Hlavní navigace

Autorun se útočníkům zajídá. Ale na jak dlouho?

Pavel Čepský 8. 6. 2012

Conficker a zneužití autorun informací se pravidelně umisťují na prvních místech malwarových žebříčků. Rizika spojená s přenosnými zařízeními se však aktuálně propadají.

Snadno zneužitelná USB zařízení mají špatnou pověst vinou otevírání a spouštění přidruženého škodlivého kódu, který má cestu otevřenou pomocí souboru autorun.inf. Tušíte správně, jedná se o jednu z typických hrozeb, která dlouhodobě sužuje uživatele Windows a jež se pravidelně drží na předních místech měsíčních malwarových žebříčků. Není divu – během uplynulých měsíců a let si škodlivý kód z této kategorie vyžádal velké množství obětí. Zneužití USB disků nebo dalších vyměnitelných médií skrze tento známý princip nepatří mezi novinky, ukazuje ale, že úspěšné scénáře vydrží dlouhou dobu.

Poslední týdny však ukazují naději v alespoň o trochu lepší zítřky, jelikož podle stávajících výsledků došlo k propadu této hrozby ze špice. Statistiky společnosti ESET poukázaly na dominanci hrozby HTML/ScrInject.B malwarovým (6,75 % globálního podílu), na druhou pozici se posunul HTML/IFrame.B se 4,54 % a konečně zmíněný malware INF/Autorun, který donedávna statistikám dlouhodobě vévodil, je nyní na třetím místě s podílem 4,32 % ve světě. Pro úplnost dodejme, že nechvalně proslulý vítěz žebříčku HTML/ScrInject.B je generická detekce webových HTML stránek obsahující falešný script nebo iframe tag, který přesměrovává prohlížeč na specifickou URL adresu obsahující škodlivý software.

Klasickým CD a DVD již v mnoha případech zvoní hrana nejen kvůli Internetu, ale také vinou USB disků, jejichž ceny klesají rychlostí blesku. Bohužel si ale celá řada uživatelů i firem stále neuvědomuje související rizika. Tedy alespoň dlouho dobu neuvědomovala, postupně se i díky stoupajícímu zájmu objevilo několik specializovaných nástrojů, které se zaměřují právě na riziko přidružené k USB zařízením a zpracování autorun informací. Pokud se propad těchto hrozeb (v řeči čísel klesajícím podílem celkového malwaru zachyceným „in the wild“) potvrdí i během následujících měsíců, vyhráli uživatelé další malou bitvu v nekonečné válce se síťovými podvodníky a útočníky.

V případě zneužití autorun informací je důležité uvědomit si nejen klasické vektory útoku, ale i ty méně často zneužívané. Podvody se netýkají pouze fyzických médií (CD, DVD, USB pevných disků, flash disků, …), nýbrž i podvodně vytvořených a chytře sdílených ISO souborů s informacemi zkompilovanými přímo v sobě. Nejčastějším příkladem mohou být obrazy nejnovějších her, odkazy, na něž jsou v rámci warezových fór hojně sdíleny). Útočník poskytne pirátskou kopii a doporučí připojení v některém virtualizačním programu. Otevření instalátoru na základě daných autorun údajů pak nikoho nepřekvapí, a i když vše funguje podle očekávání, škodlivý kód si na pozadí může vykonávat své. Šanci na úspěch navíc zvyšuje i druhá vlna útoku, a sice v podobě instalace cracku či spuštění keygenu z neznámého zdroje. Vždyť co by pro zdarma nabytý (v těchto případech ukradený) software lidé neudělali…


Jednou ze speciálních možností zneužití USB je ztráta citlivých informací v případě krádeže. Ochranu poskytne šifrování všeho druhu

Hrozba pro každého

Ať se nám to líbí nebo ne, zneužití USB zařízení představuje jednu z velice populárních cest, kterými se útočníci pokoušejí dostat do počítače. Vždyť přeci o klasických hrozbách vědí již i naprostí začátečníci (program jakože „zdarma“, phishingové e-maily, pokusy apod.), ale co když si běžný uživatel donese flashku od kamaráda nebo si na svou vlastní právě stáhl tolik potřebná data v internetové kavárně? Zde už ostražitost nemusí být natolik velká, a tak i počítačově gramotnější uživatelé číhající hrozbu často podcení.

