флешки. Мы пользуемся ими достаточно часто, если нужно отнести родителям пачку фотографий из отпуска или скопировать рабочие документы у коллеги. Таким образом, один и тот же носитель оказывается подключенным по очереди к самым разным компьютерам и становится прекрасным кандидатом на разнос заразы.

30% компьютерных инфекций распространяется через съемные носители, такие как карты памяти и USB-флешки.

В 2012 году были обнаружены компьютерные вирусы на двух американских электростанциях, весьма тщательно изолированных от Интернета. Как выяснилось, причиной стала халатность одного из работников, самовольно принесшего какие-то файлы из дома и подключившего зараженную флешку к рабочим компьютерам. Катастроф к счастью не произошло, но одна из электростанций частично простаивала три недели. Хотя этот случай можно назвать экстремальным, он наглядно иллюстрирует, как маленькое устройство может причинить большой вред. Также упомянутый инцидент вероятней всего был случайностью, но известны и случаи целенаправленной атаки на компании при помощи зараженных флешек. В этом случае злоумышленник «забывает» несколько флешек с вирусом в общественных местах, где часто бывают сотрудники (идеальный вариант – столовая в офисе), в небеспочвенной надежде, что жадность и любопытство помогут проникнуть хоть в один рабочий компьютер. Что касается «коммерческих» вредоносных программ, то они распространяются классическим образом – работая на компьютере, они определяют ситуацию «подключен съемный диск» и немедленно записывают на него свою копию. Это может быть эксплуатация уязвимости автозапуска или просто зараженные файлы – в результате вирус оказывается на новом компьютере.

Чтобы избежать всего перечисленного, достаточно следовать нескольким нашим советам. Они помогут держать компьютер и свои флешки в чистоте.

Настройте свою ОС так, чтобы ничего не запускать с USB. Хотя в свежих версиях Windows автозапуск по умолчанию отключен, эта функция никуда не делась, и небольшой риск есть даже в автозапуске медиаконтента, не говоря уже о приложениях. Отключите автозапуск приложений, как следует подумайте, нужно ли вам запускать видео и музыку, или это можно сделать вручную. Нужная настройка скрыта в Windows скрыта по адресу «Панель управленияОборудование и звукАвтозапуск».

Проверяйте съемные диски антивирусом. Как сделать это автоматически, было написано в нашем совете.

Обновляйте операционную систему и приложения. Когда ОС говорит «Доступны обновления», не тянитесь к крестику закрытия окна. «Заплатки» как правило закрывают бреши в системе безопасности, делая невозможным заражение вашего компьютера через уязвимости. В нашем случае наиболее важны заплатки в системе автозапуска (autorun), предотвращающие несанкционированный запуск программ с подключенного накопителя.

Не копируйте программы. Они могут быть заражены, изменены, неработоспособны… в этом даже не стоит разбираться. Если вам понравилась программа у приятеля – запишите имя и скачайте ее с официального сайта.

Разделяйте работу и отдых. Поскольку емкие флешки сегодня стоят сущие, копейки, очень грамотным решением будет использовать разные накопители для дома и офиса. Обменивайтесь файлами с друзьями при помощи одной флешки, а на рабочих компьютерах пользуйтесь другой. Переносить файлы между своими рабочим и домашним компьютером вообще не рекомендуется, но эта задача, если уж возникла, достойна третьей флешки.

Регулярная уборка. Для защиты от вирусов, а также просто сохранения личных данных личными, всегда удаляйте все файлы с флешки, после того как скопировали их на компьютер. Можно даже ее форматировать, это избавляет от лишних размышлений о том, что за данные сохранены и нет ли там чего-нибудь эдакого…

Ну и конечно, надежная защита компьютера является необходимым условием вашего спокойствия и безопасного применения съемных дисков.

Источник

Загрузочные антивирусные диски и USB

Загрузочные антивирусные диски

Большинству пользователей знакомы антивирусные диски, такие как Kaspersky Recue Disk или Dr.Web LiveDisk, однако существует большое количество альтернатив почти у каждого ведущего производителя антивирусов, о которых знают меньше. В этом обзоре расскажу об уже упомянутых и о малознакомых российскому пользователю антивирусных загрузочных решениях и о том, как они могут быть полезны при лечении вирусов и восстановлении работоспособности компьютера. См. также: Лучший бесплатный антивирус.

