Как сделать распространение вируса по usb

Обновлено: 05.07.2024

HID-устройства, превращенные в «троянских коней», и кабели-шпионы могут использоваться для проникновения даже в изолированные системы.

Однако не стоит забывать о том, что USB-устройства — это не только флешки. Устройства типа human interface devices (HID), такие как клавиатуры и мыши, зарядные кабели для смартфонов и даже плазменные шары и термокружки — все они могут быть использованы при атаке на промышленные системы.

Краткая история зловредных USB-устройств

Кибероружие в виде USB-устройств появилось довольно давно, первые модели увидели свет еще в 2010 году. В них была небольшая программируемая плата Teensy со стандартным USB-разъемом. Они могли имитировать работу HID-устройства (например, клавиатуры). Злоумышленники быстро сообразили, что такие устройства можно использовать для проникновения: они разработали версию, которая умела создавать новых пользователей в системе, запускать программы с бэкдорами и загружать в систему вредоносное ПО, копируя его с устройства или скачивая с сайта.

Первая модификация Teensy получила название PHUKD. За ней последовала Kautilya, совместимая с большинством популярных плат Arduino. Позже появился Rubberducky — пожалуй, самый известный USB-эмулятор нажатий клавиш (скажем спасибо Mr. Robot), выглядевший как обычная флешка. Более мощное устройство под названием Bash Bunny использовалось для атак на банкоматы.

Второе поколение вредоносных USB-устройств было создано в 2014–2015 годах — среди них, в частности, печально известные решения на базе BadUSB. Еще заслуживают упоминания TURNIPSCHOOL и Cottonmouth, которые, возможно, были разработаны Агентством национальной безопасности США. Эти устройства были настолько крохотными, что запросто помещались внутри USB-кабеля. С их помощью можно было добыть данные даже из компьютеров, которые не были подключены ни к каким сетям. Это же самый обычный кабель — кто заподозрит неладное?

Как сейчас обстоят дела со зловредными USB-устройствами

Третье поколение USB-устройств, тестирующих системы на проникновение, — это уже совершенно другой уровень. Один из таких инструментов — WHID Injector. По сути, это Rubberducky с возможностью удаленного подключения. Благодаря поддержке Wi-Fi его уже не надо заранее программировать на определенный род деятельности: преступник может управлять устройством дистанционно, что дает ему возможность действовать по ситуации и работать в разных операционных системах. Еще один инструмент третьего поколения — P4wnP1, основанный на Raspberry Pi, модификация Bash Bunny с дополнительными функциями, включая беспроводное подключение.

Разумеется, и WHID Injector, и Bash Bunny достаточно компактны и легко помещаются в клавиатуру или мышь. На этом видеоролике показан ноутбук, который не подключен к Интернету ни по локальной сети, ни через Wi-Fi, но к нему подсоединена клавиатура с трояном, которая позволяет атакующему удаленно выполнять команды и запускать приложения.

Миниатюрные USB-устройства вроде тех, о которых мы говорили выше, можно запрограммировать так, чтобы они выдавали себя за определенную модель HID-устройства. Так можно обходить политики безопасности в компаниях, где требуют использовать мыши и клавиатуры только определенных производителей. В инструментах вроде WHID Injector также может быть микрофон, который используется для прослушки и наблюдения за сотрудниками. Одного такого устройства может быть достаточно, чтобы скомпрометировать всю сеть целиком, если она не сегментирована надлежащим образом.

Как защитить системы от вредоносных USB-устройств

Троянизированные мыши, клавиатуры и кабели-шпионы представляют серьезную угрозу даже для изолированных систем. Сегодня инструменты для таких атак стоят дешево, а чтобы их программировать, не нужны специальные навыки. Так что вам следует постоянно быть начеку.

Для защиты критически важной инфраструктуры следует использовать многоуровневый подход.

Одни из первых вирусов, которые стали появляться в компьютерной области, стали вирусы, которые распространялись при использовании дискет. После появления сети Интернет огромное количество вирусов стало распространяться посредством глобальной паутины.

Именно поэтому, большое количество производителей программного обеспечения стало разрабатывать мощное антивирусное обеспечение, а также файерволы и спам – фильтры, позволяющие контролировать содержимое различных присланных файлов и предотвратить появление спама компьютерах.

