Подписывайтесь:


Технотрон » Программная часть » Панацея от флеш-вирусов

Одной из проблем, которые постигли цифровое общество, стали autorun.inf-вирусы, распространяемые через флеш-накопители (USB-флешки). Многим из Вас знакома ситуация, когда вставляя флешку в компьютер, ваш антивирус (не важно какой) начинает бесперестанно кричать о том, что обнаружен вирус. Вы его (вирус) спокойно удаляете, но через несколько секунд антивирус снова начинает голосить об опасности и так продолжается очень долго. Это обусловлено тем, что с самого USB-накопителя антивирус четко удаляет надоедливые файлы autorun.inf и ему подобные, а вот с компьютера - нет. Вирусы эти маскируются под нужные приложения и зачастую антивирус не всегда способен их найти и обезвредить, даже свежеобновленный антивирус может пропустить заразу.


Одной из проблем, которые постигли цифровое общество, стали autorun.inf-вирусы, распространяемые через флеш-накопители (USB-флешки). Многим из Вас знакома ситуация, когда вставляя флешку в компьютер, ваш антивирус (не важно какой) начинает бесперестанно кричать о том, что обнаружен вирус. Вы его (вирус) спокойно удаляете, но через несколько секунд антивирус снова начинает голосить об опасности и так продолжается очень долго. Это обусловлено тем, что с самого USB-накопителя антивирус четко удаляет надоедливые файлы autorun.inf и ему подобные, а вот с компьютера - нет. Вирусы эти маскируются под нужные приложения и зачастую антивирус не всегда способен их найти и обезвредить, даже свежеобновленный антивирус может пропустить заразу. 

Если ваша флешка использует технологии, использующие autorun, например, доступ по отпечатку пальца, - можете дальше не читать.

Чаще всего схема заражения выглядит следующим образом: компьютер пользователя, использующего небезопасное ПО, подвергается заражению вирусом, похищающим пароли доступа к основным службам сайта, способным мигрировать в том числе при помощи flash-накопителей. Подключение любого flash-накопителя к зараженному компьютеру приводит к заражению этого накопителя, и уже он разносит «заразу» на другие компьютеры, в оффлайне, и при обнаружении подключения к Интернет передает в распределенную сеть найденные на новом компьютере пароли, после чего цикл заражений продолжается.

 

Именно поэтому использование брандмауэров и безопасных браузеров не может гарантировать полной защиты от кражи паролей к сайту. Остается порекомендовать использовать качественное антивирусное программное обеспечение, а также можно воспользоваться рядом «народных» рецептов, помогающих защитить флешку от вирусов в Windows.

 

Для обеспечения возможности запуска (и размножения) при подключении флеш-накопителя вирус создает (либо перезаписывает) на нем файл с именем autorun.inf, в котором описываются программы, которые должны стартовать при подключении данного диска (автозагрузка). В данном файле вирус прописывает путь к собственному телу, т.е. исполняемому коду, чаще всего это exe-файл с произвольным именем. Обратите внимание — чаще всего оба эти файла имеют атрибуты «скрытый» и «системный», поэтому не отображаются при стандартной настройке Windows.

 

Итак, нам необходимо предотвратить заражение собственного компьютера от произвольной подключенной флеш-карты и защитить собственную флеш-карту от возможного поражения.

 

Для надежной защиты собственного компьютера от вирусов на usb-флешках достаточно отключить автозагрузку (автозапуск) на всех дисках, подключаемых к компьютеру. Это можно сделать, воспользовавшись специальными программами, либо выполнив ряд несложных действий (подразумевается, что все дальнейшие действия делаются с правами администратора).

 

Итак, для защиты компьютера от автостарта на флешках (и, заодно, от попадания вирусов) выполните следующие действия:

Откройте "Пуск" - Выполнить, в строке прописать gpedit.msc. Далее необходимо перейти к Конфигурация компьютера - Административные шаблоны - Система - Отключить автозапуск на этом пункте щелкаем правой кнопкой мыши, выбираем Свойства - Включена - Всех дисководах - Применить.

 

Полностью отключить автозагрузку со всех дисков можно также, воспользовавшись редактором реестра, открыв ветвь HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer и в значении двоичного параметра «NoDriveTypeAutoRun», и вместо «95» (или «91») прописать «FF» (известны недостатки этого способа в Windows Vista). В XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому может потребоваться создание соответствующего раздела и параметра NoDriveTypeAutoRun, управляющего автозагрузкой устройств. Не стоит забывать о том, что все изменения в реестре вступают в силу после перезагрузки.

