Neuvot ois tarpeen! Autorun.exe -ongelma!

- http://virusscan.jotti.org/en

- http://www.virustorjunta.net/modules.php?name=Forums

Tarkoitin nyt sitä, käynnistääkö tuo AutoPlay (joka kyselee, mitä tehdään) sitä mountatulla CD-levyllä olevaa autorun.exe:ä vai ei ennen kuin se kyselee, mitä tehdään...?

Ketjun aloittaja kirjoitti:

Tarkoitin nyt sitä, käynnistääkö tuo AutoPlay (joka kyselee, mitä tehdään) sitä mountatulla CD-levyllä olevaa autorun.exe:ä vai ei ennen kuin se kyselee, mitä tehdään...?

Miksi se enää kyselisi, jos jo ajaa ohjelman?

12 kirjoitti:

Miksi se enää kyselisi, jos jo ajaa ohjelman?

Mun mielestä missään ei ole sanottu, että se ajaisi automaattisesti autorun.exeä.

Jos esim. CD:llä on Setup.exe jonka lisäksi myös autorun.inf, joka sisältää seuraavaa tekstiä:

[autorun]
icon = Setup.ico
open = Setup.exe

..niin en tiedä, käynnistääkö AutoPlay kuitenkaan oikeasti mitään Setup.exeä... Ihan siitä syystä, etten tiedä, miten Windows käsittelee autorun.infiä jne... Vai käykö se vain jotenkin noita CD:llä olevia tiedostoja (vars. executableja) läpi (ehkä autorun.inf apunaan)? Tähän on mun itse hankala todeta mitään muuta tähdellistä kun en ole ekspertti.

Joka tapauksessa tässä on vähän tietoa siitä, miten autorun ja AutoPlay eroavat toisistaan ja mitä riskejä niihin sisältyy:

http://windows.microsoft.com/en-us/windows-vista/Whats-the-difference-between-AutoPlay-and-autorun

http://www.f-secure.com/weblog/archives/00001961.html

http://blogs.technet.com/b/srd/archive/2009/04/28/autorun-changes-in-windows-7.aspx

Windows 7:n osalta näyttää siltä, ettei siinä käynnistetä mitään, vaan näköjään jotenkin käydään läpi, mutten tosiaankaan ole varma. Nuo linkkien selitykset kun eivät mielestäni ole täysin yksiselitteisiä.

Ketjun aloittaja kirjoitti:

Mun mielestä missään ei ole sanottu, että se ajaisi automaattisesti autorun.exeä.

Jos esim. CD:llä on Setup.exe jonka lisäksi myös autorun.inf, joka sisältää seuraavaa tekstiä:

[autorun]
icon = Setup.ico
open = Setup.exe

..niin en tiedä, käynnistääkö AutoPlay kuitenkaan oikeasti mitään Setup.exeä... Ihan siitä syystä, etten tiedä, miten Windows käsittelee autorun.infiä jne... Vai käykö se vain jotenkin noita CD:llä olevia tiedostoja (vars. executableja) läpi (ehkä autorun.inf apunaan)? Tähän on mun itse hankala todeta mitään muuta tähdellistä kun en ole ekspertti.

Joka tapauksessa tässä on vähän tietoa siitä, miten autorun ja AutoPlay eroavat toisistaan ja mitä riskejä niihin sisältyy:

http://windows.microsoft.com/en-us/windows-vista/Whats-the-difference-between-AutoPlay-and-autorun

http://www.f-secure.com/weblog/archives/00001961.html

http://blogs.technet.com/b/srd/archive/2009/04/28/autorun-changes-in-windows-7.aspx

Windows 7:n osalta näyttää siltä, ettei siinä käynnistetä mitään, vaan näköjään jotenkin käydään läpi, mutten tosiaankaan ole varma. Nuo linkkien selitykset kun eivät mielestäni ole täysin yksiselitteisiä.

Lue lisää

Yksinkertaista ajatteluasi.

12 kirjoitti:

Yksinkertaista ajatteluasi.

No jos lukee täältä http://www.f-secure.com/weblog/archives/00001961.html
niin siellä mainitaan, että "This is how a default Windows XP installation handles the Virtual CD's autorun.inf" ja kuvan perusteella Win XP käynnistää levyn sisällä olevan executablen automaattisesti autorun.infin mukaan ja tekstikin sanoo, että "It just launches the installer program, no questions asked."

Windows 7:stä sanotaan saman linkin takaan sen sijaan seuraavasti:
"Now this is how Windows 7 AutoPlay handles the Virtual CD's autorun.inf"
"The installer on the Virtual CD is the default option, but it doesn't launch."

Ja tuossa tuo Windows 7 kysyy mitä tehdään, mutta jos installer sattuu olemaan infektoitunut, niin eipä Windows 7:ssäkään kannata valita mitään, että "run installer.exe".

Tuon mukaan siis Windows 7 ei käynnistä autorun.exeä vaikka autorun.inf niin käskisikin.

