自動再生 無効化 EeePCをUSBウィルスから守る。USBウィルスの感染メカニズムの詳細。

0
    自動再生 オフ 禁止 抑制 USBウィルス防御システム「PeopleAutorunLock」。「MAL_OTORUN1」,「WORM_AUTORUN」「W32/SillyFD-AA」,「W32/LiarVB-A」,「 「WORM_QQPASS.A」」などからパソコンを守る。
     目次タイトル9章1.1.「USBウィルス対策」の紹介。Autorun.infの問題。
     自動再生をオフにする方法を説明する。
     前回において、今最も危険なウィルスの存在を紹介し、その対策ソフトの無料配布をアナウンスした。無料配布は遅れている申し訳ない。総合テストは終了しているのだが、もう少しお待ちいただきたい。、画面のレイアウト、文言修正の化粧直しに時間を取られている。

     今回は、USBを接続しただけで、なぜウィルスに感染するのかそのメカニズムを紹介しよう。
     実際にウィルスもどきを作って説明する。
    ■PR・・・Eee PCの高速化に最適です
    Windows 高速化 プチフリバスター
    --->
    Eee PC高速化・SDHCのHDD化 プチフリバスター製品紹介ページ



    USB感染ウィルスの感染テスト。USBを接続すると次のように成りすまし実行できる
    [クリックで拡大]

     USBメモリを接続すると、このようなランチャー画面が出現する。この画面はみなさんご存知だろう。。。
     この画面の表示メカニズムが実はセキュリティホール(ウィルスの進入経路)になっているのである。

     ネットカフェに入り、そこのパソコンにUSBメモリを接続する。そのUSBを自分のパソコンに接続してから、おかしくなった。。。この手のウィルスはそのような感染の仕方をする。

     極めて性質が悪い。まさか、USBを接続しただけで感染するとは思わないだろう。USBメモリはただのディスク装置だから、ウィルスプログラムが感染するわけがないと普通は思う。その陥穽をついている。

    1.極めて危険なAutorun.iniファイル
     USBやCD−ROM用に「Autorun.inf」と「Autorun.ini」という特別な文書ファイルが仕様で決まっている。このうち、「Autorun.ini」は感染率99%の凶暴さをもつ

    USBウィルスの感染元、危険なiniファイル

     Autorun.iniの中を実際に除いて見よう。
     これらのファイルは実はただのテキストファイルだ。Windows標準の「メモ帳」でそのまま開き、あまつさえ修正できる(!)。

    USBメモリウィルスの感染率99%、危険なiniファイル

    ■appath構文
    appath=open=ここに実行したいプログラム(例えばウィルス)の名前を書く。

     さて、上のAutorun.iniを保存したUSBをWindowsXPに接続してみようどうなるか。。。もちろん、USBには「メモリチェック27.exe」も保存している。
    USB感染ウィルスの実際。感染アルゴリズムを追試する。
    [クリックで拡大]

     USB接続事にでるお馴染みのランチャー画面の後ろを見て欲しい。。。そう、同時に、appath構文で記述した、ここでは「メモリチェック27」が起動している。背面のダイアログを次の図に示す。

    ランチャの裏に隠れているダイアログ
    [クリックして拡大]

     ここに、自己複製書き込み型プログラム(通称ウィルス)を指定すれば即感染となるわけだ。。。

    -2008.07.10ここから追記-

     ラボにあるパソコンで、この「ウィルスもどき」の動作を調べる。。。99%といかないまでも極めて危険であることがわかる。

    ■WindowsXPホーム・デスクトップ---自動実行成功(ウィルスなら感染)
    ■WindowsXPホーム・FIC製ノート---自動実行成功(ウィルスなら感染)
    ■VISTA アルチメット・デスクトップ---自動実行成功(ウィルスなら感染)
    ■EeePC 4G-X・工場出荷状態---自動実行失敗(安全?)
    ■EeePC 4G-X・Windows自動更新をかける---自動実行成功(ウィルスなら感染)

     やはりEeePCはどこか、設定をカスタマイズしているのだろう。。。工場出荷状態では安全であったが、、、Windowsの自動更新をかけたら、OUTであった唖然

     Autorun.iniが如何に危険か、、、一般設定のWindowsであれば即ウィルス感染する事が証明できたと思う。

    1.1.Autorun.ini対策
     残念ながら、このセキュリティホールを解決する既存の方法を私は知らない。ラボで導入しているアンチウィルスシステムでは防御できない。ラボのアンチウィルスシステムは感染してから駆除系が始まるというものだった。。。

     この問題を解決するためには、Windowsが行うAutorun.iniファイルの読み取りを禁止する必要がある。WindowsがUSBを認識すると自動的に、つまりユーザのあずかり知らぬところでAutorun.iniを読み実行する。従い、Windowsに介入してAutorun.iniの読み込みをブロックする必要がある。

     このようなわけで、ラボでは「PeopleAutorunLock」という無料配布型の検疫ソフトを作った。「PeopleAutorunLock」は内部の制御プログラムの名前だ。。。正式名称は「USBウィルス対策」と命名した。実は、本ソフトの無料配布が遅れているのも、このような名前、テクニカルタームの統一というソフト開発とは異なる所での擬装が原因である。。。いろいろと難しい。


    [クリックで拡大]

     「USBウィルス対策(PeopleAutorunLock)」の操作画面を示す。上の図をクリックして欲しい。図のチェックを入れることにより、WindowsはUSBメモリ上のAutorun.iniを読み込み実行できなくなる。

     完全にブロックされるわけだ。
     このようにして、「USBウィルス対策」は、USB感染ウィルスをブロック(遮断)する。「MAL_OTORUN1」,「WORM_AUTORUN」「W32/SillyFD-AA」,「W32/LiarVB-A」,「 WORM_QQPASS.A」という性質の悪いウィルスに有効だと思っている。

     「USBウィルス対策(PeopleAutorunLock)」は、弊社のSDHCカードをHDD化する「f2d」とまったく同じ原理で動作する。つまり、Windowsよりも深い基底で動作する。

    USBウィルスを遮断するメカニズム

     図にするとこのようになる。
     WindowsがUSBを読み書きしようとしたときに、間に介在する。そして、もし対象がAutorun.ini(あるいはinf)であったときは、ブロックしして遮断する。

     WindowsはAutorun.ini(あるいはinf)の読み取りを禁止される。結果、USBウィルスの自動実行を遮断する。

    2.まだまだ危ないinfファイル

     Autorun.iniの凶暴性で陰が薄いが、、、現在、ワクチンメーカのHPを見るとUSBウィルスはAutorun.inf経由だという。

     確かに、、、Autorun.infも真綿を締めるように危険なのである。

     Autorun.infは、iniとだいたい同じだ。
    iniが専用ソフトのインストール用と規定しているのに対し、infは「気を効かしてプログラムを自動実行する」というものだ。
     USBやCD−ROMを接続した時点で自動実行するプログラム(厳密にはスクリプト)として使用する。

     もともとCD−ROM用に定めたものなのでUSBメモリの上では、機能制限がありウィルスの感染元としては少し弱い。論より証拠見ていこう。

    2.Autorunファイルの実際
     Autorun.inf(ini)の中を実際に除いて見よう。
     これらのファイルは実はただのテキストファイルだ。Windows標準の「メモ帳」でそのまま開ける。iniと同じだ。

    Autorun.infの中身をみる

     このようなものだ。。。これは私が簡単に作ったウィルスもどきのAutorun.infだ。。。実に簡単である。

    -----------------------------------
    [Autorun]
    open=ここに実行したいプログラム(例えばウィルス)の名前を書く。
    ACTION=ここに地雷となる文言を入れる。
    -----------------------------------

     これだけの文章(スクリプト)を書けば良い。
    実はこれだけであっさり、USBウィルス感染システムが出来上がる。

    ■open=〜〜〜
     〜〜〜にプログラムを入れれば良い。
    CD−ROMの場合は、この〜〜〜は無条件に実行する危険な構文だ。。。USBの上では一部の例外を除き無効になる。

