Jak powstrzymać najpopularniejsze wirusy? Część 1
Choć trudno w to uwierzyć, postęp techniczny w dziedzinie trojanów następuje głównie w mechanizmach działania, ale nie infekcji. Pomijając prędko łatane przez Microsoft dziury, złośliwe oprogramowanie wykorzystuje sztuczki skuteczne od dwóch dekad. Zablokujmy je.
08.08.2022 12:34
Rozszerzenia
Najstarszą kwestią nadużywaną przez złośliwe oprogramowanie jest oczywiście ukrywanie rozszerzeń. Plik "dokument.pdf.exe", opatrzony ikonką PDF-a zostanie wyświetlony przez systemowy Eksplorator Plików jako "dokument.pdf". Wyłączenie ukrywania rozszerzeń pozwoli łatwiej dostrzec takie zabiegi i nie ma już dawnych wad: funkcja "Zmień nazwę" domyślnie zaznacza do edycji tylko część z nazwą, bez rozszerzenia. Dzięki temu podczas zmiany nazwy pliki nie zostaną "popsute" przez mniej zaradnych użytkowników.
Aby wyłączyć ukrywanie rozszerzeń, należy udać się do Panelu Sterowania i odnaleźć Opcje Eksploratora Plików (poprzednio znane jako Opcje Folderów). Na karcie Widok potrzebne będzie usunięcie zaznaczenia przy opcji 'Ukryj rozszerzenia plików znanych typów'. W systemach Windows 8.1 i 10, opcję tę można przestawić także polem "Rozszerzenia nazw plików" na wstążce Widok samego Eksploratora.
Makra Office
Makra pakietu Office są już używane coraz rzadziej. Oczywiście tam, gdzie są w użyciu, wykorzystywane są bardzo intensywnie, ale jeżeli ich nie potrzebujemy, warto całkowicie wyłączyć ich obsługę w pakiecie Office. Osiągniemy to w Opcjach każdej z aplikacji Office, w sekcji Centrum Zaufania. W dziale Makra należy wybrać "Wyłącz wszystkie i nie wyświetlaj powiadomień". Warto rozważyć wybranie tej samej opcji w dziale Kontroli ActiveX.
Dlaczego makra są groźne? Bo mogą (w ograniczonym stopniu) wchodzić w interakcję z modelem COM, umożliwiającym wykorzystywanie funkcji Windows w sposób programistyczny. Potrafią także wołać tą metodą zewnętrzne procesy, a tutaj szczególne zagrożenie stanowią Host Skryptów, Parser HTA oraz PowerShell. Zanim zablokujemy te powyższe, możemy spróbować nauczyć Defendera, żeby traktował procesy potomne Office'a jako złośliwe działanie. Umożliwi nam to następujące polecenie PoweShell, wykonane jako Administrator:
Set-MpPreference -AttackSurfaceReductionRules_Ids "26190899-1602-49e8-8b27-eb1d0a1ce869", "92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B", "75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84", "3B576869-A4EC-4529-8536-B80A7769E899" -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled
Poza zablokowaniem makr i forków Office'a, możemy się rozprawić z ich "kolegami", wykorzystywanymi do pobierania i uruchamiania dalszych etapów infekcji trojanem. Zacznijmy od Hosta Skryptów. Stanowi on zagrożenie na dwa sposoby: dwukrotne kliknięcie na obsługiwany przez niego skrypt VBS kończy się jego wykonaniem (zamiast np. wyświetlenia). Po drugie - może być wołany przez makra. Wyłączenie Hosta Skryptów rozwiązuje oba te problemy, a osiągniemy to plikiem REG i kluczem Rejestru o następującej treści:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000
Po scaleniu powyższego klucza, uruchamianie skryptów VBS zostanie wyłączone. Należy jednak mieć na uwadze fakt, że wiele programów wykorzystuje skrypty VBS (z rzadka robią to też niektóre programy z samego Microsoftu). Dlatego wyłączanie skryptów VBS może mieć skutki uboczne, w dodatku nieznane. Dlatego jest to jedna z rad typu "na własną odpowiedzialność". Jeżeli jednak konfigurujemy np. komputer dla kogoś o… tendencjach do pobierania/uruchamiania wirusów, prewencyjne wyłączenie Hosta Skryptów wydaje się mieć więcej zalet niż wad.
Co dalej?
W dalszej kolejności, prawa cichego pobierania i uruchamiania potencjalnie złośliwego kodu z internetu należy odebrać składnikom MSHTA oraz PowerShell. Pierwszy z nich jest reliktem dawnych czasów i ślepą uliczką rozwoju technologii internetowych, która powinna zostać domyślnie wyłączona już jakieś 15 lat temu. PowerShell jest z kolei zbyt wszechstronny, a jego mechanizmy ochrony są bardzo łatwe do obejścia, czego nigdy nie naprawiono. Najsensowniejszym sposobem na nie jest wycięcie ich na systemowej Zaporze. O tym i o kilku kolejnych sposobach blokowania infekcji - w drugiej części.
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl