technische informatie met betrekking tot het uitschakelen van de Action Key functie zou bij dit nieuwe bericht geen overbodige luxe zijn

Iets wat er niet is kan moeilijk gegeven worden.

http://msdn.microsoft.com/en-us/library/cc144200%28VS.85%29.aspx#action

Er zal vast een mogelijkheid zijn, mogelijk in het register en anders middels een script dat je op de achtergrond hebt draaien dat in actie komt als er een verwisselbare schijf wordt aangekoppeld. Je kan mij niet vertellen dat er niks tegen te doen is .....

Helemaal alle autorun.inf's disablen werkt volgens mij wel:
http://www.security.nl/artikel/31104/1/Autorun_SYS%3ADoesNotExist_reghack_risico.html

Met dank aan SirDice voor de voorzet, heb ik dit gevonden maar ik weet niet helemaal zeker of dit werkt of zelfs van toepassing is op dit probleem:


Ikzelf gebruik bij voorkeur de Groepsbeleid Editor om voor zowel beheerders als gebruikers de Autorun helemaal uit te schakelen. Ook hiervan weet ik niet of dat effectief is. Nadat te hebben ingesteld, ziet de daarvoor bestemde registersleutel er zo uit:

(Decimale waarde 255, inplaats van 91 voor een volledig funtionele Autorun)

Of deze gekopieerd uit de column van Bitwiper het wel doet, is mij ook niet bekend, wel schakelt deze methode alle Autorun drives uit, ook in de voorgangers van 2000 (hiervoor dient de registersleutel eerst aangemaakt te worden in een Register Versie 5 systeem & dan ge-exporteerd als Win9x/NT 4-registerbestanden (*.reg)) :

@Ilja: die "@SYS:DoesNotExist" is de meest radicale methode: daamee schakel je de WinAPI calls uit voor het processen van bestanden met een "ini" inhoud voor die gevallen dat de bestandsnaam "autorun.inf" luidt. Dat dit ook nadelen kan hebben beschrijf ik hier: http://www.security.nl/artikel/31104/1/Autorun_SYS%3ADoesNotExist_reghack_risico.html (Erwtensoep verwees hierboven om 16:02 al naar die pagina).

Als je onder key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer de valuename "NoDriveTypeAutoRun" de waarde 0xff geeft, geldt de policy voor elke gebruiker (ongeacht de waarde onder HKCU).

Hieronder herhaal ik in grote lijnen nog even wat ik op 2010-03-07 reeds schreef onder http://www.security.nl/artikel/32655/1/%22Microsoft_heeft_grootste_botnet_ter_wereld%22.html:

Ondanks alle AutoRun leed heeft Microsoft nog steeds geen automatische update verspreid die AutoRun van USB-drives uitzet onder XP (van Vista weet ik het niet), waarbij onderscheid gemaakt moet worden tussen enerzijds FAT en NTFS geformatteerde drives, en anderzijds die met een CDFS partitie (bijv. de sticks van http://www.u3.com/ hebben zowel een CDFS als een FAT partitie).

Je kunt (delen van) Autorun onder XP uitzetten op 1 van de volgende manieren:

(1) Meest effectief (alle devices, ook CDFS): door in het register de "IniFileMapping" van Autorun.inf op "@SYS:DoesNotExist" te zetten (zie http://en.wikipedia.org/wiki/Autorun#Initialisation_file_mapping of de blog van de bedenker, Nick Brown: http://nickbrown-france.blogspot.com/2007/10/memory-stick-worms.html). Nadeel: sommige setup.exe programma's op CD/DVD kunnen installatie instructies in autorun.inf hebben opgeslagen, en kunnen na deze hack dat bestand niet meer uitlezen (zie http://www.security.nl/artikel/31104/1/Autorun_SYS:DoesNotExist_reghack_risico.html)

(2) Aanpassen van de NoDriveTypeAutoRun waarde in het register (kan via Group Policies). Zie bijv. http://en.wikipedia.org/wiki/Autorun#NoDriveTypeAutoRun en http://support.microsoft.com/kb/967715. Voorwaarde voor de werking hiervan is dat onder XP KB967715 moet zijn geinstalleerd, welke via automatische updates is verspreid (zie http://www.security.nl/artikel/27510/MS_(luistert_naar_Bitwiper_:)_bemoeilijkt_verspreiding_van_Conficker.html).