     この一部の例外というのはWindowsの種類、および設定により異なるのだが、、、

    ・Windows2000は、あっさり〜〜〜を実行する危険がある。
     確か、OSに無条件にプログラムを起動するか否かの設定
     あったと記憶する。
     ※昔、レジストリという設定を操作して実行させた記憶がある。
    ・XPはそのようなことはない。通常は〜〜〜は実行しない。
     いろいろテストしたが大丈夫だった。
    ・VISTAは、設定如何では実行すると聞いている。
     これはWebで他の方の受け売りなので正確な事を言えない。

     読者の方はな〜〜んだ安心ではないかと思うだろうが、そこはギッチョンキリギリス、二重三重に落とし穴が待っている。
     次の「ACTION=」が問題なのである。

    ■ACTION=〜〜〜
     ここには、USBを接続したときに、表示するメッセージを
     書く事ができる。

     では、実際にこのAutorun.infを保存したUSBをパソコンに接続してみよう。。。

    USB感染ウィルスの感染テスト。USBを接続すると次のように成りすまし実行できる
    [クリックで拡大]

     冒頭で挙げた図を再度のせる。クリックして良く確認して欲しい。。。ランチャーの一番上のところだ。。。open構文は、ACTION構文と組み合わせる事により危険性を増す。

     ランチャでうっかりAutorun.infで追記した項目をクリックした瞬間に「open=〜〜〜」で指定したプログラム、そう例えば、ウィルスが実行される。

    1.1.Autorun.inf対策

     対策は、iniと同じ。。。抜本的に読めないようにするしかない。


    [クリックで拡大]

     「USBウィルス対策」でini同様に、チェックを入れる。これでブロックできる。

        ***

    次回予告
     読者の方はこれで、USBウィルスへの対処は万全と思うかもしれない。。。

     実際には、、、まだまだ、落とし穴が待っている。。。感の良い方は「USBウィルス対策」にあと2つのチェックボックスがあることを思い出すだろう。。。つまり、まだ2つ、、、罠がある。

     次回は、Autorun.inf/ini経由の感染ではなく、擬態によるウィルス感染の実際をレポートする。そしてその次にNTFSというMS社のかなり頭痛のするフォーマット方式の問題と2回に分けてレポートしていく。

    この記事のトラックバックURL
    トラックバック

    SSDの高速化ツール Eee PC SDHC HDD 化 フリーウェア プチフリ 退治 解決 根絶に、現象測定ツール USB/SDHCカードブートにより簡単バックアップ フリーウェア USBメモリ、CFなどの不良検出ソフト FeliCa で ログオン フリーウェア USBウィルス対策ソフト フリーウェア 無限乱数式暗号フリーウェア USB ブート 簡単メモリチェック

    TEST1

    USB ブート 簡単メモリチェック

    selected entries

    categories

    archives

    recent comment

    • PBTM v0.1・起動USBによるEee PC・ネットブックのお手軽バックアップシステムを作る
      USBブート拡散部
    • WindowsXPの自動デフラグ機能について
       
    • ASUS Eee PC 701 SD-X日本語版の分解・オーバービューその2
      小林
    • 工人舎PM PM1WX16SA レビュー カスタマイズ 高速化
      meme
    • ★暗号化 Eee Storage/YoStoreの120%活用法
    • ★暗号化 Eee Storage/YoStoreの120%活用法
      ひろちゃん
    • f2dによるEee PC 901・4G-XのCドライブにSDHCを連結して容量を増大させる拡張 Part3.
      nick
    • f2dによるEee PC 901・4G-XのCドライブにSDHCを連結して容量を増大させる拡張 Part3.
      NAO
    • PBTM v0.1・起動USBによるEee PC・ネットブックのお手軽バックアップシステムを作る
      KyonKyon
    • PBTM v0.1・起動USBによるEee PC・ネットブックのお手軽バックアップシステムを作る
      kouichi

    recent trackback

    links

    profile

    search this site.

    others

    mobile

    qrcode

    powered

    無料ブログ作成サービス JUGEM