Как заблокировать раздел жесткого диска от записи?

[Alex Cones]

Тоже пользовался подобной системой (1), только не с LPT, а с NUL (создавал под линем, чтобы не ошибиться в батниках). Как уже сказал,

Цитата:

кстати говоря, на днях "заимел" вирус, который пробил на флешке папку "autorun.inf" с NUL внутри

[raxp]

...ктстати, разве никто не слышал про новый вид вируса через LNK файлы?

Цитата:

этот вирус заражает систему необычным путем (без файла autorun..inf), через уязвимость в lnk-файлах. Так вы открываете зараженную флешку с помощью проводника или другого менеждера способного отображать иконки (например TotalCommander) и запускаете вирус, компьютер заражен. Ниже на скриншоте вы можете увидеть содержимое флешки FAR (он не заражает систему):

Операционная система Windows 7 Enterprise Edition x86 со всеми последними обновлениями также уязвима, из чего следует вывод что уязвимость присутствует и в предыдущих версиях.

Процесс заражения и скрытия в системе
Процесс заражения развивается по следующему пути:
1. Два файла (mrxnet.sys и mrxcls.sys, один из них действует как драйвер-фильтр файловой системы, а второй включает в себя вредоносный код) располагаются в директории %SystemRoot%\System32\drivers. Ниже представлен скриншот программы GMER отображающей вирусные драйверы.

Данные драйверы подписаны (имеют цифровые подписи) Realtek Semiconductor Corp. Файлы mrxnet.sys и mrxcls.sys также добавлены в вирусные базы VirusBlokAda как Rootkit.TmpHider
(http://www.virustotal.com/ru/analisi...198-1278584497) и Scope.Rookit.TmpHider.2 (http://www.virustotal.com/ru/analisi...55c-1278661251) соотвественно.
2. Два файла (oem6c.pnf и oem7a.pnf, содержимое которых зашифровано) располагаются в папке %SystemRoot%\inf .
Вирус запускается сразу после заражения, так что перезагрузка не требуется.
Драйвер-фильтр скрывает файлы ~wtr4132.tmp и ~wtr4141.tmp и соответствующие lnk файлы. Поэтому пользователя не заметят новый файлах на USB-устройстве. . Vba32 AntiRootkit (http://anti-virus.by/en/beta.shtml) детектирует вирусные модули свежующим образом:
3. Также руткит добавляет потоки в системные процессы, и в тоже время прячет модули которые запускаются в потоках. Антируткит GMER фиксирует следующие аномалии:
4. Руткит устанавливает ловушки в системных процессах

Предпосылки эксплуатации уязвимости:
Успешность эксплуатации уязвимости и последствия зависят от конфигурации вашего компьютера:
• Атакующий, который успешно поэксплуатировал уязвимость получает права того локального пользователя под чьей учетной записью производилась эксплуатации. Пользователи сидящие под ограниченной четкой понесут меньший урон, чем те что имеют права администратора.
• Когда автозапуск выключен, пользователя самому придется открыть проводником или другой программой корень переносного устройства (флешки).
• Закрыв доступ к сетевым папкам с помощью фаервола вы предотвратите риск эксплуатации уязвимости через расшаренные ресурсы.

Защита
Данные советы не исправят уязвимость, но они помогут снизить риск успешность эксплуатации уязвимости до времени выхода заплатки. Майкрософт протестила данные советы и ответственно заявляет что они помогают.
• Отключение отображения иконок ярлыков
1. Пуск- Выполнить, в открывшемся окошке написать Regedit, нажать ОК.
2. Пройти в данную ветку реестра
HKEY_CLASSES_ROOT\lnkfile\shellex\I conHandler
3. Щелкните File (Файл) в меню и выберите Export (Экспорт)
4. В окне экспорта введите LNK_Icon_Backup.reg и нажмите Save (Сохранить)
Этими действиями вы создали резервную копию ключей реестра.
5. Выберите параметр Default в правой стороне окна Редактора реестра. Нажмите Enter чтобы отредактировать значение. Удалите значение, т.е. поле станет пустым, нажмите Enter.
6. Перезапустите процесс explorer.exe или перезагрузите компьютер.

• Отключение службы WebClient.
Отключение службы WebClient поможет защитить уязвимую систему от атаки путем блокирования удаленной атаки через сервис Web Distributed Authoring and Versioning (WebDAV). После произведения данных действий, останется возможность для удаленной атаки и успешной эксплуатации уязвимости связанной с Microsoft Office Outlook и запуском программ на атакуемой машине пользователей сети (LAN), но при этом пользователь получит предупреждение о попытке запуска программ из интернет.

Для выключения службы WebClient воспользуйтесь следящими пунктами:
1. Пуск-Выполнить, впишите Services.msc и нажмите ОК.
2. Правой кнопкой щелкните по службе WebClient и выберите свойства.
3. Измените тип запуска на Отключено. Если эта служба запущена, то нажмите Стоп (остановить) .
4. Нажмите ОК и закройте приложение.

Проверка результата. Когда вы отключите службу WebClient, престанут посылаться запросы Web Distributed Authoring and Versioning (WebDAV), и любая служба зависящая от WebClient также не будет запускаться. Пока в корпорации не говорят, когда будет выпущено исправление. Пока же же пользователи могут защищаться путем отключения отображения ярлыков на съемных носителях или за счет отключения сервиса WebClient. Оба метода выполняются через реестр Windows.

[GunSmoker]

В отличие от autorun, этот - всё же вирус, атакующий через уязвимость. Уже закрытую, кстати (пользуясь случаем, передаю пламенный привет всем пираткам с отключенным авто-апдейтом).

Авторан же - это не уязвимость как таковая.

[JTG]

Кстати, (раз уж пошёл оффтоп ) кто-то в курсе как так получилось, что малварь с цифровой подписью?

[raxp]

OFFTOP >
там писали, что они писали производителям карточек, чью цифровую подпись использует малварь

Цитата:

Уже закрытую, кстати...

неужели? ссылку на fix от мелкософта в студию ...пока-же мелкософт рекомендует отключать службы

[Alter]

Цитата:

Сообщение от raxp

OFFTOP >
неужели? ссылку на fix от мелкософта в студию ...пока-же мелкософт рекомендует отключать службы

давно уже выпущено, ставится + перезагрузка.
http://www.securelist.com/ru/blog?pr...weblogid=32867


защита от авторан файлов на дисках-флешках проста:
1) форматируете флешку в NTFS
2) создаёте папку autorun.inf + внутрь создать пару папок любых
3) зайти в свойства папки, поставить атрибут скрытый(чтобы не мозолило глаза), только для чтения
4) и установить права доступа на папку, можно оставить только одного пользователя(оставить SYSTEM) с полным доступом.
всё

так же можно создавать подобным способом папки с именами самокопирующихся вирей, и флешка будет чиста.

[GunSmoker]

Цитата:

Сообщение от raxp

ссылку на fix от мелкософта в студию

Поиск или

Не знаю, кстати, чего такой вой подняли: "An attacker who successfully exploited this vulnerability could gain the same user rights as the local user."

Т.е. это не более чем несанкционированный автозапуск. Повысить права таким образом не получится.

[rastoman_bad]

Есть спец. программа. выполняющая именно эту задачу - защищает раздел дика паролем:
Disk Password Protection
http://www.exlade.com/ru/disk-password-protection