Názory k článku
Přílišná důvěra v USB se vám nemusí vyplatit

Koukám, jako obvykle, všichni papouškují to co v P.R. masáži chrlila jedna antivirová firma. Ale nikdo to nedotáhne do konce a neřekne těm nešťastným uživatelům, jak zamezit automatickému spuštění :)

http://www.pooh.cz/pooh/a.asp?a=2014980

A funguje ten autorun.inf na USB vůbec ve výchozím nastavení Windows?

Automatické spuštění samozřejme funguje ve výchozím nastavení Windows - zejména proto, že to nemá nic společného s USB - to je chápáno Windows (bohužel) stejně jako CD.

Myslím že ne. Jako default se tam objeví nabídka s tím, co se má udělat a minimálně je tam vždy volba nedělat nic, otevřít v Průzkumníku nebo spustit autoruninf (pokud tam je).

Doporučuji trochu postudovat o tom, jak to ten virus dělá.

a ty určitě přesně víš, jak to je nastavený v úplně cizím počítači, kam klíčenku strkáš.

Na cizím počítači je to snad celkem jedno, ne? Když to má nastavené blbě, tak ať si to zaviruje. Důležité je, aby to nezavirovalo můj počítač...

No tady s tim mam problem. Kdyz rozbaluju jednotlive polozky tak tam nic neni, nebo tam jsou jenom treba 2 slozky, ale ne ty co potrebuju. Kde povolim zobrazovani vseho? Diky

Stejne tak to lze zakazat pomoci TweakUI:
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx

A proč si stahovat TweakUI (a instalovat), když to jde zakázat přímo ve Windows?

Protože např. ve Windows XP Home to podle toho návodu pomocí gpedit.msc neuděláte.

Má pravdu, předsedo. :)

Čekal jsem že se dozvím něco o tom, jak může zlé USB zařízení využít chybu firmwaru nebo ovladače USB řadiče a infikovat počítač tímto způsobem (jako to by-design "podporuje" firewire), a zatím tady čtu nějaké triviality o samospustitelných souborech na souborovém systému. Řekl bych, že pokud nějaký systém umožňuje, aby byl tímto způsobem infikován, nezaslouží si nic jiného, než aby takto skutečne _byl_ infikován. "Základním stavebním kamenem" ochrany takového počítače přece není antivirus, ale vypnutí takovéhoto chování.

-Yenya, http://www.fi.muni.cz/~kas/blog/

Já takový virus chytil. respektive, asi ve škole se mi nakopíroval na flashku. Protože mám linux, pobaveně jsem koukal na soubory autorun.inf a auto.exe obsahující virus "Trojan.gen".

Pak mi ovšem došly dvě věci - nevím kde jsem to chytil (tudíž ani nevím, komu říct ať si vyčistí počítač) a taky jsem to klidně mohl přenést dál, kdybych si těch souborů nevšiml, byť mně samotnému žádné nebezpečí nehrozí. To by mě asi kamarádi neměli rádi.

no, treba mne se ocitnul jakysi trojan (nevim presne, nealnalizoval jsem ho) na flashdisku po te, co na nem kolegine odnesla cosi do tiskarny ... Vzhledem k tomu, ze se tam naprosta vetsina veci dnes nosi na flashdiscich, je to docela tragicke.

BTW: v linuxu doporucuju pri mountovani flashdiksu s FAT(32) pripojit parametr fmask=0111, jistota je jistota, kamaradovi se takhle povedlo "nakazit si" Wine :-)

A nedalo se to zjistit podle data modifikace těch souborů, a nebo z data modifikace kořenového adresáře?

Máte pravdu.
Jenže, mohu Vám s klidem gentlemana sdělit, že když jsem já šel za šéfem, že by bylo dobře, aby byly USB porty ve windowsech vypnuty pro použití s mobilními paměťovými zařízeními, nestačil jsem se zastavit až na chodbě.
My (podle názoru mého bosse - aneb místního odborníka na bezpečnost) nemůžeme uživatelům klást takové nástrahy. Když jsem namítnul, že nedávno se jedna soukromá Flashka našla ležet na parkovišti plná dat o nově vyvíjených produktech.
Bohužel, nikoho to nezajímá a nic se nezměnilo.

Na kompu mám též zablokovaný autorun. Ale párkrát se mi už taky "poštěstilo" přinést si něco zvenčí. Nevíte, jak hodně je účinný program Flash_desinfector. Občas jím preventivně projíždím svůj MP3 přehravač i když na něm mám uloženou hudbu. Má to nějaký smysl?

