Trojan INF/Autorun Aliasy... 1 Jak se šíří... 1 Z čeho se skládá... 1 Jak se projevuje... 2 Odstranění... 2 Jak předcházet nákaze... 3 Podrobné informace o viru... 4 Aliasy Jak ho identifikují různé antiviry: Win32/VB.AQT (Nod32) Trojan.Vb.AQT; (BitDefender) Trojan.Win32.VB.aqt (Kaspersky) Win32:VB-DYC (Avast) Jak se šíří Šíří se výhradně přes výměnná paměťová média jako USB disky, externí pevné disky, MP3 přehrávače apod. K infikování stačí vložit médium do USB portu infikovaného počítače a automatický proces způsobí, že se vir nakopíruje i na toto médium. Od tohoto okamžiku máte infikované médium. Pokud ho vložíte do jiného počítače se zapnutým automatickým přehráváním po vložení (defaultně zapnuto), vir se do něj překopíruje a infikuje všechny jednotky (C:, D:, E: ). Celý proces se pak opakuje. Z čeho se skládá Vir se skládá z jednoho souboru Autorun.inf a složky Recycled s infikovanými soubory. Při spuštění infikovaného souboru se na všechny diskové jednotky nakopíruje soubor s názvem Autorun.inf. Obsah souboru Autorun.inf odkazuje na sobory, které mohou mít jakoukoliv spustitelnou příponu:.exe,.com,.vbs,.cmd,.bat,.pif,.scr Stránka 1 z 5
Všechny uvedené soubory a složky mají nastavené atributy Skrytý a navíc ještě Systémový (nestačí zapnout Zobrazovat skryté soubory a složky, ale ještě povolit zobrazení systémových souborů!). Jak se projevuje Při poklepání na ikonu se neotevře okno průzkumníka, ale spustí se kód v souboru Autorun.inf Některé varianty trojana INF/Autorun vytváří blokaci disků a znemožňují jejich otevření a práci s nimi někteří tak z neznalosti disk naformátují! Nedělejte to! Nejjednodušší způsob, jak se dostat na takto zavirovaný disk, je kliknout na něj pravým tlačítkem myši a ze zobrazené nabídky vybrat příkaz Prozkoumat. Tím se ovšem viru nezbavíte! Odstranění Odstranění viru spočívá ve smazání všech složek, odkazů a souborů, které si vir vytvořil. Nejjednodušší je použít dávkový soubor, který to udělá za vás (není to kouzelné zaklínadlo, ale obyčejné příkazy příkazového řádku): 1. Spusťte Poznámkový blok 2. Vložte do něj tento text: attrib -R -A -S -H autorun.inf del /F autorun.inf attrib -R -A -S -H Recycled rmdir /S /Q Recycled 3. Soubor uložte pod názvem například autorun-remover.bat (ne.txt!!!) 4. Překopírujte ho na infikovanou flasku a poklepáním ho spusťte 5. Opakujte pro všechny jednotky (C:, D : ) Dále je nutné odstranit automatické spouštění programu ctfmon.exe, který je jednou ze součástí viru. 1. START Spustit msconfig Enter spustí se aplikace Konfigurace systému (viz obrázek pouze ilustrativní) Stránka 2 z 5
2. Klepněte na záložku Po spuštění, najděte výskyt ctfmon.exe a zrušte u něj zatržení. 3. Klepněte na OK. Budete vyzváni k restartu systému. Učiňte tak. Pro jistotu ještě nezapomeňte odpojit flasku!!! 4. Po restartu vás systém bude informovat o výběrovém spuštění. Zatrhněte volbu Příště nezobrazovat a pokračujte klepnutím na tlačítko OK. Tímto by měly být všechny soubory a složky s virem INF/Autorun odstraněny. Rada na závěr: Pro jistotu si ale raději nechte vámi vytvořený dávkový soubor autorun-remover.bat v záloze na všech jednotkách disků, USB disků, MP3 přehrávačích apod. Jeden nikdy neví, kdy se bude opět hodit. Jak předcházet nákaze Prevence spočívá v blokaci souboru Autorun.inf. Pokud se totiž automaticky nespustí, nemohou se nakopírovat infikované soubory do systému. Problém je ale v tom, že postup je možné aplikovat pouze v systémech Windows XP Professional a Vista Business a vyšší. V edicích Home nikoliv. 1. START Spustit gpedit.msc Enter 2. Větev Konfigurace počítače Šablony pro správu Systém 3. Vpravo poklepejte na Vypnout automatické přehrávání 4. Volbu Není nakonfigurováno změňte na Vypnuto Stránka 3 z 5
5. V rozevíracím poli Vypnout automatické přehrávání na vyberte Všech jednotkách 6. Potvrďte OK 7. Totéž proveďte ve větvi Konfigurace uživatele 8. Nastavení je platné okamžitě, není třeba restart. Od této chvíle se po vložení jakéhokoliv výměnného média včetně optických disků nezobrazí obligátní okno s nabídkou, co chcete udělat. A to byl smysl celého snažení. Autorun.inf se nemá jak automaticky spustit. Podrobné informace o viru Pokud se chcete s virem INF/Autorun seznámit podrobněji, čtete dále. Po spuštění infikovaného souboru, se nakopírují do systému tyto soubory: %userprofile%\start Menu\Programs\Startup\ctfmon.exe %systemdrive%\autorun.inf %systemdrive%\recycled\recycled %systemdrive%\recycled\recycled\ctfmon.exe %systemdrive%\recycled\desktop.ini %systemdrive%\recycled\info2 %systemdrive%\recycled\recycled\ctfmon.exe %systemdrive%\resycled %systemdrive%\resycled\boot.com Do registru Windows se zapíší tyto hodnoty: ou ntpoints2\f] \Shell\AutoRun\command F:\x0.cmd \Shell\explore\Command F:\x0.cmd \Shell\open\Command F:\x0.cmd ou ntpoints2\{82f3eb36 41ec-11dd-b5d1 00163679e05a}] \Shell\AutoRun\command e:\autorun.bat \Shell\explore\Command e:\autorun.bat \Shell\open\Command e:\autorun.bat ou ntpoints2\g] \shell\autorun\command C:\Windows\system32\RunDLL32.EXE \Shell32.DLL,ShellExec_RunDLL recycled\ctfmon.exe \shell\open\command recycled\ctfmon.exe Stránka 4 z 5
Obsah souboru Autorun.inf: Soubor Autorun.inf je obyčejný textový soubor, který lze otevřít v Poznámkovém bloku (Notepadu), PSPadu apod. [autorun] shellexecute=recycled\ctfmon.exe - pro starý systém Windows, které ještě spouštěly autorun při vloženi shell\open(&0)\command=recycled\ctfmon.exe - pro novější systém Windows. V exploreru přidá jednotce asociované s flashkou novou akci Open, která při dvojkliku na jednotku v exploreru místo procházení diskem, spustí.exe viru shell=open(&0) - a nastaví ji jako defaultní akci Na systémové jednotce C: se vytvoří složka s názvem Recycled, Resysled apod., v které jsou infikované soubory. Vir se nakopíruje i do složky Po spuštění a vytvoří hodnoty v registru, čím si zabezpečí automatické spuštění při startu systému. Stránka 5 z 5