みなさんこんにちは!
今日は、オートランウイルスからのフラッシュドライブのいわゆる「予防接種者」と「予防接種者」について、それらがどのように機能するか、まったく必要かどうかについてお話します。 そしてもちろん、このような「ワクチン」を作成する簡単な方法の1つを見ていきます。
autoranのスーパーメガプロテクション
-そのようなスローガンについては、そのようなすべてのプログラムに付随しています。 もちろん、このプログラムは、フラッシュドライブで送信された既知および未知の感染を検出し、ブロックし、特別な方法でフラッシュドライブのファイルシステムを変更して、そのような感染が二度と続かないようにすることができると述べられています。
このようなプログラムは、木戸ブームの後、特に人気を博しました。フラッシュドライブは、その配布方法の1つにすぎません。 「Utility Payers」の厚かましさは、彼らがプログラムのためにお金を要求し始めた点に達しました、すぐにこれらのプログラムを壊し始めた「ハッカー」がいました-よく、何度も。
そのようなプログラムが本質的に何をするのか、そしてそれが理にかなっているかどうかを理解しましょう。
感染の検出
実際、ほとんどのプログラムはフラッシュドライブを危険と見なし、ディスクのルートにautorun.infが存在することで「感染を検出」します。 メディアがマウントされるたびに、システムの自動起動機能がブロックされ、目的のautorun.infの検索が開始され、利用可能な場合、悲鳴とうめきが始まります。
特に高度なプログラムは、autorun.infの内容を分析してオープンの有無を確認し、その後値を解析して表示します。このようにUSBフラッシュドライブにファイルまたはフォルダーがありますか? ある場合、悲鳴は耳をつんざくようになります。 autorun.infがどこよりも少ない場所にあるほとんどすべてのプレゼンテーションおよびインストールディスクの改ざんの数は、完全に理解できます。 特に「高度な」プログラムでは、改ざんを減らすために、開いているファイルとフォルダの「隠された」属性がチェックされます。 これはもちろん素晴らしい成果です!
そのような技術がファイルウイルスから保護されないことは明らかです。USBフラッシュドライブにSalityに感染したプログラムがある場合、起動時にすべての保護をバイパスしてかわいい感染を引き起こします。 Stuxnetとのセンセーショナルな取引は、ノイズやほこりなしで機能します-autorun.infはそこで使用されません。 要するに、それは悲しいです。
麻疹ワクチンを接種しましたか?
感染したフラッシュメディアから保護するためのプログラムの「特別な」利点の1つは、メディアのいわゆる「ワクチン接種」であり、感染を不可能にします。 予防接種の本質は、既知のファイルシステムエラーがあるルートにautorun.infフォルダーを作成することです。その結果、削除できません。 この場合、同じ名前のファイルをUSBフラッシュドライブに書き込むことはできません。つまり、マルウェアの自動実行は不可能です。
残念ながら、この方法は先験的に残念です。autorun.infが作成されていなくても、他のすべての悪意のあるファイルは安全にコピーされ、経験の浅いユーザーは誤って、または単に「自分が持っているものを理解するために」それらを起動できます。
さらに、記載されているすべてのエラーは、マルウェア自体によって正常に使用されて自身を保護します(実行可能ファイルは削除できないフォルダーに隠されています)。ウイルス作成者は自分が使用するものを回避する方法を知らないと信じるのは単純です。
それでは、「予防接種者」なしで「削除不可能な」フォルダを実際に作成する方法を見てみましょう。
練習
かなり前に、
いいえ、私は老衰を始めませんでした、そして、一般的に私はまだ若くてハンサムです(こんにちは、女の子!)、しかし、私たちの例はそれらの古代のトリックに非常に似ているので、私はこれをすべて思い出しました。
そのため、次のものが必要です。
-WinRARアーカイバ。 バージョン3.93を使用しましたが、残りは保証できません。
-7-zipアーカイバ。 私の場合-9.20.04
-OS Windows XP SP3
-mozg.dllシステムライブラリ
-ruki.sysドライバー
それで、私たちは何をしていますか。 Windowsでは、ファイル名とともにパスの合計長が260文字を超えてはならないことはよく知られています。 したがって、深い添付ファイルを持つフォルダーを作成する場合は、遅かれ早かれ停止する必要があります。 これは、大きな添付ファイルを持つサイトからリッピングする人々によく知られています-好きかどうかにかかわらず、フォルダ名を短くするか、クロスリンクを行う必要があります。 使用するのはこの制限です。
ディスク上にautorun.infという空のフォルダーを作成し、WinRarを使用してrarアーカイブに追加します。 WinRarでアーカイブを開きます-さあ、始めましょう。 autorun.inf内に別のフォルダーを作成し、さらに別のフォルダーを作成します。目的の260文字を入力します。 最後に、アーカイブに何かを追加します。空のテキストファイルを作成することもできます。 ワクチンの準備ができました!
