Mam odtwarzacz mp3 grundig MPaxx 703 ze złaczem USB. Oczywiście włożenie go po raz pierwszy do portu USB powoduje zainstalowanie go jako urządzenia - w tym przypadku jako urządzenie przenośne (tak pokazuje manager urządzeń).
Okazało się, że w katalogu głównym był plik Autorun.inf z opcjami ukryty systemowy. Były tam też inne pliki dodatkowe z nim związane też ukryte i systemowe. Ich treść jest na pliku grundig.rtf do ściągnięcia z http://www.wrzucaj.com/563909 (trzeba odczekać 45 sekund, po czym wyświetli się link do pobierania).
Mam tak ustawione, żeby explorator pokazywał wszystkie pliki również te uktyte systemowe, jednak tych na MPaxx nie pokazywał, więc o nich nie wiedziałem. To ukrycie prawdopodobnie było to spowodowane zmianą rejestru, którą dokonywał Autorun.inf przy instalacji.
Autorun.inf powoduje wykonanie pliku autorun.vbs.
Ten plik z kolei uruchamia Autorun.bat
w którym jest wykonanie skryptu Autorun.reg modyfikujacego rejestr.
Windows Registry Editor Version 5.00
autorun??
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
Efekt tego jest taki, że pliki Autorun.* z katalogu głównego oraz jeden z katalogów na MPaxxjako ukryte systemowe nie były pokazywane.
Jest to dobry mechanizm ukrywający wykonywanie dowolnego programu po włożeniu MPaxx do portu - użytkownik nie ma szans dowiedzieć sie, że z pendriva wykonuje się Autorun.inf bo rejestr i menu exploera Windows są zmieniane i plików Autorun.* nie widać.
Aby niedopuścić do takiej sytuacji trzeba by zablokować wykonywanie autrorun.inf i/lub niedopuścić do zmiany rejestru powodującej ukrywanie tych plików.
Ale np. Outpost Firewqal Pro nie zaalarmował, że rejestr został zmieniony, prawdopodobnie traktując to jako część procesu instalacji urządzenia.
Pomysł by odhaczać wykonywania autorun.inf z poziomu menagera urządzeń nic nie daje, bo to można zrobić dopiero po zainstalowaniu urządzenia. A wydaje się, że natychmiast po zainstalowaniu MPaxx Windows wykonuje autorun.inf, co w konsekwencji zmienia rejestr i pendrive wydaje się czysty, więc po co go odhaczać.
Problem nie jest błachy, bo tym sposobem można sobie zainstalowac jakiegoś trojana, kupując w sklepie wydawałoby się czyste urządzenie.
Mój problem jest taki - jak się generalnie zabezpieczyć przed wykonywaniem autorun.inf w trakcie instalacji urządzenia lub bezpośrednio po niej.