Сам по себе загрузочный диск (или USB флешка) с антивирусом может потребоваться в тех случаях, когда обычная загрузка Windows или удаление вирусов невозможны, например, если вам нужно убрать баннер с рабочего стола. В случае загрузки с такого накопителя, антивирусное ПО имеет больше возможностей (благодаря тому, что системная ОС не загружается, а доступ к файлам не блокируется) для решения возникшей проблемы и, кроме этого, большинство из таких решений содержат дополнительные утилиты, позволяющие восстановить работу Windows вручную.

Kaspersky Rescue Disk

Интерфейс Kaspersky Rescue Disk

Бесплатный антивирусный диск Касперского — одно из самых популярных решений для удаления вирусов, баннеров с рабочего стола и другого вредоносного программного обеспечения. Помимо самого антивируса, Kaspersky Rescue Disk содержит:

  • Редактор реестра, что очень полезно для исправления многих проблем с компьютером, необязательно связанных с вирусами
  • Поддержку сети и браузер
  • Файловый менеджер
  • Поддерживается текстовый и графический интерфейс работы

Этих инструментов вполне достаточно для того, чтобы исправить если не все, то очень многие вещи, которые могут мешать нормальной работе и загрузке Windows.

Скачать Kaspersky Rescue Disk вы можете с официальной страницы http://www.kaspersky.ru/virus-scanner, загруженный ISO файл можно записать на диск или сделать загрузочную флешку (используется загрузчик GRUB4DOS, для записи на USB можно воспользоваться WinSetupFromUSB).

Dr.Web LiveDisk

Антивирус Dr.Web LiveDisk

Следующий по популярности загрузочный диск с антивирусным ПО на русском языке — Dr.Web LiveDisk, скачать который можно с официальной страницы http://www.freedrweb.com/livedisk/?lng=ru (для загрузки доступен файл ISO для записи на диск и файл EXE для создания загрузочной флешки с антивирусом). Сам диск содержит антивирусную утилиты Dr.Web CureIt, а также:

  • Редактор реестра
  • Два файловых менеджера
  • Браузер Mozilla Firefox
  • Терминал

Все это представлено в простом и понятном графическом интерфейсе на русском языке, который будет прост для неопытного пользователя (а опытный будет рад набору утилит, на нем содержащихся). Пожалуй, также как и предыдущий, это один из лучших антивирусных дисков для начинающих пользователей.

Автономный защитник Windows (Microsoft Windows Defender Offline)

Антивирус Windows Defender Offline

А вот о том, что у Microsoft есть собственный антивирусный диск — Windows Defender Offline или Автономный защитник Windows, мало кто знает. Загрузить его можно с официальной страницы http://windows.microsoft.com/ru-RU/windows/what-is-windows-defender-offline.

Загружается только веб-установщик, после запуска которого вы сможете выбрать, что именно следует сделать:

  • Записать антивирус на диск
  • Создать USB накопитель
  • Записать ISO файл

После загрузки с созданного накопителя, запускается стандартный Windows Defender, который автоматически начинает проверку системы на вирусы и другие угрозы. При попытке запустить командную строку, диспетчер задач или что-то еще каким-либо образом у меня ничего не вышло, хотя, как минимум командная строка была бы полезна.

Panda SafeDisk

У известного облачного антивируса Panda также есть свое антивирусное решение для компьютеров, которые не загружаются — SafeDisk. Использование программы состоит в нескольких простых шагах: выбрать язык, запустить проверку на вирусы (найденные угрозы удаляются автоматически). Поддерживается онлайн обновление антивирусной базы.

Антивирусный диск Panda

Скачать Panda SafeDisk, а также прочесть инструкцию по использованию на английском можно на странице http://www.pandasecurity.com/usa/homeusers/support/card/?id=80152

Bitdefender Rescue CD

Bitdefender является одним из лучших коммерческих антивирусов (см. Лучший антивирус 2014) и у разработчика также имеется бесплатное антивирусное решение для загрузки с флешки или диска — BitDefender Rescue CD. К сожалению, поддержка русского языка отсутствует, однако большинству задач по лечению вирусов на компьютере это не должно помешать.

Интерфейс BitDefender Rescue CD

По имеющемуся описанию, антивирусная утилита обновляется при загрузке, включает утилиты GParted, TestDisk, файловый менеджер и браузер, а также позволяет вручную выбирать, какое действие применять к найденным вирусам: удалить, вылечить или переименовать. К сожалению, мне не удалось загрузиться с образа ISO Bitdefender Rescue CD в виртуальной машине, но думаю, проблема не в нем, а именно в моей конфигурации.