WinRarで結果のファイルを解凍しようとすると、アーカイバは正しくrightります:
ただし、ここでは、フォルダー構造を維持しながら7-zipファイルが完全に解凍されます。 合計-出来上がり!
1.フォルダー名とファイル名の合計パス長が260文字を超える場合、そのようなフォルダーが表示されますが、ファイルを開いたり、コピーしたり、編集したりすることはできません。 ファイルがシステムにアクセスできないため、フォルダーも削除できません。
ここで説明するファイルの例は、 NTFSパーティションのルートに展開するときに観察されます。
2.ファイル名を考慮しなくても、フォルダー名の合計パス長が260文字を超える場合、ファイル自体を単に見ることができません。エクスプローラーまたはファイルマネージャーによってファイルにアクセスすることはできません。 さて、さらに項目1のすべてのお菓子:)
ここで説明するファイルの例は、 NTFSパーティションのルートに展開するときに観察されます。
長所と短所
この長所-知識と理解! しかし、無限に多くのマイナスがあります:)そのような「保護」は簡単にバイパスされるからです。 私は技術的な詳細をロードしません、それらを理解している人はこの記事を長い間読んでいないと確信していますが、ビールを飲み、他の人に技術的な詳細をロードします:)、言い換えれば、システムへのアクセスを低くすれば、フォルダーと隠しファイル。
これは古き良きIceSwordから簡単にわかります。
このルートキット対策はフォルダの構造全体を完全に認識し、force deleteコマンドはそれらを一度に削除します。
IceSwordはサポートされなくなりましたが、中国人はあきらめず、私の意見では、ロシアの耳には聞こえないXueTr反ルートキットでバトンをインターセプトできました。
-それはすべて同じプラスおいしいものです、たとえば-不審な赤い何かで着色(この場合、隠しフォルダーとファイル):)
はい、実際には、多くのことがわかります。最も近いものを2つ選択しました。
それとは別に、削除できないフォルダに通常の教科書ではなくマルウェアが隠れている状況に注意を払う価値があります。 Kaspersky Anti-Virusはフォルダーの内容を正常にチェックします。 このアーカイブの内容を解凍して(内部は教科書ではなくeicarです)、結果のフォルダーを確認することで簡単に確認できます。
しかし、感染したコンピュータの手動処理で使用される、CIS居住者の間で人気のあるAVZユーティリティについては、ここでより興味深いものになります。
次のAVZスクリプトを使用してファイルを保証および削除しようとしました(すでに述べたtest1.rarアーカイブが使用されました ):
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt','');
DeleteFile('D:\autorun.inf\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov\Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt');
BC_ImportAll;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
合計すると、直接検疫および削除コマンドは機能しませんでした。
ファイルの検疫エラーは、読み直接しようとすると(D:\ AUTORUN.INF \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt)
直接読み取りを使用した検疫-エラー
ファイルの検疫エラーは、読み直接しようとすると(D:\ AUTORUN.INF \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt)
直接読み取りを使用した検疫-エラー
ファイルを削除する:D:\ AUTORUN.INF \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt
>>>ファイルDを削除するには:\ AUTORUN.INF \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txtを再起動する必要があります
自動再起動後、BootCleanerは機能し、安全な隔離を行いましたが、とにかく削除できませんでした。
検疫パス:\ ?? \ D:\ AWZ \ Quarantine \ 2011-01-27 \
QuarantineFile \ ?? \ D:\ AUTORUN.INF \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt - 成功しました
QuarantineFile \ ?? \ D:\ AUTORUN.INF \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt - 成功しました
DeleteFileを\ ?? \ D:\ AUTORUN.INF \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov \ Mozhno_nazvat_kak_hotite_lish_by_bylo_ochen_dlinno_i_v_itoge_summa_papki_i_faila_poluchilas_bolee_260_simvolov.txt - 失敗(0xC0000043)
-終了-
したがって、マルウェアをコピーしましたが、削除および無効化することはできませんでした。 だからオレグ・ザイツェフはまだやるべきことがあると思う:)
結論
このレビューでは、フラッシュメディアを介して拡散するウイルスに対する保護を確保するための既存のプログラムのほとんどが、この保護を完全に提供しないことを確認しました。 フラッシュドライブの「予防接種」または「予防接種」は部分的な保護にしかならず、深刻なマルウェアによって簡単に回避されます。
この種の脅威に対する保護を提供することに本当に関心がある場合は、システム上のメディアの自動実行を無効にすることをお勧めします。 これは、レジストリ情報をこのファイルに追加するか、特定のプログラム( Uwe SieberのAutorunsettingsなど)を可逆的に使用することで、不可逆的に実行できます(私はレジストリのデフォルト設定を覚えるのが面倒です)。