O rizicích pro USB se velice často hovoří, nicméně málokdy jsou k dispozici praktické ukázky škodlivého kódu a konkrétní popis toho, co daný malware přesně dělá. Univerzálním představitelem, jehož scénáře se drží i ostatní viry tohoto typu, je SillyFD-AA. V kořenové složce tento záškodník vytvoří skrytý soubor autorun.inf, čímž může dojít při zapojení USB flash disku nebo jakéhokoliv jiného vyměnitelného média ke spuštění souboru s červem, který mimo jiné mění některé položky v systémovém registru. Infikovaný počítač se navíc pozná podle textu „Hacked by 1BYTE“ zobrazujícího se v záhlaví okna prohlížeče Internet Explorer. Obdobný model tohoto letitého červa se stal vzorem také pro řadu současných hrozeb stejného zaměření.

Ï přes déle trvající nebezpečí a stále častější zneužití mají USB úložiště z pohledu útočníků stále tu výhodu, že patří mezi přehlížená rizika. V drtivé většině internetových kaváren nebo jinak veřejně přístupných počítačích zpravidla nebudete mít problém na USB klíčenku ukládat data, stejně tak z ní kopírovat přinesené soubory do počítače. Možná vám nastolená bezpečnostní politika zatrhne celou řadu jiných akcí v systému, ale s připojeným USB diskem budete nejspíš moci pracovat. A nejde jen o to, že kdokoliv může do počítače přinést cokoliv, ale ve světě USB virů také o možnost automatického zkopírování.

Tak jako se zneužití dočkávají pracovní přenosné počítače, jež pendlují mezi firemní sítí a domácími profily po skončení šichty, je jednou z variabilních cest šíření virů také USB. I když si třebas svůj systém strážíte jako oko v hlavě a patříte mezi neuživatele antivirů, kteří se hájí tím, že virus nechytnou, protože surfují s rozumem, postačí jediné připojení USB klíčenky k sousedovu zavirovanému počítači a virus už je jen krůček od toho, aby se pak zabydlel i ve vašem systému. I když tedy antivir nepoužíváte, jelikož surfujete naprosto bezpečně, zkuste si čas od času aspoň jednorázový test některým ze zdarma dostupných produktů.


USB porty a akce s nimi je dobré sledovat, například i pomocí specializovaných nástrojů

Přicházejí lepší zítřky?

Proč ale USB viry zneužívající autorun informace během výše citovaných statistik nedávné doby klesly na popularitě, resp. klesl jejich počet v oběhu? Jedním z důvodů může být již větší zprofanovanost této hrozby a krátká životnost – nezapomínejme na to, že viry používají USB pouze jako cestu k infiltraci, posléze mají všechny běžné charakteristiky. Pro výrobce bezpečnostních produktů tak není problém nový vzorek a jeho případné budoucí mutace zařadit do aktualizované databáze signatur, navíc síť pečlivě spletená z heuristické analýzy dokáže zajistit včasnou proaktivní obranu.

S USB úložišti pracujeme na každém kroku, bereme je již jako samozřejmost. Stejně jako se vyplatí opatrnost v případě surfování Internetem a pobytu online, musíme stále myslet na offline hrozby. Diskety již sice vymřely, nicméně jejich USB nástupci nejsou univerzálním všelékem, i když by k tomu první slovo jejich nezkráceného názvu mohlo svádět. Doufejme, že pokles rizik zneužívajících tuto cestu infiltrace v minulém měsíci není jen lokálním trendem a klesající tendence bude pokračovat.

Našli jste v článku chybu?

9. 6. 2012 6:38

Stepa (neregistrovaný)

Pan autor zapomněl dodat, že hlavní příčinou úpadku autorun virů je zřejmě defaultní vypnutí funkce autorun ve Win7

8. 6. 2012 11:22

Fantomas (neregistrovaný)

Prosil bych autora, aby priste vicekrat pouzil u takovychto clanku termin Windows, protoze opravdu tato problematika se tyka pouze a jen pouze Windows systemu.

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!