Большую опасность в настоящее время вызывают различные вирусы, которые могут селиться на флэш – картах. После того, как пользователь вставляет флэш – карту в компьютер, зловредное ПО заражает жесткий диск компьютера. Возможно и ситуация, когда зловредное ПО является "клавиатурным шпионом" и вся важная информация (пароли, ключи, важные файлы), которая находиться на компьютере клиента начинает попадать на компьютер программиста, который разработал вирус. Происходит перехват важной информации, а пользователь теряет секретность информации.

Для того, чтобы узнать о том, как предотвратить проникновение зловредного ПО с флэш – карты на компьютер необходимо понять, что представляют собой понятия "autorun" и "autoplay" (автозапуск и автопроигрывание). В том случае, если происходит автозапуск программы, то не исключается автоматический запуск зловредного ПО с флэшки и заражение всего компьютера. В другом случае, если нет программы установщика или оболочки, может включиться функция автопроигрывания.

В этом случае пользователь может либо копировать и удалить Важные данные, либо воспроизвести ту или иную программу. Обычно, при открытии флэшек срабатывает функция автопроигрывания. Оставив функцию автопроигрывания можно запустить и весьма опасные вирусы на компьютер. Именно эта функция позволяет активировать хакерскую программу.

В последнее время получают распространение и флэшки, которые имеют технологию U3 Smart. Используя технологию U3 Smart можно настроить компьютер на то, чтобы выбранные программы были запущены автоматически. При использовании технологии U3 Launch Pad можно выбрать те программы, которые будут запущены без участия пользователя. Однако, также можно быстро и просто переписать загрузочный файл оболочки, и он может превратиться в вирус.

Сегодня из флэшки можно заразиться огромным количеством самых различных вирусов и их количество с каждым днем возрастает в геометрической прогрессии. Одними из наиболее опасных флэш – вирусов являются такие вирусы, как "Switchblade" и "USB Hacksaw" (ножовка).

Такие вирусы являются чрезвычайно большой угрозой для учетных записей пользователя в "Windows", так как за считанные секунды этот вирус может взломать пароли учетной записи. Самая большая опасность в этом вирусе в том, что она может перемещаться в скрытую папку в компьютере, а после подключения флэшки он начинает свою коварную миссию. Основная задача вируса "Hacksaw" - это копирование важных документов и пересылка на электронный адрес хакера через защищенное SSL – соединение.

Существует два основных способа защиты флэшек. Первый способ – это не допустить проникновения вируса с флэшки с компьютер. Второй способ – не допустить, чтобы вирус попал на саму флэшку.

Один из самых простых способов обезопасить компьютер или ноутбук – это отключить автозапуск флэшек по умолчанию (используя специальные программы или проведя специальные действия на компьютере). Однако, применяя файл autorun.inf, профессиональные программисты могут оставить на флэшке ссылку на запуск вируса и тем самым загрузить его на компьютер. Именно поэтому следует чрезвычайно осторожно пользоваться окном автопроигрывателя.

Для защиты компьютера от вирусов необходимо выполнить следующие команды: Пуск - Выполнить - gpedit.msc - Конфигурация компьютера - Административные шаблоны – Система - Отключить автозапуск - Правой кнопкой мыши - Свойства - Включена - Всех дисководах - Применить.

Кроме того, можно отключить автозагрузку с дисков компьютера в редакторе реестра: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, а в значении параметра "NoDriveTypeAutoRun", вместо "95" или "91" прописать "FF".

Для того, чтобы максимально обезопасить данные, желательно также приобретать флэш – карты и USB – кардридеры с защитой от записи (write - protect) или с возможностью определения флэшки по отпечатку пальца.

Отличной защитой от вирусов является и использование т таких антивирусных программ, как: Kaspersky Antivirus и Antihacker, Dr. Web или других программ. Очень популярны и портативные антивирусы (portable - antivirus), такие как McAfee AVERT Stinger, Portable Antivirus, Avast, Virus Cleaner, ClamWin Free Antivirus Portable, McAfee AVERT Stinger.

Разумеется, что для того, чтобы максимально обезопасить компьютер от вирусов необходимо применять все виды защиты компьютера в комплексе. Именно в этом случае, Вы можете гарантировать защиту Вашего компьютера от вирусов.

Пожалуй, это самый “заразный” способ передачи вирусов между компьютерами, потому что он действует даже при отключенном интернете. Причем на отрезанных от Всемирной Сети компьютерах ситуация ухудшается из-за того, что антивирусы и Windows не получают своевременных обновлений для своей защиты.