Скачать образ Bitdefender Rescue CD можно с официального сайта http://download.bitdefender.com/rescue_cd/latest/, там же вы найдете утилиту Stickifier для записи загрузочного USB накопителя.

Читайте также:  Сколько стоит установка железного забора вместе с трубами

Avira Rescue System

Антивирусный диск Avira

На странице http://www.avira.com/ru/download/product/avira-rescue-system вы можете загрузить загрузочный ISO с антивирусом Avira для записи на диск или исполняемый файл для записи на флешку. Диск построен на базе Ubuntu Linux, имеет очень приятный интерфейс и, помимо антивирусной программы, Avira Rescue System содержит файловый менеджер, редактор реестра и другие утилиты. Антивирусную базу можно обновить по Интернету. В наличии и стандартный терминал Ubuntu, так что при необходимости вы можете установить любое приложение, которое поможет восстановить работу компьютера с помощью apt-get.

Другие загрузочные диски с антивирусами

Я описал самые простые и удобные варианты антивирусных дисков с графическим интерфейсом, не требующие оплаты, регистрации или наличия антивируса на компьютере. Однако есть и другие варианты:

  • ESET SysRescue (Создается из уже установленного NOD32 или Internet Security)
  • AVG Rescue CD (Только текстовый интерфейс)
  • F-Secure Rescue CD (Текстовый интерфейс)
  • Trend Micro Rescue Disk (Тестовый интерфейс)
  • Comodo Rescue Disk (Требует обязательной загрузки определений вирусов при работе, что не всегда возможно)
  • Norton Bootable Recovery Tool (нужен ключ любого антивируса от Norton)

На этом, думаю, можно закончить: итого набралось 12 дисков для спасения компьютера от вредоносных программ. Ещё одно очень интересное решение такого рода — HitmanPro Kickstart, однако это немного другая программа, о которой можно написать отдельно.

Источник

Защищаем флешки от вирусов — легкий способ

Пожалуй, это самый «заразный» способ передачи вирусов между компьютерами, потому что он действует даже при отключенном интернете. Причем на отрезанных от Всемирной Сети компьютерах ситуация ухудшается из-за того, что антивирусы и Windows не получают своевременных обновлений для своей защиты.

Проблема решается относительно легко с помощью бесплатной xUSB Defenc. Она поможет восстановить удаленные вирусом папки с флешки (на самом деле просто скрытые) и будет автоматически очищать флешки от некоторых типов вирусов.

Симптомы вирусов на флешках

Симптомы весьма разнообразны, так как вирусов бесчисленное множество. Вот наиболее распространенные из них:

  • Наличие файла autorun.inf на флешке.
  • Появление папки Recycler на флешке.
  • Вместо папок появились ярлыки или программы с именами папок.
  • Исчезают папки и файлы с флешки, хотя вы их не удаляли.
  • Флешка не хочет «безопасно извлекаться» — появляется ошибка, говорящая о занятости устройства.
  • При открытии флешки появляется окно с ошибкой.
  • При открытии папок окна с содержимым этих папок появляются в новом окне.

Все это и многое другое может говорить как о том, что на флешке похозяйничал вирус, так и о том, что на вашем компьютер этот вирус запущен.

Как происходит заражение — что делает вирус

Типичное поведение autorun-вируса:

  1. Копирование себя в папку Recycler или куда-нибудь еще на флешке.
  2. Дублирование себя по всей флешке, называя его именами находящихся там папок (или создание ярлыков на свою копию, что почти одно и то же).
  3. Установка атрибутов «скрытый» и «системный» на файлы и папки, чтобы скрыть настоящие папки от взора пользователя и подсунуть свои копии или ярлыки на вирус вместо них (см. пункт 2).
  4. Создание файла autorun.inf в корневой папке флешки (той, которую вы видите, открыв флешку).

Если открыть такую псевдопапку или просто нажать по значку флешки в Моем компьютере, запустится вирус, который постарается прописать себя в системе. Запущенный вирус будет проверять, какие флешки вы вставляете в USB-порт компьютера и записывать себя на них.

Дополнительно вирус может отредактировать файл hosts (о починке файла hosts смотрите здесь), чтобы вместо ваших любимых сайтов появлялось требование отправить СМС. Также может выскакивать баннер на экране, опять-таки с требованием заплатить деньги или еще каким-либо угрожающим названием. Вирус может украсть пароли, введенные в браузере и других программах, а также другую полезную для злоумышленника информацию (такие вирусы называют «троянами»).