 

Следующий метод представляет более расширенные возможности удаления потенциально опасных брешей в безопасности системы, связанных в то м числе и с автозапуском. Именно этот способ является рекомендуемым.

Создайте произвольный txt-файл (назовите его как угодно, но расширение нужно поменять с .txt на .reg, например noautorun.reg) наполните его следующим содержимым:

 

 

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

 

После чего запустите данный файл, и на вопрос системы о внесении изменений отвечайте «Да».

Отключить автозапуск временно (например, при отсутствии прав администратора), на период подключения устройства (флэшки) можно, удерживая нажатым правый Shift. При это открывать флешку рекомендуется не через «Мой компьютер» (иначе автозапуск сработает), а через Проводник.

 

Вторым аспектом безопасности флеш-накопителей является задача препятствия проникновению на флешку вирусов с зараженного компьютера. Поскольку флеш-карта используется в основном для передачи файлов с одного компьютера на другой, сложно гарантировать то, что один из компьютеров-участников этой передачи не окажется зараженным.

 

Ранее для защиты USB-флешки от вирусов считалось достаточным создать на ней пустой файл autorun.inf и назначить ему права «только для чтения». В этом случае вирус не мог создать там собственный файл автозагрузки, поскольку такой файл уже существовал и имел соответствующие атрибуты. Современные вирусы научились обходить эту «уловку» и теперь она не актуальна.

 

На данный момент весьма действенным представляется следующий способ (актуально для флешек с FAT-32). Создается bat-файл (например, с именем flashprotect.bat) и следующим содержимым:

 

 
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir "?%~d0AUTORUN.INF.."
attrib +s +h %~d0AUTORUN.INF
 

Bat-файл создать также легко, как и Reg - путем замены расширения файла с .txt на .bat

После этого данный файл копируется на флешку и запускается с флешки. При этом создается папка с именем AUTORUN.INF, которую невозможно удалить средствами системы (используется известная ошибка Windows). Вследствие наличия папки с таким именем вирус не может создать аналогичный файл, и удалить такую папку тоже не может (по крайней мере, современные вирусы этому еще не научились).

 

Ну вот, собственно, и все. Пользуйтесь и не болейте.


вирусы
Версия для печати
Обсудить статью на форуме


 автор: Technotron    26.04.2010    Комментариев: 9
  #1 | GURD | 02.06.2010 21:06 |
+ 0 -
Участники
Приветствую.
вроде всё описано красиво и доходчиво, но я к примеру программировать не умею вообще и соответственно не смогу создать этот .bat файл...

  #2 | Technotron | 02.06.2010 21:22 |
+ 0 -
Администраторы
GURD, Вы хоть бы погуглили и узнали, что такое .bat-файл - это обычный текстовый документ .txt, в него просто копируется указанный набор команд, сохраняется, далее расширение файла .txt меняется на .bat и все.

  #3 | Jon Do | 08.10.2010 22:09 |
+ 0 -
Участники
+ флешка с защитой от записи - тоже хороший вариант.

  #4 | Region102 | 01.11.2010 17:16 |
+ 0 -
Участники
У меня собственно возник вопрос по последнему способу защиты:
А как потом самому удалить этот файл? Насколько я понял форматированием флешки только его не удалить.

  #5 | myth | 18.06.2011 18:14 |
+ 0 -
Участники
да просто создаетет папку autorun.inf и все...

  #6 | Technotron | 18.06.2011 19:18 |
+ 0 -
Администраторы
To all, забейте, этот способ защиты от autorun-вирусов уже устарел, данная ошибка Windows уже исправлена в SP3 и Se7ven и вири её обходят запросто (на SP3 Вы эту папку сможете удалить обычным способом). Так что юзайте USB Disk Security и будет Вам счастье.

  #7 | scaner3011 | 20.11.2011 20:15 |
+ 0 -
Участники
Цитата: Technotron
flashprotect.bat

Technotron,
myth,
Technotron,
И это правда!

  #8 | jantanai | 19.01.2012 23:50 |
+ 0 -
Участники
а я обрадовался, думал вот этим авторанам и пришел конец! может че кто еще посоветуете! как защититься от этих авторанов и экзешников!?

  #9 | Kerrin | 20.01.2012 06:38 |
+ 0 -
Мастера
jantanai, Легко! тыкай сюда и живи без вирусов smile


Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
smartbooks.org
Опрос
Оргтехнику какого производителя предпочитате?
Samsung
Xerox
Canon
Hewlett Packard
Epson
Lexmark
Konica
Oki
Dell
Ricoh
Brother
Kyocera
Sharp
Status online
Сейчас на сайте: 36
Гостей: 32
Пользователи: 
- отсутствуют

Роботы: