HLEDAT

Rozhovor: INF/Autorun a budúcnosť

Lukáš Kosno, 19.3.2009 15:31 | Přečtěno: 5610x | Rubrika: Články | Kategorie:

Rozprávali sme sa s Ing. Jurajom Malchom, vedúcim vírusového laboratória spoločnosti ESET, o fenoméne INF/Autorun, ale aj víziách do budúcnosti a otázke, prečo stále mnohí používatelia nevenujú bezpečnosti dostatočnú pozornosť.

Podľa poslednej analýzy štatistického systému ThreatSense.Net sú neustále rozšírenejšie varianty infiltrácií, ktoré sa šíria prostredníctvom USB kľúčov. Kedy ste zaznamenali zvýšené využívanie tejto cesty, ako infikovať počítač?

Pohľad do výsledkov štatistického systému ESET ThreatSense.Net prezrádza, že INF/Autorun ako ESET súhrnne pomenoval rôzne druhy počítačových hrozieb zneužívajúcich na svoje šírenie súbor autorun.inf sa do top desiatky dostal v júni 2007, vtedy s podielom 2,06%. Tento podiel na všetkých detegovaných hrozbách rástol až niekam na úroveň 10%. Treba však do úvahy zobrať fakt, že stále viac hrozieb v súčasnosti obsahuje „pribalený“ príkaz zneužívajúci autorun.inf. Medzi také hrozby patrí aj jeden z variantov červa Conficker alebo trójskeho koňa Win32/PSW.OnLineGames.

Môžete v krátkosti popísať spôsob, ako sa infiltrácia dostane na USB kľúč a následne infikuje počítače, ku ktorým kľúč pripojíme?

Proces je veľmi jednoduchý. Na USB kľúč sa skopíruje samotný červ – jeho telo – a zároveň sa vytvorí súbor autorun.inf s odkazom na telo červa. Pri vložení infikovaného USB kľúča je táto informácia interpretovaná a červ spustený. Práve fakt, že to je také triviálne a spoľahlivosť takéhoto spôsobu šírenia sú príčinou, prečo je táto funkcionalita taká populárna.

Existuje účinné riešenie, ako tomu zabrániť?

Áno. Vypnúť si autorun.inf vo Windowse. Tak sa zabráni spustenie hrozby okamžite po vložení prenosného média do počítača. A prípadne, že používateľ bude chcieť otvoriť infikovaný súbor a je chránený, AV riešenie mu určite oznámi prítomnosť tejto hrozby. ESET dokonca implementoval jednu veľmi užitočnú funkcionalitu do verzie 4 svojich produktov, a to detekciu hrozieb na USB médiách.

Ako by mal užívateľ postupovať, ak zistí, že na USB kľúči šíri infiltráciu ďalej, prípadne má napadnutý počítač?

Pokiaľ vie, že jeho USB kľúč je infikovaný, mal by ho v prvom rade prestať používať na prenášanie dokumentov. Na zmazanie infiltrácie z USB kľúča môže použiť antivírus, alebo infiltráciu zmazať manuálne (v prípade skúsenejšieho používateľa). Zaručenou metódou v prípade neistoty je preformátovanie USB kľúča. Pri ručnom mazaní či preformátovaní je ale potrebné si dať pozor, aby nedošlo k aktivovaniu inflitrácie po vložení do PC – teda mať buď vypnutý autorun, alebo počas vloženia kľúča do PC držať klávesu Shift, čím dôjde k deaktivovaniu funkcionality autorun pre ten konkrétny prípad.

Riešia túto otázku aj nové verzie ESET Smart Security a ESET NOD32 Antivirus?

Verzia 4 ponúka automatické skenovanie súborov spúšťaných z vymeniteľných médií. Táto kontrola je zapnutá automaticky už v základnej konfigurácii, užívateľ môže k tomu manuálne zvoliť použitie pokročilej heuristiky. Možnosť kontroly, prístupu alebo zablokovania vymeniteľných médii je ďalšou z možností ako zabrániť infikovaniu počitača. Táto možnosť správy vie byť kontrolovaná aj prostredníctvom konzoly ESET Remote Administrator určenej pre firemné prostredie.

Ďalším zistením bolo, že zatiaľ, čo v Rusku a na Ukrajine má Win32/Conficker podiel nad 10%, na Slovensku sa nedostal ani len do TOP 20. Čím to je?

Myslíme si, že na malom rozšírení Confickera na SVK má podiel aj fakt, že majoritná časť slovenských používateľov má nainštalované naše produkty. Tejto infiltrácii sme sa pomerne dosť venovali a vo veľkej väčšine prípadov sme všetky nové varianty detegovali proaktívne, teda používatelia boli 100% chránení.

V mnohých prípadoch ľudia nevenujú bezpečnosti svojich dát dostatočnú pozornosť. Kde hľadať príčinu?

Tu je ťažké zovšeobecniť tento fakt. Naozaj, veľmi veľa používateľov internetu nemyslí na bezpečnosť. Možno si myslia, že keď chodia len na známe stránky a posielajú a prijímajú bežné e-maily, že im nič nehrozí.

Z písania škodlivých kódov sa stal biznis a ich tvorcom ide predovšetkým o zisk. Aké sú vízie do budúcnosti?

Aj v budúcnosti sa dá predpokladať, že pôjde o zisk. Autori sa však budú zameriavať aj na iné platformy, pokiaľ sa budú používať masovo.

Zmenil sa aj spôsob šírenia. Pred pár rokmi tu boli červy typu Win32/Stration šírené elektronickou poštou, dnes ich plnohodnotne nahradili – INF/Autorun a tiež exploity. Čo môžeme čakať dohľadnej dobe?

Producenti bezpečnostného softvéru sa vo všeobecnosti málokedy vyjadrujú seriózne k budúcnosti ohľadne hrozieb a spôsobu ich šírenia. Okrem uvedených ciest je zrejme možné očakávať aj techniky sociálneho inžinierstva na vylákanie peňazí od používateľov.

Neplánujete aktualizovať vašu online službu Vírusový radar, ktorý momentálne informuje len o hrozbách zachytených v elektronickej pošte?

Áno, sme vo fáze príprav nového „radaru“.


Podělte se s ostaními:


Podobné články:

Komentáře

komentar

amapnhcq

16.4.2014 10:13

20

Jméno
Email nepovinné
Web nepovinné
Zpráva

Software, windows, hry.

Přejít na Security-Portal.cz