Почему эти вирусы так распространены

Причин здесь несколько. На мой взгляд, самая главная причина — пренебрежение антивирусной защитой. Чтобы защитить компьютер от угроз, надо не только установить антивирус, но и следить за обновлением его баз.

Вторая причина довольно печальна — использование пиратских версий Windows, в которых часто отключена возможность автообновления системы. Дело в том, что в Windows есть Центр обновлений, который загружает исправления, перекрывающие лазейки для вирусов. Например, в феврале 2011 года вышло обновление, запрещающее автозапуск для флешек, что лишило возможности размножаться вирусам, распространяющихся исключительно с помощью файла autorun.inf. Системы, где отключена проверка обновлений, не получат этой «заплатки».

Третья причина — невнимательность и незнание. Чтобы определить, что перед вами — папка или программа — достаточно навести стрелочку на значок и подождать. В появившейся подсказке будет важная информация о том, папка ли это или программа. Если программа маскируется под папку (имеет значок папки) — это наверняка вирус. Если на флешке остались одни ярлыки — тоже вирус.

Четвертая причина — вирусы для флешек очень легко создать. Любой человек, мало-мальски знакомый с программированием, способен написать такого зловреда. Меня печалит, что люди расходуют свой талант и ум во вред окружающим.

Борьба с autorun-вирусами

Autorun-вирусы появляются постоянно, практически ежедневно. Ни один антивирус, даже самый продвинутый, не способен вычислить всю новую заразу. Всегда проходит какое-то время до того, как вирус попадает в базу антивируса для опознания. Возникает резонный вопрос:

Что же делать? Как защитить флешку от вирусов?

Способов достаточно много, но я остановлюсь на самом простом для начинающего пользователя. Поэтому, например, ситуации корпоративного уровня я рассматривать не буду — системные администраторы знают множество способов защиты от вирусов, статья будет бесполезна для них. Я сосредоточусь на защите домашних компьютеров.

Существует несколько способов борьбы с autorun-вирусами:

  • Отказ от использования USB-портов и интернета. Конечно, это утопия. Точно так же можно было бы засунуть компьютер в бункер для сохранности. Домашнему компьютеру необходимы USB-порты и интернет, ведь это нужно его владельцу.
  • Запрет запуска всех программ с флешки. Довольно хороший вариант, но имеет существенные недостатки: такая настройка Windows будет сложна новичку, вирусы с флешки никуда не денутся, нельзя будет запускать безопасные программы.
  • Использование хорошего антивируса. К сожалению, даже всеядный Антивирус Касперского может «зазеваться», позволив вирусу запуститься. Это происходит потому, что у вируса может быть нетипичное поведение, которое не распознается защитой. К тому же после удаления вирусов скрытые зловредами папки остаются скрытыми.
  • Использование специальной программы для защиты от autorun-вирусов. Этот вариант обязательно должен использоваться вместе с предыдущим — с использованием полноценного антивируса. Специальная программа для защиты флешек от вирусов просканирует на наличие подозрительных файлов вставленную флешку и удалит вирусы (либо отправит в карантин). Также она восстановит скрытые файлы на флешке. К сожалению, если вирус уже запущен, то получится сизифов труд — вирус будет копировать себя на флешку, а программа — удалять. Причина использования вместе, а не вместо антивируса, очевидна.

Мой компьютер — моя крепость

Необходимо обеспечить максимально «прочную» защиту своего компьютера. Для этого необходим антивирус и программа для удаления вирусов с флешек.

Антивирус должен быть установлен, работать правильно

В первую очередь откройте настройки вашего антивируса и убедитесь, что нет никаких предупреждающих надписей. Базы должны быть обновлены, лицензия — работать. Если у вас не установлен антивирус, то вам придется его установить. Здесь я дал краткий обзор самых популярных бесплатных антивирусов. В случае отсутствия интернета на компьютере антивирус не сможет сам обновляться, что вполне логично. Почитайте справку вашего антивируса о том, как обновлять его базы вручную. Почти все антивирусы это умеют. Интернет, конечно, понадобится, но не обязательно на вашем компьютере

xUSB Defence — антивирус для флешек

Вообще-то таких программ много — Anti-autorun, Зоркий глаз, Autorun Eater, USB Disk Security и десяток-другой подобных. Я остановился на xUSB Defence по одной причине — она работает наиболее быстро и незаметно (хотя есть и проблемы), а также бесплатна. Официальная страничка программы здесь.

Программа маленькая — один мегабайт. Установка проста. После запуска программы появится значок в трее:

Щелчок левой кнопкой мыши открывает окно настроек, правой — меню. Настроек у xUSB Defence много, но их назначение понятно. Описывать нет смысла.