(3) Blokkeren van Autorun.inf op alle devices behalve CD/DVD (en USB met CDFS): handmatig installeren van http://support.microsoft.com/kb/971029. Deze voegt IsAutorunForCDROMOnly (REG_DWORD, default waarde = 1) toe onder HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers. Bovendien wordt shell32.dll geupdate (oudere versies negeren de "IsAutorunForCDROMOnly" instelling). Zie ook mijn bijdrage van 23-12-2009, 14:28 in http://www.security.nl/artikel/31878/1/ISC:_Formatteer_alle_USB-sticks_voor_gebruik.html.

Vooral slecht van Microsoft vind ik het ontbreken van een overzicht van alle mogelijkheden, voordelen en nadelen. Bijv. naar mogelijkheid 3 wordt bijna nergens verwezen, en als je wel zou willen dat autorun vanaf een gewone USB stick werkt, zoek je je een ongeluk als IsAutorunForCDROMOnly gezet is (Googlen naar IsAutorunForCDROMOnly laat zien hoe onbekend deze waarde nog is, ook buiten Microsoft). Als ik me niet vergis staat deze waarde onder Windows7 by default op 1.

Verwijderbare en vaste schijven ? Ja... dat schiet verdomme lekker op... meer is er niet... oftewel alles heeft er last van.

Effu 2 vragen:
1. Weet iemand Hoe diep zit het "Autorun feature" verweven in het Windows operating system?

Dus het complete autorun mechanisme zoals:
- DLL's....................... (die te maken hebben met 'het "autorun" mechanisme)
- Device drivers........... (van Autorunnable devices zoals: usbsticks, cdrom, dvd drives, mediaplayers)
- Executables............. (die "autorun-achtige programma's" op kunnen starten )
- Kernel mechanismes. (die de windows kernel betrekken bij het autorunnen).
- Registry Keys........... (die de autorun mogelijkheid aan/uit zetten)
- Shell extensions........ (die zich in de Windows Shell vasthaken (explorer,exe hooks) )
- Windows Installer...... (die automatisch dingen kan installeren)


2. Is het technisch mogelijk om Autorun totaal uit Windows te amputeren zonder blijven schade aan de rest van het besturings-systeem?
Dan zijn we - als windows gebruikers - er in 1 klap gewoon vanaf van deze fabrikanten ellende, en is er weer structureel een "malware, virus" activatie mogelijkheid de nek om gedraaid... Kan de wereld eindelijk gewoon verder met computeren.


Ik heb een 'gut feeling" dat het weghalen van een paar autorun_registry_keys alleen niet voldoende zal zijn.

Daar kom je volgens mij alleen maar achter met een leuk stelletje reverse-enginering tools zoals:
- Registry Editor en Dump tools
- Dependancy Walker
- Process Explorer
- Hex Editors

Van de "documentatie van Microsoft" moet je het idd niet hebben, that sucks!

AutoRun is oud... USB Rubber ducky is heel veel laster te blokkeren.... aangezien het zichzelf ook identificeert als USB Keyboard dat wordt weer lijm in de USB poorten:
http://www.hak5.org/episodes/episode-709

Er zijn ook nog zogenaamde netwerkschijven. Daarvoor geldt dit dus niet, als ik het goed begrijp. Terwijl de standaard autorun.inf hier wel op werkt. Er zijn gevallen bekend waarbij bedrijfswijde besmettingen plaatsvonden via shares. Dat gevaar bestaat nu dus niet.

Peter