Вопросы комплексной защиты от Autorun-вирусов на флешках

Yarosh

Довольно избитая тема, но, тем не менее, она пользуется устойчивой популярностью, особенно у тех пользователей, кто не привык оказывать должного внимания вопросам безопасности. И, соответственно, в этих вопросах сущестувует известная путаница, так как способов решения вроде бы много, но на деле оказывается, что какие-то из них не в состоянии обеспечить надежную защиту от непрерывно совершенствующихся вирусных механизмов, какие-то работают только в определенных ситуациях(например, только на одной локальной машине пользователя), а потому сделаю попытку как-то упорядочить эту мешанину информации и выделить наиболее рациональные и эффективные методы по защите флешек и машин пользователей.

По мнению некоторых экспертов, систему INF/Autorun из Windows можно считать главной дырой в безопасности компьютерных систем. В отличие от пересылки заразных программ по электронной почте, здесь даже грамотный пользователь практически не способен предотвратить заражение, ведь достаточно просто вставить устройство в разъём USB - и процесс уже необратим. Единственной профилактикой является вообще отключить Autorun, что рекомендуют делать даже эксперты по безопасности из самой компании Microsoft. Поэтому сейчас мы и пройдем этот процесс пошагово.

Для обеспечения возможности запуска(и размножения) при подключении флеш-накопителя вирус создает(либо перезаписывает) на нем файл с именем autorun.inf, в котором описываются программы, которые должны стартовать при подключении данного диска(автозагрузка). В данном файле вирус прописывает путь к собственному телу, т.е. исполняемому коду, чаще всего это exe-файл с произвольным именем. Обратите внимание - чаще всего оба эти файла имеют атрибуты «скрытый»("hidden") и «системный»("system"), поэтому не отображаются при стандартной настройке Windows.

Перейдем к практической стороне проблемы, которая имеет два аспекта. Первый - предотвратить заражение собственного компьютера от произвольной подключенной флеш-карты. Второй - защитить собственную флеш-карту от возможного поражения. Второй аспект также важен для воспрепятствованию распространения autorun-вирусов, назовем их так, на незащищенных компьютерах других пользователей, т.е. не допустить распространения вируса на их машинах через Вашу флешку.

Защита компьютера от вирусов на флешке

Для надежной защиты собственного компьютера от вирусов на usb-флешках достаточно отключить автозагрузку(автозапуск) на всех дисках, подключаемых к компьютеру. Это можно сделать, воспользовавшись специальными программами(Anti-autorun, например программой Autorun Cleaner или Flash Disinfector), либо выполнив ряд несложных действий (подразумевается, что все дальнейшие действия делаются с правами администратора).

Внимание! Этот и описанные ниже способы блокируют работу флеш-накопителей, использующих возможности autorun(например, флешки с доступом по отпечатку пальца - Fingerprint access). Например, Transcend <TS8GJF220>.

Итак, для защиты компьютера от автостарта на флешках выполните следующие действия:
Пуск -> Выполнить -> gpedit.msc -> Конфигурация компьютера -> Административные шаблоны -> Система -> Отключить автозапуск -> Правой кнопкой мыши -> Свойства -> Включена -> Всех дисководах -> Применить.

Полностью отключить автозагрузку со всех дисков можно также, воспользовавшись редактором реестра, открыв ветвь HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer и в значении двоичного параметра «NoDriveTypeAutoRun», и вместо «95»(или «91») прописать «FF» (известны недостатки этого способа в Windows Vista). В XP Home по умолчанию этот ключ отсутствует(как и сам раздел Explorer), поэтому может потребоваться создание соответствующего раздела и параметра "NoDriveTypeAutoRun"(без кавычек), управляющего автозагрузкой устройств.