Остановлюсь на нескольких важных моментах:

  1. Программа может автоматически удалять либо переносить в папку карантина вирусы и прочие программы с флешек. Проблема в том, что папка карантина по умолчанию находится в C:Program FilesxUSB DefenceQuarantine. Это неправильно, потому что любая программа в Windows Vista, 7 и 8 не имеют прав для записи туда. Придется либо всегда запускать программу от имени администратора (что неудобно) или переназначить соответствующую настройку. А можно просто удалять или переименовывать подозрительные файлы — все это настраивается, решать вам. То же самое относится к опции записи лога.
  2. В программе есть опция Включить режим «Работа с документами». Когда стоит галочка на этом режиме, все файлы, кроме документов, с флешки удаляются. Будьте осторожны!
  3. xUSB Defence — не антивирус, а только дополнение к нему. Она не способна отличить вирусы от обычных программ! Все, что она делает — удаляет или обезвреживает файлы, исходя из их названия и расположения. Если вы храните программы на флешке, не настраивайте xUSB Defence на удаление.
  4. Приятная возможность — автоматическое снятие атрибутов «Скрытый» и «Системный» с файлов и папок. То есть программа «восстановит» скрытые вирусом папки и файлы. Cкрытые папки и файлы можно посмотреть и с помощью средств Windows — достаточно открыть Панель управления — Параметры папок — Вид и снять галочку с Скрывать защищенные системные файлы, выбрать Показывать скрытые файлы, папки и диски — OK. В случае использования xUSB Defence настраивать Windows не придется — программа будет автоматически восстанавливать скрытые папки на флешках.
Читайте также:  Переключатель открытой установки иэк

Я приведу скриншоты наиболее оптимальных, с моей точки зрения, настроек. Никакие файлы не будут удаляться, только переименовываться — это затруднит запуск вирусов и в то же время обезопасит нас от удаления чего-то важного. Скрытые вирусом папки и файлы будут восстанавливаться. Программа будет работать сама по себе, запускаясь при включении компьютера автоматически.

Вот мои настройки:

Вкладка

Вкладка «Общие» — настраиваем на автоматический режим работы

Вкладка

Вкладка «Защита USB» — сначала надо сдвинуть ползунок вверх до упора, затем установить галочки

Здесь и в следующих двух вкладках ничего не трогаем - все настроено наиболее оптимально

Здесь и в следующих двух вкладках ничего не трогаем — все настроено наиболее оптимально

После нажатия OK настройки закроются, xUSB Defence заступит на «боевое дежурство». После вставки флешки в USB программа будет сканировать флешку. Во время сканирования флешкой пользоваться можно, но лучше подождать хотя бы секунд 5- для сканирования этого времени хватит. Файлы, определенные как вирусы, помечаются расширением .#WARNING# в имени — если программа ошиблась, надо всего лишь переименовать файлы обратно.

Обратите внимание на то, что в настройках я снял галочку с пункта Сканировать в подкаталогах (Замедляет сканирование). К сожалению, если включить эту опцию, программа сначала лезет вглубь папок, разыскивая вирусы там. Это неправильное поведение, потому что в первую очередь надо сканировать корневую папку флешки — ту, что мы видим при ее открытии — чтобы обезвредить вирусы, вероятность запуска которых наиболее высокая. Так что учтите — если вам нужна максимальная защита, галку придется поставить, но будете ждать проверки флешки долго — до пяти минут.

Комбинация из работающего антивируса и настроенной программы xUSB Defence хорошо защитит компьютер от вирусов с флешек. К сожалению, хорошо — не значит идеально. Есть два грустных момента:

  1. Сканирование вирусов в подпапках в xUSB Defence поставлено из рук вон плохо. Проверка идет слишком долго, наиболее уязвимое место (корневая папка, показываемая при открытии флешки) проверяется в последнюю очередь. Впрочем, в остальных программах такого рода ситуация аналогична.
  2. Вирусы — это не только .exe файлы программ, но и макросы (подпрограммы) внутри обычных документов, интернет-страниц. Если первые обнаруживаются легко, для вторых нужен грамотно работающий антивирус. Пример вируса, распространяющегося через документ формата Microsoft Word.

Стопроцентной защиты от вирусов не будет никогда. Но можно добиться чего-то, близкого к этому. В этом вам помогут эта и остальные заметки на тему антивирусной защиты.

Настройка Arch Linux для хостинга сайтов с оптимизацией PageSpeed
Как бесплатно подключить Облако Mail.Ru через WebDAV
Настройка геймпада на ПК

Источник

Проникновение через USB

Как правило, большинство пентестов проводятся по довольно простой схеме. Сначала при помощи социальной инженерии обеспечивается доступ к целевой среде или ее отдельному звену, а затем производится ее заражение техническими средствами. Вариации проведения атаки могут быть разными, однако обычно классический пентест — это сплав технической части и социальной инженерии в самых различных пропорциях. Недостаток классического пентеста заключается в том, что надо «нащупать» того самого сотрудника и после этого переходить к следующему этапу. Если бы можно было автоматизировать процесс поиска слабого звена и его дальнейшую эксплуатацию, то это могло бы ускорить процесс пентестинга и значительно повысить конечные шансы на успех.

WARNING!

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Согласно известной статистике, приведенной антивирусными компаниями, около 30% пользователей не пользуются антивирусами, попросту отключают их или не обновляют базы. Отталкиваясь от этого, можно утверждать, что в любой среднестатистической компании найдется определенная группа людей, которая очень пренебрежительно относится к информационной безопасности, и, в свою очередь, именно этих людей целесообразно использовать для проведения атаки. Кроме того, любая функционирующая система может быть подвержена влиянию целого ряда случайных факторов, которые также могут временно парализовать систему безопасности:

  • слетели настройки прокси-сервера, из-за чего антивирусные базы не были обновлены;
  • закончился срок лицензии антивируса, а о ее продлении руководство вовремя не позаботилось;
  • сбой работы сети сделал невозможным удаленную распечатку файлов, из-за чего все сотрудники были вынуждены скопировать документы на флешку и распечатать их в другом отделе.

Достаточно только включить воображение, и можно добавить еще десяток вариантов развития событий. Резюмируя сказанное, можно утверждать, что в любой среднестатистической организации есть потенциально ненадежные сотрудники и иногда возникают обстоятельства, которые могут нарушить привычную работу и парализовать защиту. Поэтому если ударить в нужном месте в нужное время, то атака будет успешна.

Процентное соотношения компьютеров на наличие real-time защиты

Процентное соотношения компьютеров на наличие real-time защиты

Хакер #181. Вся власть роботам!

На деле задача сводится к следующему: определить, что в данный момент произошло одно из случайных событий, которое привело к снижению безопасности, а после этого воспользоваться данной ситуацией в качестве маскировки и незаметно осуществить атаку.

Фактически задача сводится к тому, чтобы найти человека, который забивает на безопасность, и почему бы не использовать для этого флешки?

Многие вирусописатели очень полюбили флеш-носители, так как они позволяют легко и быстро заражать компьютеры и даже самый элементарный USB-вирус имеет неплохие шансы на успех. Бум autorun-вирусов, который пришелся на 2008 год, спустя пять лет не сбавляет оборотов, более того, USB-вирусы стали еще наглее и порой даже не скрывают своего присутствия. И в то же время зараженная флешка — это универсальный индикатор грамотности ее владельца в вопросе элементарной ИБ. К примеру, если собрать десять флешек у различных людей, то наверняка у троих-четверых из них будут на флешках вирусы. Если спустя неделю повторно взять у этих людей флешки, то у двоих-троих вирусы останутся. Исходя из этого, можно утверждать, что на компьютерах, с которыми работают с данной флешки, не стоит даже самая элементарная защита или она по каким-то причинам отключена или не работает вовсе. Таким образом, даже если распространять самый заурядный вирус, который успешно детектится всеми антивирусами, только среди данной группы людей, то он сможет заразить большое количество компьютеров, прежде чем будет обнаружен. А раз эти компьютеры не имеют защиты, то также он долго сможет оставаться работоспособным.

Подверженность компьютерным угрозам исходя из наличия real-time защиты

Подверженность компьютерным угрозам исходя из наличия real-time защиты

Реализация

На определенный компьютер, к которому периодически подключают флешки, устанавливаем специальную программу, работающую по следующему алгоритму. При подключении очередной флешки программа пытается определить, заражена ли она. Так как нельзя учесть все многообразие USB-вирусов, то имеет смысл использовать эвристический подход определения заражения на основе следующих критериев:

  • наличие файла autorun.inf;
  • атрибуты файлов RHS;
  • малый размер подозрительного файла;
  • файловая система не NTFS;
  • отсутствие папки c именем autorun.inf;
  • наличие файлов ярлыков.