Ketjun aloittaja kirjoitti:

No jos lukee täältä http://www.f-secure.com/weblog/archives/00001961.html
niin siellä mainitaan, että "This is how a default Windows XP installation handles the Virtual CD's autorun.inf" ja kuvan perusteella Win XP käynnistää levyn sisällä olevan executablen automaattisesti autorun.infin mukaan ja tekstikin sanoo, että "It just launches the installer program, no questions asked."

Windows 7:stä sanotaan saman linkin takaan sen sijaan seuraavasti:
"Now this is how Windows 7 AutoPlay handles the Virtual CD's autorun.inf"
"The installer on the Virtual CD is the default option, but it doesn't launch."

Ja tuossa tuo Windows 7 kysyy mitä tehdään, mutta jos installer sattuu olemaan infektoitunut, niin eipä Windows 7:ssäkään kannata valita mitään, että "run installer.exe".

Tuon mukaan siis Windows 7 ei käynnistä autorun.exeä vaikka autorun.inf niin käskisikin.

Lue lisää

Yleensäkään mitään suoritettavaa tiedostoa, mistä ei tiedä, ei kannata ajaa. Edes yhden tutkan tutkimukseen siitä ei voi luottaa. Eikä useammankaan, jos tiedosto on juuri ilmestynyt. Virustotal-sivuston tai vastaavan olit jo löytänytkin. Jos tiedoston on imaissut vaikkapa pimeältä puolelta, kannattaa odotella joitakin päiviä ja seurata mitä muut siitä sanovat. Toki myös tutkat liputtavat tiedostoja turhaan, esim. useimmat keygenit yms.
Kannattaa ehkä poistaa autorunit kaikelta siirrettävältä medialta ja ajaa tiedostot manuaalisti tarvittaessa, kunhan tietää niiden puhtauden. Vielä turvallisempaa näin verrattuna kysymykseen, mitä tehdään ja virhepainalluksen suhteen.

12 kirjoitti:

Yleensäkään mitään suoritettavaa tiedostoa, mistä ei tiedä, ei kannata ajaa. Edes yhden tutkan tutkimukseen siitä ei voi luottaa. Eikä useammankaan, jos tiedosto on juuri ilmestynyt. Virustotal-sivuston tai vastaavan olit jo löytänytkin. Jos tiedoston on imaissut vaikkapa pimeältä puolelta, kannattaa odotella joitakin päiviä ja seurata mitä muut siitä sanovat. Toki myös tutkat liputtavat tiedostoja turhaan, esim. useimmat keygenit yms.
Kannattaa ehkä poistaa autorunit kaikelta siirrettävältä medialta ja ajaa tiedostot manuaalisti tarvittaessa, kunhan tietää niiden puhtauden. Vielä turvallisempaa näin verrattuna kysymykseen, mitä tehdään ja virhepainalluksen suhteen.

Lue lisää

Nimenomaan!

Varmistin, ettei tuo Windows 7 AutoPlayn perusasetuksillakaan käynnistä AutoRun.exeä vaikka AutoRun.inf sanoisikin seuraavasti:

[autorun]
OPEN=AutoRun.exe
ICON=AutoRun.exe

Tuo AutoRun.exe:n käynnistämisvaihtoehto tosin kyllä on muiden valintojen joukossa kun tuo AutoPlay dialog pompsahtaa esille ja tuossa käynnistämisvaihtoehdossahan voi olla vaikka mitä "sosiaalista manipulointia" (social engineering) hyödyntäviä kikkoja, esim. "open folder to view files", joka oikeasti ajaa jonkun infektoituneen (.exe -päätteisen) tiedoston (minkä tosin tarkempi käyttäjää huomannee koska sen alapuolella on sitten se varsinainen "open folder to view files" -vaihtoehto).

Mielestäni on jokseenkin absurdia, että vanhempien Windowsien (vielä muistaakseni XP:t ilman päivityksiä) perusasetukset oli säädetty sellaisiksi, että kone käynnistää AutoRun.exe:n automaattisesti kun laite/CD laitetaan sisään. Ehkä helpompaa käyttäjälle mutta niin myös virusten suunnittelijoille. Ja vaikka tuon säätäisi vain siten, että AutoRun.exeä ei enää ajeta esim. kun koneeseen kiinnnitetään joku mokkula (USB-muisti), niin virushemmojenhan ei tarvitse kuin koodata tuo USB-muisti esiintymään vaikkapa virtuaalisena CD:nä. Tätä haavoittuvuuttahan on jo hyödynnetty.

Niin kuin sanoit, AutoPlay -asetukset kannattaa muuttaa siten, että kone ei käynnistele mitään automaattisesti tai muutenkaan reagoi erityisemmin noihin koneisiin sisällepantaviin CD-levyihin, USB-muisteihin yms. Niiden sisällön kun näkee ihan manuaalisestikin, eikä se kovinkaan vaivalloista luulisi olevan. Käsittääkseni on jo nimittäin olemassa niitäkin tapauksia, että AutoRun.inf (ei se samanniminen "executable") on käytännössä jokin haittaohjelma, joka on vain naamioitu. Toivottavasti Windowsien AutoPlay -perusasetuksista tulee vielä jossain vaiheessa sellaisia, ettei tuota AutoRun.inf -haavoittuvuuttakaan päästä hyödyntämään.