Staci k tomu jednoducha vec, ktera nic nestoji. Nebyt trvale prihlasen pod uctem s administratorskymi pravy, ale pod uctem obycejnych uzivatelu (a samozrejme pouzivat NTFS). Potom neni mozne, aby jakkoli spusteni proces provedl nejake modifikace v HKLM vetvi registru (potrebne pro nainstalovani service, kernel driveru rootkitu apod.) ci neco zapsal do systemoveho adresare (typicky C:\Windows\System32).

Tohle se urcite nelibi vyrobcum ruznych "anti-vsechno", protoze narozdil od jejich pokusu detekovat jiz nejaky cas zname vzorky viru tohle funguje na 100 procent. A neni to zadna novinka, je to uz od Windows NT4 :-)

naprostej souhlas. když někomu řeknu, že nemám žádnej antivir, mají mě za blázna.
přičemž k jednoduché správě zabezpečení stačí mít obyčejnej účet, administrátorskej účet, NTFS oprávnění a funkční "sekundární spouštění" (volba "Spustit jako jiný uživatel"), nepoužívání Internet Exploreru a WMP a vypnutí autorunů (ktery mě teda velice....slušně řečeno obtěžovaly. furt "nechcete náhodou to a to?" NECHCI! Kdybych chtěl, udělám to!).

jsem přihlášen pod power userem, když něco chci instalovat, spustím přes RUNAS total commander s admin oprávněním, provedu instalaci, ukončím, hotovo.

samozřejmě mi permanentně běží Sysinternals Process Explorer s admin oprávněním, kterým ve spolupráci s Comodo firewallem hlídám vše podezřelé. TAkže jakýkoliv záškodník ztroskotá buďto na odepření přístupu anebo je sestřelen process explorerem. Simply clever :)

S tímto nastavením nemám žádné problémy, vše funguje, jak má. Jenže BFU to radši nechá na antiviru (a samozřejmě je napřed virus a pak na něj až antivirus, ne naopak)....

Pěkný den

To by se takhle všechno dělalo moc krásně, kdyby ovšem spousta aplikací či dokonce her nepotřebovala ke svému spuštění (nikoliv jen instalaci - tam je to samozřejmě správné) administrátorská oprávnění (fakt nevím na co a proč).

Protoze je pisi praso-programatori kteri nemaji naprosto zadne zakladni znalosti o platforme, pro kterou tyto aplikace vyvtari. Situace se (se zpozdenim cca 10 let) nicmene prece jen zlepsuje. Vse bylo naprosto jasne a naprosto zdokumentovane jiz davno. Zadne vymluvy nejsou pripustne, jedna se jen a pouze o neschopnost a zakladni neznalost.

Svym zpusobem je to i dobry zpusob jak oddelit zrno od plev :-)

Souhlasím. V případě různých freeware utilitek má uživatel na výběr a může vesele oddělovat zrno od plev. Ovšem jsou obory a aplikace, kde na výběr nemáte - buď ji používáte jak je, nebo nepracujete, neděláte to co potřebujete a výhledově umíráte na podvýživu:-) Takovému uživateli těžko pomohou rady ohledně nepoužívání administrátorského účtu. To není výmluva, ale fakt. Programátorů se nezastávám - stejně mám pocit, že to dělají naschvál: programátoři OS v nich nechávají díry, aby programátoři různých fire... a anti... věcí měli co dělat, ze zálohy je v tom podporují programátoři industry-standard aplikací ruku v ruce s open source vývojáři (rivalita je samozřejmě jen na oko) a aby toho nebylo málo, členy této softwarové mafie, která prorůstá i do největších softwarových gigantů, jsou různí hackeři a tvůrci virů, kteří mají za úkol nám, uživatelům, vsugerovat pocit, že bez těchto všech lidí do týdne nic nebude fungovat a že je všechny strašně potřebujeme a hlavně bez té nejnovější záplaty se nemůžeme obejít:-)))

Včetně programátorů od MS - mezi aplikacemi, které nejely pod omezeným účtem byly i nějaké od MS :-)
Někdy se opravdu může jednat o základní neznalost, ale v mnoha případech se jednalo o snahu ušetřit a držet co nejvíce kódu společného pro Win9x a NT verzi programu (ideálně mít ten kód identický a verzi jenom jednu).
V případě her se zase z větší části jednalo o různé ochrany, které prostě potřebovaly při každém spuštění zavádět různé vlastní drivery, případně dělat jiné věci vyžadující administrátorské oprávnění.

