Deze week trok US-CERT, de cybertak van het Department of Homeland Security van de Amerikaanse overheid, aan de bel omdat de stap-voor-stap aanwijzingen van Microsoft waarmee autorun wordt uitgeschakeld niet volledig zijn.

De AutoRun-functie is een van de systemen waarmee de worm zich probeert te verspreiden. Het werkt zo: als een besmette drager (bijvoorbeeld een usb-stick) in het systeem wordt gestoken en hiernaartoe wordt genavigeerd, dan worden de instructies in Autorun.inf uitgevoerd. Conficker heeft dat bestand toegevoegd of vervangen, waardoor het de code van de worm uitvoert.

Venijnige binnendringer

Een extra venijnigheid zit in het bekende dialoogvenster, wanneer AutoPlay is uitgeschakeld, want ook deze is door Conficker lichtelijk aangepast. De functie 'uitvoeren' is vervangen door een knop die aanbiedt om door de mappen en bestanden te browsen, wat onschuldig lijkt. Maar als een argeloze gebruiker hierop klikt, dan worden de Conficker besmettingsroutines gedraaid.

AutoRun kan volgens Microsoft worden uitgeschakeld door de bijbehorende waarde in het register op '0' in te stellen. "Maar de richtlijnen van Microsoft om AutoRun uit te schakelen zijn niet geheel effectief, en dat kan worden gezien als een kwetsbaarheid", zo staat op de site van US-CERT te lezen. Zelfs met die instelling wordt autorun.inf gewoon uitgevoerd als naar de map wordt genavigeerd. Hooguit detecteert Windows het niet meer als media worden omgewisseld.

Een tweede methode, het veranderen van de NoDriveTypeAutorun-waarde naar 0xFF, werkt ook niet, want dan komt de bovenstaande truc met het dialoogschermpje om de hoek kijken. Dat is immers niets meer dan het uitschakelen van AutoPlay.

Oplossing

Wat wel werkt volgens US-CERT is het importeren van de volgende waarde via een autorun.reg-bestandje:

REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]

@="@SYS:DoesNotExist"

Conficker (of Downadup, of Kido) zorgt de laatste tijd voor flink wat commotie. De patch tegen de worm is al sinds oktober uit, maar nalatigheid bij het toepassen ervan, zorgt ervoor dat veel systemen kwetsbaar bleven. De schatting was vorige week dat een op de drie systemen kwetsbaar zijn voor de worm. Leveranciers als F-Secure en Trend Micro telden zelf ongeveer 9 miljoen besmette systemen wereldwijd, maar anderen zijn wat conservatiever met cijfers tussen de twee en vier miljoen.

Bron: Techworld.nl