Если данная флешка заражена, то программа записывает ее в базу с указанием серийного номера и хеша подозрительного файла. Если спустя несколько дней флешка повторно подключается к этому компьютеру (а такое происходит почти всегда) и на ней все так же остаются подозрительные файлы, то производится ее заражение нашим «вирусом»; если же подозрительного файла не осталось, то программа удаляет из базы серийный номер этой флешки. Когда же заражается новый компьютер, вирус запоминает серийный номер материнской флешки и никогда ее не заражает и не анализирует, чтобы спустя время не выдать себя, если владелец флешки «поумнеет».

Читайте также:  Установка дверей цены коломна

Для получения серийного номера напишем следующую функцию на основе API GetVolumeInformation:

Надо отметить, что функция GetFlashSerial получает не статичный уникальный кодификатор устройства, а лишь серийный номер тома. Этот номер задается случайным числом и, как правило, меняется каждый раз при форматировании устройства. В наших же целях достаточно только серийного номера флешки, так как задача жесткой привязки не стоит, а форматирование подразумевает полное уничтожение информации, фактически приравнивая отформатированную флешку к новой.

Теперь приступим к реализации самой эвристики.

Алгоритм эвристической функции достаточно прост. Сначала мы отсеиваем все устройства с файловой системой NTFS и те, которые не содержат файл autorun.inf. Как правило, все флешки по умолчанию идут с файловой системой FAT32 (реже FAT и еще реже exFAT), однако иногда системные администраторы или другие сотрудники IT-отдела форматируют их в систему NTFS для своих нужд. «Умники» нам не нужны, их мы сразу исключаем. Следующим этапом проверяем файл autorun.inf на атрибуты «скрытый» и «системный». Файл autorun.inf может принадлежать и совершенно законной программе, но если в нем присутствуют данные атрибуты, то можно с очень большой вероятностью утверждать, что флешка заражена вирусом.

Сейчас многие вирусописатели стали реже использовать файл autorun.inf для заражения машин. Причин сразу несколько: во-первых, почти все антивирусы или пользователи отключают опцию автозапуска; во-вторых, на компьютере может быть несколько вирусов, использующих одинаковый способ распространения, и каждый из них перезаписывает файл на свой лад. Поэтому все чаще начал использоваться способ заражения через создание ярлыков и скрытие оригинальных папок. Чтобы не оставить и эти флешки без внимания, мы проверяем наличие файла ярлыка и наличие папки с таким же именем в корне тома. Если при этом папка также имеет атрибуты «скрытый» и «системный», то помечаем эту флешку как зараженную.

Конечно, эвристика имеет свои погрешности и нюансы, поэтому есть смысл ее тщательно проработать к конкретной задаче, однако в нашем случае можно со 100%-й вероятностью утверждать ее корректность.

Если с эвристическим анализом флешки все в целом ясно, то с «заражением» возможны нюансы. Например, можно попросту перезаписать старый вирус нашим без каких-либо поправок в файл autorun.inf, файлы, ярлыки и прочее. Таким образом, наш «вирус» получит управление на новом компьютере, но предварительно лучше также сделать старую копию вируса и сохранить в том же каталоге с чуть отличающимся именем. Если по каким-то причинам на другом компьютере будет работать антивирус, то он обнаружит старый вирус, удалит его, выдаст пользователю предупреждение об успешном уничтожении угрозы — и тем самым обеспечит ложное чувство безопасности у пользователя, а наш «вирус» останется незамеченным.

Кроме этого, в декабрьском выпуске «Хакера» мы также писали об уязвимостях DLL hijacking в различном ПО и о его эффективном применении. Поэтому если предполагается, что на флешках могут находиться такие программы, как менеджеры паролей или портативные версии различного ПО, то имеет смысл использовать данную уязвимость и тем самым расширить спектр пораженных машин и ценность полученных данных для пентеста.

Кстати, не всегда имеет смысл прибегать к заражению флешек. К примеру, если у ИБ-отдела стоит задача просто периодического мониторинга сотрудников на наличие «ненадежных людей», то разумнее установить данную программу на несколько машин и просто записывать серийные номера флешек и время создания вредоносного файла для сбора статистики. Тем самым не требуется буквальным образом обыскивать всех сотрудников, и при этом сохраняется конфиденциальность данных на флешках, а на основе полученных данных можно судить также о возможном заражении домашних компьютеров пользователей и состояния ИБ в целом. Ведь, как мы уже писали ранее, любая система подвержена случайным факторам и не исключен риск появления угроз.