Hmm, spousta. Dovedl byste jich řekněme pět vyjmenovat? Drtivou většinu aplikací, které "bez admina nefungují", jde ke spuštění a dokonce i ke správné funkci celkem snadno přesvědčit. Ano, ještě lepší by to bylo, kdyby tak ty aplikace fungovaly samy od sebe, ale co naděláme...

instalačka s admin účtem - jasná věc. ale spuštění? když mi něco nešlo, dal jsem se přes lusrmgr.msc do administrátorské group, sodhlásil, přihlásil, spustil program, nastavil, ukončil, přes lusrmgr.msc jsem se smazal skupiny administrators, relogoval a všechno jelo :)

Jo, já vím. A druhý podobně (BF)User-friendly způsob je ještě rekompilovat celý OS:-)

Pro vaši informaci - už jsem se setkal s USB virem, který byl schopen infikovat počítač i z účtu typu "power user".

Jediný účet, který mi zatím nebyl žádné podobný virus zavirovat, byl účet typu "user", tedy v praxi účet výrazně ořezaný.

Přeji hezký den...

Na WinXP Home žádnej účet Power User neexistuje. A často to je tak, že admin účet si nechá jenom člověk (syn, vnuk, kamarád...), kterej ten PC dotyčným BFU spravuje, a maj prostě jen účet User.
"Jestli chcete admin práva, ano, přenechám. Ale tim končim s tim, abych se o váš PC staral, a když se vám něco pos..., mě nevolejte :-)". A funguje to...

na XP samozřejmě účet Power User je. Akorát se musí nastavit ručně přes konzoli mmc, nikoliv ve správě uživatelů. Já takový účet mám, jen s tím rozdílem, že tam zůstal po upgrate z Win2000

V kořeni flashky vytvořit složku s názvem "autorun.inf", což by mělo zabránit viru, aby vytvořil stejnojmenný soubor. Samozřejmě to z principu není všepásné, ale řekl bych že většinu současných "nepřátel" to zaskočí.

No to nevim proc, proste ten soubor prepise :-)

I slozka se da smazat/prejmenovat. To je prece uplne jedno.

Proč už se na nových flashkách téměř nevyskytuje mechanický přepínač ochrany proti zápisu? Pomůže v případě kdy svoji flashku strkám do cizího počítače a potřebuju z ní jen nahrát soubory do počítače. Třeba taková flashka určená pro odvšivení počítačů.

Protože do USB zapomněli přidat o jeden caplík víc.

Aby lide kupovali ruzne "anti-vsechno" ve falesne nadeji, ze je to pak snad bezpecne.

Jinak pro kriticke veci pouzivam zasadne CD-R medium a bootovani z externi DVD-ROM mechaniky. To by snad melo byt bezpecne :-)

Flashka je skladnější. Důležité nástroje na odvšivení mám na 8 cm CD-R, ale to občas zapomenu, flashku už jsem si navykl tahat s sebou furt.

Možná proto, že některé flash disky nejsou vyráběny příliš důkladně. Nechci zobecňovat, ale já jsem s tím měl dost velký problém - z důvodu uvolnění obalu se při každém zasunutí do portu aktivovala ochrana proti zápisu a já ji musel stále rušit.

A jak ji zrušit?

staci pouzivat antivir zdarma nebo komercni to je jedno (kdyby se platilo 1000 rocne tak to je v pohode - za to bezpeci to stoji) a mit povoleny FireWall pod windows a vse je ok.

3,5 roku jsem nechytl zadny vir co by mi neco znicil a kdyz uz tak pre FF se mi pokouselo na nejakych debilnich strankach neco stahovat - NOD32 okamzite zablokoval a klid, ani se to nestahlo.

A neni treba vymyslet hovadiny jak vypnou to a to a tamto...

Staci mit Antivir (treba NOD32) a zapnuty FireWall + automaticke aktualizace sytemu a hura

"Nevýhoda ale spočívá v tom, že je těžké obdobnou aplikaci získat zcela zdarma pro jakékoliv použití, navíc ruční úpravy mohou být na jednotlivých stanicích v síti zdlouhavé, i když řešení dokáže vypomoct "

-predpokladam ze pisete o firemnom prostredi, ked spominate siet a stanice...
-predpokladam ze pisete o windows prostredi, kedze je to windows virus

zaver - doporucujem si nastudovat nieco o group policies, a administrator nemusi chodit od stanice ku stanici a prepisovat registre a nemusi pouzivat akekolvek dalsie programy

Vysvetli mi nekdo,jak mi zmeni vir na flashce registry v mem OpenBSD nebo Mandrive? :-D

Jednak nedelam jako admin a druhak mam nodev,noexec pro USB a /home,plus dalsi finty.Antivir taky nemam,jako firewall trivialni konfigurace pf.

