Προσέξτε που το βάζετε! (κυκλοφορούν και ιοί!)

Στα τόσα χρόνια που ασχολούμαι με υπολογιστές ελάχιστοι ιοί έχουν καταφέρει να εισβάλουν στα εκάστοτε συστήματά μου και όποτε έχει συμβεί δεν έχει εξελιχθεί σε επιδημία. Την τελευταία χρονιά όμως ένας ιός κατάφερε να ξεγελάσει όχι μόνο τον δικό μου υπολογιστή αλλά και τους υπολογιστές των περισσότερων φίλων μου!

Επισκέπτεσαι ένα φιλικό σπίτι. Αφού κάτσεις στον υπολογιστή και χαζέψεις για λίγη ώρα με τα αρχεία του φίλου σου συνειδητοποιείς ότι «αυτό το τραγούδι το θέλω». Βάζεις λοιπόν το χέρι σου στην τσέπη και βγάζεις το φλασάκι σου από τα κλειδιά σου. Προσπαθείς να το συνδέσεις στον υπολογιστή για να πάρεις τα mp3 που θέλεις. Μέγα λάθος!

Με το που συνδέεις το flash drive στο pc του φίλου σου άμεσα αναγνωρίζεται από τα Windows. Στη συνέχεια εμφανίζεται ένα φιλικό παραθυράκι με επιλογές για το τι θα κάνεις στη συνέχεια. Αυτό είναι και το λεγόμενο Autorun. Αντιγράφεις τα αρχεία που θέλεις και κάνεις αποσύνδεση τη συσκευή. Μαζί με τα αρχεία όμως αντιγράφεται και το worm χωρίς να καταλάβεις τίποτα!

Επιστρέφεις στο σπίτι σου και συνδέεις το φλασάκι με το pc. Χωρίς να το καταλάβεις και πάλι, το worm εγκαθίσταται στον υπολογιστή σου και είναι έτοιμο να προσβάλλει κάθε usb drive που θα συνδεθεί!

Φυσικά όλα τα παραπάνω θα συμβούν μόνο εάν και οι δυο υπολογιστές δεν έχουν Antivirus. Τι μπορεί να προκαλέσει όμως ένας τέτοιος ιός και ποιον τρόπο χρησιμοποιεί για να αντιγράψει τον εαυτό του; Έχω έρθει σε επαφή με 2 από αυτούς. Αν έχετε υπ’ όψη σας κι άλλους, γράψτε μια περιγραφή σαν σχόλιο σε αυτό το post.

W32/RJump.worm
Το συγκεκριμένο worm αντιγράφει 3 αρχεία σε κάθε αφαιρούμενο δίσκο που θα συνδεθεί. Ένα αρχείο autorun.inf για την αυτόματη εκτέλεση του κάθε φορά που ο δίσκος συνδέεται στα Windows, ένα αρχείο msvcr71.dll το οποίο στην ουσία δεν χρησιμοποιείται και το εκτελέσιμο αρχείο ravmon.exe που στην ουσία είναι το ίδιο το worm.

Μόλις κάποιος συνδέσει τον δίσκο σε υπολογιστή χωρίς Antivirus με αυτόματο Autorun, το worm αντιγράφεται σε αυτόν και καλεί την εντολή %Windir%\%Sysdir%\cmd.exe /c netsh firewall add portopening TCP 16942 NortonAV, η οποία εισάγει μια θύρα στις επιτρεπόμενες του Windows Firewall. Αυτή χρησιμοποιείται για την επικοινωνία του ιού με τον κατασκευαστή της.



VBS.RunAuto
Πρόκειται πάλι για worm το οποίο αντιγράφει τον εαυτό του σε όλους τους δίσκους, αφαιρούμενους και μη. Έτσι κάθε φορά που εσείς προσπαθείτε να δείτε τα περιεχόμενα ενός σκληρού σας με διπλό κλικ, στην πραγματικότητα εκτελείτε το worm. Αυτό φυσικά μπορεί να το καταλάβει κάποιος αφού ο υπολογιστής κάνει αρκετή ώρα για να εμφανίσει τα αρχεία του δίσκου, ενώ αντί να ανοίξουν στο ίδιο παράθυρο δημιουργεί νέο…



Τα αρχεία του worm αποθηκεύονται στον φάκελο του συστήματος (πχ. C:\Windows\System32) και αντιγράφονται σε κάθε αφαιρούμενο δίσκο που θα συνδεθεί, εκτός από δισκέτα. Ομοίως με το προηγούμενο worm, έτσι κι εδώ συναντούμε τα αρχεία autorun.inf και exe αλλά και 3 επιπλέον αρχεία (vbs, reg, bat) με το ίδιο όνομα.

Ο ιός εισάγει νέες τιμές στην Registry του συστήματος για να ενεργοποιήσει το autorun, να τρέχει κάθε φορά που γίνεται εκκίνηση των Windows και να ξεγελάσει τον Windows Explorer, έτσι ώστε να μην εμφανίζονται τα αρχεία του.

Πως μπορώ να προστατευθώ;
Ο καλύτερος τρόπος είναι να εγκαταστήσετε κάποιο πρόγραμμα Antivirus (Σώπα ρε μεγάλε!). Μπορείτε να βρείτε σχετικά links στα Windows Essentials του Something Digital (δείτε την κατηγορία Protect.It). Μια έξυπνη λύση είναι να εγκαταστήσετε κάποιο Portable Antivirus στο φλασάκι σας για να έχετε το κεφάλι σας ήσυχο!

Χωρίς μια τέτοια εφαρμογή είναι αδύνατον να γλιτώσετε από αυτά τα worms καθώς όλο και κάποιος επισκέπτης θα προσβάλλει ξανά τον υπολογιστή σας!

Περισσότερα για το RavMonE