Проблема решается относительно легко с помощью бесплатной xUSB Defenc. Она поможет восстановить удаленные вирусом папки с флешки (на самом деле просто скрытые) и будет автоматически очищать флешки от некоторых типов вирусов.

Симптомы вирусов на флешках

Симптомы весьма разнообразны, так как вирусов бесчисленное множество. Вот наиболее распространенные из них:

• Наличие файла autorun.inf на флешке.
• Появление папки Recycler на флешке.
• Вместо папок появились ярлыки или программы с именами папок.
• Исчезают папки и файлы с флешки, хотя вы их не удаляли.
• Флешка не хочет “безопасно извлекаться” – появляется ошибка, говорящая о занятости устройства.
• При открытии флешки появляется окно с ошибкой.
• При открытии папок окна с содержимым этих папок появляются в новом окне.

Все это и многое другое может говорить как о том, что на флешке похозяйничал вирус, так и о том, что на вашем компьютер этот вирус запущен.

О файле autorun.inf– это вообще-то полезный файл, в котором прописано – какую программу запускать при открытии диска. Удобно при установке программ и игр с DVD, но, к сожалению, в нем также можно прописать команду запуска вируса. Чем, собственно, не преминули воспользоваться вирусописатели, размещая этот файл на флешках.

Как происходит заражение – что делает вирус

Типичное поведение autorun-вируса:

1. Копирование себя в папку Recycler или куда-нибудь еще на флешке.
2. Дублирование себя по всей флешке, называя его именами находящихся там папок (или создание ярлыков на свою копию, что почти одно и то же).
3. Установка атрибутов “скрытый” и “системный” на файлы и папки, чтобы скрыть настоящие папки от взора пользователя и подсунуть свои копии или ярлыки на вирус вместо них (см. пункт 2).
4. Создание файла autorun.inf в корневой папке флешки (той, которую вы видите, открыв флешку).

Если открыть такую псевдопапку или просто нажать по значку флешки в Моем компьютере, запустится вирус, который постарается прописать себя в системе. Запущенный вирус будет проверять, какие флешки вы вставляете в USB-порт компьютера и записывать себя на них.

Почему эти вирусы так распространены

Причин здесь несколько. На мой взгляд, самая главная причина – пренебрежение антивирусной защитой. Чтобы защитить компьютер от угроз, надо не только установить антивирус, но и следить за обновлением его баз.

Вторая причина довольно печальна – использование пиратских версий Windows, в которых часто отключена возможность автообновления системы. Дело в том, что в Windows есть Центр обновлений, который загружает исправления, перекрывающие лазейки для вирусов. Например, в феврале 2011 года вышло обновление, запрещающее автозапуск для флешек, что лишило возможности размножаться вирусам, распространяющихся исключительно с помощью файла autorun.inf. Системы, где отключена проверка обновлений, не получат этой “заплатки”.

Третья причина – невнимательность и незнание. Чтобы определить, что перед вами – папка или программа – достаточно навести стрелочку на значок и подождать. В появившейся подсказке будет важная информация о том, папка ли это или программа. Если программа маскируется под папку (имеет значок папки) – это наверняка вирус. Если на флешке остались одни ярлыки – тоже вирус.

Четвертая причина – вирусы для флешек очень легко создать. Любой человек, мало-мальски знакомый с программированием, способен написать такого зловреда. Меня печалит, что люди расходуют свой талант и ум во вред окружающим.

Борьба с autorun-вирусами

Autorun-вирусы появляются постоянно, практически ежедневно. Ни один антивирус, даже самый продвинутый, не способен вычислить всю новую заразу. Всегда проходит какое-то время до того, как вирус попадает в базу антивируса для опознания. Возникает резонный вопрос:

Что же делать? Как защитить флешку от вирусов?

Способов достаточно много, но я остановлюсь на самом простом для начинающего пользователя. Поэтому, например, ситуации корпоративного уровня я рассматривать не буду – системные администраторы знают множество способов защиты от вирусов, статья будет бесполезна для них. Я сосредоточусь на защите домашних компьютеров.

Существует несколько способов борьбы с autorun-вирусами:

• Отказ от использования USB-портов и интернета. Конечно, это утопия. Точно так же можно было бы засунуть компьютер в бункер для сохранности. Домашнему компьютеру необходимы USB-порты и интернет, ведь это нужно его владельцу.
• Запрет запуска всех программ с флешки. Довольно хороший вариант, но имеет существенные недостатки: такая настройка Windows будет сложна новичку, вирусы с флешки никуда не денутся, нельзя будет запускать безопасные программы.
• Использование хорошего антивируса. К сожалению, даже всеядный Антивирус Касперского может “зазеваться”, позволив вирусу запуститься. Это происходит потому, что у вируса может быть нетипичное поведение, которое не распознается защитой. К тому же после удаления вирусов скрытые зловредами папки остаются скрытыми.
• Использование специальной программы для защиты от autorun-вирусов. Этот вариант обязательно должен использоваться вместе с предыдущим – с использованием полноценного антивируса. Специальная программа для защиты флешек от вирусов просканирует на наличие подозрительных файлов вставленную флешку и удалит вирусы (либо отправит в карантин). Также она восстановит скрытые файлы на флешке. К сожалению, если вирус уже запущен, то получится сизифов труд – вирус будет копировать себя на флешку, а программа – удалять. Причина использования вместе, а не вместо антивируса, очевидна.

Мой компьютер – моя крепость

Необходимо обеспечить максимально “прочную” защиту своего компьютера. Для этого необходим антивирус и программа для удаления вирусов с флешек.

Антивирус должен быть установлен, работать правильно

В первую очередь откройте настройки вашего антивируса и убедитесь, что нет никаких предупреждающих надписей. Базы должны быть обновлены, лицензия – работать. Если у вас не установлен антивирус, то вам придется его установить. Здесь я дал краткий обзор самых популярных бесплатных антивирусов. В случае отсутствия интернета на компьютере антивирус не сможет сам обновляться, что вполне логично. Почитайте справку вашего антивируса о том, как обновлять его базы вручную. Почти все антивирусы это умеют. Интернет, конечно, понадобится, но не обязательно на вашем компьютере

xUSB Defence – антивирус для флешек

Вообще-то таких программ много – Anti-autorun, Зоркий глаз, Autorun Eater, USB Disk Security и десяток-другой подобных. Я остановился на xUSB Defence по одной причине – она работает наиболее быстро и незаметно (хотя есть и проблемы), а также бесплатна. Официальная страничка программы здесь.

К сожалению, без регистрации ее не скачать, поэтому воспользуйтесь этой ссылкой для загрузки (запасная ссылка) – там можно скачать программу сразу.

Программа маленькая – один мегабайт. Установка проста. После запуска программы появится значок в трее:

Щелчок левой кнопкой мыши открывает окно настроек, правой – меню. Настроек у xUSB Defence много, но их назначение понятно. Описывать нет смысла.

Остановлюсь на нескольких важных моментах:

1. Программа может автоматически удалять либо переносить в папку карантина вирусы и прочие программы с флешек. Проблема в том, что папка карантина по умолчанию находится в C:Program FilesxUSB DefenceQuarantine. Это неправильно, потому что любая программа в Windows Vista, 7 и 8 не имеют прав для записи туда. Придется либо всегда запускать программу от имени администратора (что неудобно) или переназначить соответствующую настройку. А можно просто удалять или переименовывать подозрительные файлы – все это настраивается, решать вам. То же самое относится к опции записи лога.
2. В программе есть опция Включить режим “Работа с документами”. Когда стоит галочка на этом режиме, все файлы, кроме документов, с флешки удаляются. Будьте осторожны!
3. xUSB Defence – не антивирус, а только дополнение к нему. Она не способна отличить вирусы от обычных программ! Все, что она делает – удаляет или обезвреживает файлы, исходя из их названия и расположения. Если вы храните программы на флешке, не настраивайте xUSB Defence на удаление.
4. Приятная возможность – автоматическое снятие атрибутов “Скрытый” и “Системный” с файлов и папок. То есть программа “восстановит” скрытые вирусом папки и файлы. Cкрытые папки и файлы можно посмотреть и с помощью средств Windows – достаточно открыть Панель управления – Параметры папок – Вид и снять галочку с Скрывать защищенные системные файлы, выбрать Показывать скрытые файлы, папки и диски – OK. В случае использования xUSB Defence настраивать Windows не придется – программа будет автоматически восстанавливать скрытые папки на флешках.

Я приведу скриншоты наиболее оптимальных, с моей точки зрения, настроек. Никакие файлы не будут удаляться, только переименовываться – это затруднит запуск вирусов и в то же время обезопасит нас от удаления чего-то важного. Скрытые вирусом папки и файлы будут восстанавливаться. Программа будет работать сама по себе, запускаясь при включении компьютера автоматически.

Вот мои настройки:

Вкладка “Общие” – настраиваем на автоматический режим работы

Вкладка “Защита USB” – сначала надо сдвинуть ползунок вверх до упора, затем установить галочки

Здесь и в следующих двух вкладках ничего не трогаем – все настроено наиболее оптимально

Обратите внимание на то, что в настройках я снял галочку с пункта Сканировать в подкаталогах (Замедляет сканирование). К сожалению, если включить эту опцию, программа сначала лезет вглубь папок, разыскивая вирусы там. Это неправильное поведение, потому что в первую очередь надо сканировать корневую папку флешки – ту, что мы видим при ее открытии – чтобы обезвредить вирусы, вероятность запуска которых наиболее высокая. Так что учтите – если вам нужна максимальная защита, галку придется поставить, но будете ждать проверки флешки долго – до пяти минут.

Комбинация из работающего антивируса и настроенной программы xUSB Defence хорошо защитит компьютер от вирусов с флешек. К сожалению, хорошо – не значит идеально. Есть два грустных момента:

1. Сканирование вирусов в подпапках в xUSB Defence поставлено из рук вон плохо. Проверка идет слишком долго, наиболее уязвимое место (корневая папка, показываемая при открытии флешки) проверяется в последнюю очередь. Впрочем, в остальных программах такого рода ситуация аналогична.
2. Вирусы – это не только .exe файлы программ, но и макросы (подпрограммы) внутри обычных документов, интернет-страниц. Если первые обнаруживаются легко, для вторых нужен грамотно работающий антивирус. Пример вируса, распространяющегося через документ формата Microsoft Word.

Стопроцентной защиты от вирусов не будет никогда. Но можно добиться чего-то, близкого к этому. В этом вам помогут эта и остальные заметки на тему антивирусной защиты.

Настройка геймпада на ПК

Список из десяти киберугроз для съёмных носителей, основанный на данных глобальной облачной сети Kaspersky Security Network (KSN), включает семейство троянцев Windows LNK, уязвимость CVE-2010-2568, которую применили при внедрении Stuxnet, и известного криптомайнера Trojan.Win64.Miner.all.

Эксперты «Лаборатории Касперского» рассказали о том, какие зловреды чаще всего заражают компьютеры через USB-накопители. Список из десяти киберугроз для съёмных носителей, основанный на данных глобальной облачной сети Kaspersky Security Network (KSN), включает семейство троянцев Windows LNK, уязвимость CVE-2010-2568, которую применили при внедрении Stuxnet, и известного криптомайнера Trojan.Win64.Miner.all.

Криптомайнер, детектируемый KSN как Trojan.Win32.Miner.ays и Trojan.Win64.Miner.all, известен с 2014 года. Он загружает приложение для майнинга на заражённое устройство, затем устанавливает и незаметно запускает его. Доля обнаружений 64-битной версии этого вредоноса увеличивается: в 2017 году она выросла на 18% по сравнению с 2016 годом, а в 2018 году — на 16% по сравнению с 2017 годом.

В августе 2018 года USB-устройства были задействованы в атаках Dark Tequila — сложного банковского зловреда. Более того, по данным KSN, в первой половине 2018 года 8% киберугроз, нацеленных на промышленные системы управления, были распространены именно посредством съёмных носителей.

«Лаборатория Касперского» рекомендует придерживаться нескольких простых правил, чтобы использование USB-устройств и других съёмных носителей было безопасным.

Советы для всех пользователей:
— будьте осторожны с устройствами, которые подключаете к компьютеру;
— используйте защитное решение, которое проверяет все съёмные носители на наличие вредоносного ПО;
— инвестируйте в зашифрованные USB-устройства от надёжных производителей: таким образом, ваши данные будут в безопасности, даже если вы потеряете такое устройство;
— убедитесь, что все данные, хранящиеся на USB-устройстве, шифруются.

Читайте также:

  
• Умная розетка irbis irhs10 обзор
  
• Невозможно выполнить файл во временном каталоге ошибка 5
  
• Вывести из файла только числа c
  
• Как выключить режим энергосбережения на планшете хуавей
  
• Как настроить разрешение экрана на телевизоре через hdmi