Lidičky já žasnu, ale to jste si to nikdo nevyzkoušeli?! Jestli ne, tak honem to průbněte, a zjistíte, že ve WinXP Home Edition i Professional nejenže je spouštění programu z autorun.inf na USB zařízení defaultně VYPNUTO, ale pokud vím, tak ani nejde bez nějakého externího softwaru povolit! Zejména nejde povolit ani úpravou registru, ani pomocí gpedit.msc.

Už jsem si na chvíli myslel, že mě šálí smysly a hlavně paměť, tak jsem si vytvořil soubor autorun.inf s obsahem

[autorun]
open=c:\windows\system32\calc.exe

nakopíroval ho na flashdisk, odpojil a znovu připojil - a zcela v souladu s očekáváním se žádná kalkulačka NESPUSTILA, jen se otevřelo standardní okno s otázkou, zda otevřít složku, zobrazit obrázky, dokonce tam ani nebyla nabídka na spuštění toho programu z autorun.inf!

Naproti tomu, když jsem tentýž soubor zapsal do CD-image, a ten potom připojil, spustila se dle očekávání kalkulačka (bez ptaní).

Závěr: někdo si tady z nás dělá srandu ;)

Zajímavé je, že na kamarádově flash disku autoruny nefungovaly

Na tom není nic překvapivého. Záleží na tom, jestli se flashka hlásí jako vyměnitelné zařízení (CD-ROM, disketa) nebo jako pevné zařízení (hard disk). V prvním případě se autorun standardně provádí, ve druhém standardně neprovádí - plus to má ještě další dopady například pro spouštění aplikací. To je konečně důvod pro specifikaci U3 - ta má část, která se hlásí jako CD-ROM (aby se mohla automaticky spustit) a zbytek, který se hlásí jako disk (aby to šlo běžně používat).

To zní rozumně... OK, takže po přečtení
http://en.wikipedia.org/wiki/U3
vypadá situace následovně:

Velká většina běžných flash-disků se po připojení do Windows hlásí jako standardní pevný disk, tj. nikoliv jako vyměnitelné zařízení. Autorun však funguje jen na vyměnitelných zařízeních, a tedy na většině flashdisků opravdu nefunguje.

Naproti tomu existuje několik málo flashdisků, podporujících specifikaci U3 od stejnojmenné firmy, která zavádí rozdělení flashdisku na dva oddíly. Jeden, který se hlásí jako vyměnitelné zařízení, a tam potom autorun funguje, a další, který se chová jako každá jiná flashka, a tam pak autorun nefunguje.

Pak ale nechápu, jak se za téhle situace mohou nějak účinně šířit přes flashky viry... ?!

No teda to jsem z toho jelen... Zkoušel jsem to na pěti PC (!!!), konkrétně u mě doma, u mě v práci, u mě na notebooku, u kolegy v kanclu a u naší sekretářky a všude to dopadlo stejně: touhle hláškou

http://www.sweb.cz/hanko.m/vysledek.png
Bylo potřeba to potvrdit Enterem nebo myší, aby se ten program pustil.

autorun.inf vypadal analogicky, jak jsi psal:
[autorun]
OPEN=cmd.exe
ICON=cmd.exe
ACTION = Usb-Menu

přičemž cmd.exe byl samozřejmě v rootu té flashky. Ty PC byly instalovány v různé době, byly na nich na všech XP Professional SP2, ale instalovány byly nejspíš z různých médií... tak nevím :/

Navíc jsem vygooglil tohle:
http://www.devhardware.com/forums/storage-devices-80/autorun-usb-flash-drive-80044.html
http://www.microsoft.com/whdc/archive/usbfaq.mspx

Z toho podle mě jednoznačně vyplývá, že pokud USB zařízení neodpoví na jistý low-level požadavek tak, aby jistý bit v té odpovědi byl nastaven na jedničku (a flash disky takhle neodpovídají, odpovídají s tím bitem nastaveným na nulu!), tak autorun prostě fungovat nebude...

Takže já fakt nechápu, jak se to někomu může pouštět samo :/ chtěl bych to vidět na vlastní oči... :/

Pokud USB pouzivate v pocitacich s administratorskym opravnenim, da se snadno pouzit program TrueCrypt na zasifrovani obsahu (a to nejen USB). Ten je mozne precist pouze po spusteni programku a zadani hesla. Na vyber je mnoho (az moc) sifrovacich standardu.

Používám Mac OS X a USB flash denně.
Soucítím s těmi, kteří se musí zabývat tou trapností s viry.
Ale zřejmě je to i jejich volba. Takže njoy.