Значения самых популярных угроз

Значения самых популярных угроз

Тестирование

Развернув программу в относительно средней по масштабу сети, уже через неделю мы получили достаточно красноречивые данные. Более 20% всех подключенных флешек были инфицированы каким-либо вирусом или трояном, и более 15% по-прежнему оставались инфицированными при повторном подключении спустя пару дней. Надо также отметить, что на многих компьютерах стояла антивирусная защита, которая периодически исполняла свои обязанности. Однако то привычное равнодушие к выскакивающему предупреждению антивируса, к которому уже давно привыкли пользователи при подключении флешки, не позволяла им предположить, что они имеют дело с совершенно иной угрозой. Ложное чувство безопасности позволяло пользователям без смущения подключать флешку к различным компьютерам, а нашей программе успешно делать свое дело.

Графическое сравнение самых популярных угроз

Графическое сравнение самых популярных угроз

Коротко об алгоритме

  • Устанавливаем нашу программу на компьютеры в компании.
  • Сканируем подключаемые флешки на наличие признаков зараженности.
  • «Заражаем» флешки пользователей нашим тестовым «вирусом» или переписываем их номера для статистики.
  • Докладываем начальству, наказываем пользователей-раздолбаев, держим, не пущаем и запрещаем.

Заключение

Подводя черту, можно сказать, что главный недостаток этого метода — его неопределенность. Никто не знает, когда именно к компьютеру будет подключена та самая «подходящая» флешка, поскольку это сильно зависит от среды, в которой развернута программа. Однако этот недостаток не умаляет главного преимущества метода. Можно очень долго оставаться незамеченными и, растворяясь среди других угроз, поражать все новые и новые машины полностью в автоматическом режиме. Несложно заметить, что такая методика имеет определенный эффект масштаба. Чем больше сотрудников работает в организации и чем разнообразнее внутренние коммуникации, тем больший будет результат. Хотя этот подход будет отлично работать в структуре совершенно любого масштаба, ведь его основная задача сводится не к массовому поражению системы, а к целевому удару по самому слабому звену — человеку. ][

Источник

4 одноразовых антивируса для быстрой перепроверки компьютера (портативные версии!)

Нередко бывает, что установленный штатный антивирус ничего не находит, но все признаки заражения ОС очевидны: в браузере открываются рекламные вкладки, окна, ряд программ не запускается, показывая ошибки.

В этом случае выручат так называемые «одноразовые» антивирусы — такие программы, которые можно запустить прямо с флешки и быстро проверить систему на вирусы (что очень полезно, т.к. на зараженных ПК часто не работает интернет).

В этой заметке посоветую несколько таких программ, которые очень рекомендую иметь на своей аварийной флешке/диске.

Примечание:

1) Нижеприведенные программы не защищают вашу систему постоянно — они исключительно для лечения и перепроверки в настоящее время;

2) Все они могут работать параллельно с вашим штатным антивирусом (впрочем, его всё же желательно на время отключить. ).

Чем можно быстро проверить компьютер на рекламу, вирусы и угрозы

Dr.Web CureIt!

👉 Ссылка на загрузку (для проверки из-под Windows)

👉 Ссылка на аварийную флешку (если Windows уже не загружается)

Отличное спасительное ПО, которое поможет даже, если ваша ОС Windows перестала загружаться. Интерфейс утилиты очень простой и лаконичный: после запуска — достаточно нажать одну кнопку «Проверить». См. пример ниже. 👇

Начать проверку Dr.Web CureIt!

Все найденные угрозы будут приведены в списке: вам останется только подтвердить их лечение * (кнопка «Обезвредить»).

Dr.Web CureIt! — найдена угроза!

* Примечание: в списке обнаруженных угроз могут быть и не опасные файлы (попавшие туда только из-за обильного количества рекламных вставок).

Kaspersky Virus Removal Tool

👉 Ссылка на загрузку (офиц. сайт)

Аналогичная программа для поиска и обезвреживания вирусов от Касперского. Запускается практически на любом ПК под управлением Windows XP/7/8/10 (32/64 bits).

Интерфейс утилиты незатейливый и простой — для начала сканирования достаточно запустить исполняемый файл и нажать кнопку «Начать проверку». См. ниже 👇.

Начать проверку — Касперский

Касперский ко всем найденным угрозам автоматически дает примечания и ставит рекомендательные действия: «Удалить», «Пропустить» и т.д. Вам останется только подкорректировать их (в случае необходимости) и нажать кнопку «Продолжить».

Примечание: для удаления всех угроз, найденных в вашей системе — нажмите кнопку «Нейтрализовать всё».

Источник

Adblock
detector