Допустимые значения ключа:
0x1 — отключить автозапуск на приводах неизвестных типов
0x4 — отключить автозапуск сьемных устройств
0x8 — отключить автозапуск НЕсьемных устройств
0x10 — отключить автозапуск сетевых дисков
0x20 — отключить автозапуск CD-приводов
0x40 — отключить автозапуск RAM-дисков
0x80 — отключить автозапуск на приводах неизвестных типов
0xFF — отключить автозапуск вообще всех дисков

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:
0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков)

Не стоит забывать о том, что все изменения в реестре вступают в силу после перезагрузки.
Также есть вариант отключения службы "Shell Hardware Detection"("Определение оборудования оболочки").

Следующий же метод представляет более расширенные возможности удаления потенциально опасных брешей в безопасности системы, связанных в том числе и с автозапуском. Именно этот способ является рекомендуемым.
Создайте произвольный reg-файл(например с именем noautorun.reg(см. вложение)) и следующим содержимым:

Код

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Windows Registry Editor Version 5.00   [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"=""   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:000000ff "NoFolderOptions"=dword:00000000   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" ;На корню прибивает autorun.inf. Таким образом подменяется содержимое файла autorun.inf ;значением ;из реестра, которое нарочно задаётся пустым/неверным. Это приводит к тому, что ;если на диске и ;есть файл autorun.inf, то он воспринимается как пустой. Более того - autorun.inf ;не запускается и при двойном клике по букве диска этого носителя в проводнике.   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000

После чего запустите данный файл, и на вопрос системы о внесении изменений отвечайте «Да».
Запускать этот файл необходимо под административной учетной записью.
Предпоследний ключ на корню прибивает autorun.inf

Отключить автозапуск временно (например, при отсутствии прав администратора), на период подключения устройства (флэшки) можно, удерживая нажатой клавишу Shift. При это открывать флешку рекомендуется не через «Мой компьютер» (иначе автозапуск сработает), а через Проводник. Как временная мера полезен следующий способ:

Как правильно открыть флэшку, чтобы не запустить вирусы, распространяющиеся через автозапуск?

Нужно нажать на кнопку «Папки» Панели инструментов, и в появившемся слева окне проводника выделить, например мышкой, Ваш накопитель. Таким образом мы обойдем автозапуск, а значит вирусы не запущены, сколько бы их не было на флешке. А включив Сервис -> Свойства папки -> Вид -> снять галочку «Скрывать защищенные системные файлы» и установить переключатель на «Показывать скрытые папки и файлы» -> ОK. После этого заразу можно удалять вместе с autorun.inf(если у Вас не отображаются расширения, пройдя по пути, указанному Выше, снимите дефолтную галку "Скрывать расширения для зарегистрированных типов файлов"). Но учтите, что иногда это сделать не удасться. Например, Ваш ПК уже заражен вирусом, который, открывая autorun.inf из всех возможных локаций тем самым препятствует его удалению. В таком случае можно воспользоваться Безопасным режимом(F8), программой Unlocker и обязательно пролечить систему!
Открывать флешки также можно(и нужно) Far-ом или Total Commander-ом.

Еще раз - НЕ открывать флешки двойным щелчком из "Мой компьютер", если Вы не уверены в ее "чистоте" и "адекватных" свойствах Вашей системы.
И переходим ко второму обязательному этапу:

Защита флешки от вирусов

Весьма радикальным методом является использование флеш-устройств с возможностью защиты от записи(write-protect) или миниатюрных USB-кардридеров, использующих SD-карты с возможностью защиты от записи. Достаточно защищенными от проникновения вирусов являются некоторые модели флешек с аутентификацией по отпечатку пальца(Fingerprint access)-такая защита вызвана особенностью архитектуры подобных флешек, поскольку у них уже существует файл autorun.inf, обеспечивающий запуск приложения аутентификации, и удалить его стандартными средствами невозможно. Этот вариант имеет минус в том случае, когда появляется необходимость что-то записать на флешку а значит открыть доступ и вирусам. Кроме того, необходимо постоянно помнить о необходимости держать переключатель в соответствующем положении. Если уж на то пошло, то наиболее эффективна аппаратно-программная комбинация защиты, о программной части которой и пойдет речь ниже.

Итак, способ первый:
Создается bat-файл (например, с именем flashprotect.bat(см. вложение)) и следующим содержимым:

attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir "?%~d0AUTORUN.INF.."
attrib +s +h %~d0AUTORUN.INF

После этого данный файл копируется на флешку(обязательно!) и запускается с флешки. При этом создается папка с именем Autorun.inf, которую невозможно удалить средствами системы(используется известная ошибка Windows). Вследствие наличия папки с таким именем вирус не может создать аналогичный файл, и удалить такую папку тоже не может. Удаление каталогов происходит рекурсивно, т.е. чтобы удалить каталог autorun.inf нужно сначала подчистить его содержимое. Этот скрипт создаёт внутри каталог с неподдерживаемым системой именем и итоге очистить каталог autorun.inf не получается, а значит и заменить вирусным файлом не получится. Хотя вот тут: http://msdn.microsoft.com/en-us/libr...=vs.85%29.aspx говорится Поэтому теоретически вирус может таким же путем и удалить нашу "неудаляемую" папку.

Проблема этого способа - в возможности переименования папки. После этого, как сами понимаете, запись файла autorun.inf становится возможной.

Способ второй:

Суть состоит в форматировании флешки в файловую систему NTFS. Сделать это можно:
- встроенными средствами Windows
Пуск -> Выполнить -> cmd

Код
1 convert f: /FS:NTFS /nosecurity /x

- если данные на флэшке нужны и их некуда сбэкапить.
Следует учитывать определенный риск такой операции(для данных, конечно) поэтому по-настоящему ценные данные лучше куда-нибудь сбросить.
Обратная опрерация штатными средствами Windows неосуществима.
или

Код
1 format f: /FS:NTFS

-сторонними утилитами
В числе таковых большинство программ для работы с дисками и разделами, а также простые утилиты форматирования флешек вроде HP USB Disk Storage Format Tool(см. вложение).

После того, как файловая система на нашей флешке стала NTFS, начинаем настраивать разрешения.
Разберем два варианта - через консольную утилиту cacls для Windows XP Home и обычный гуевый вариант в Pro.
Вариант через GUI используя вкладку "Безопасность":

Суть заключается в запрете записи в корневой каталог носителся. Создаем для начала каталог, где будет храниться все наше добро. Правый клик по новому каталогу и переходим на вкладку "Безопасность", затем нажимаем на кнопку «Дополнительно». Здесь снимаем галочку с пункта «Разрешить наследование разрешений от родительского объекта к этому...», в появившемся диалоге жмем «Копировать», затем жмем «Ок» в обоих окошках. Теперь зайдем в раздел «Безопасность» корневого каталога нашего носителя и настраиваем разрешения следующим образом:
В столбце «Разрешить», оставляем отмеченными следующие пункты:

• Чтение и выполнение

• Список содержимого папки

• Чтение

В столбце «Запретить» ставим галочку напротив пункта «Запись», в появившемся диалоге жмем «Да».

Вариант через консоль cmd:

-Проверяем текущее состояние Таблицы управления доступом(ACL):

Код
1 cacls [буква диска]:\

-Результат команды скорее всего будет таким(если Вы после форматирования ничего не меняли):

Код
1 [буква диска]:\ Все:(OI)(CI)F

-Затем, поочереди, удалить из нее всех пользователей:

Код
1 cacls [буква диска]:\ /E /R COMPUTER_NAME\USER_NAME (в моем случае: cacls X:\ /E /R Все)

-И разрешить читать каталог:

Код
1 cacls [буква диска]:\ /G Все:R

-Проверяем вывод таблицы:

Код
1 [буква диска]:\ Все:(OI)(CI)R

После описанных манипулций теряется возможность записи в корневой каталог флешки и возможность использования меню «Отправить» для копирования данных на носитель.
Примечание: если после форматирования в NTFS флешку не видно в системе, это значит что ей не назначилась буква. Для этого идем в "Управление дисками" и исправляем ситуацию "Изменить букву диска или путь к диску".

Еще один способ:
Создаем в корне флешки файл autorun.inf. А в нем такие строки:
[autorun]
icon=[имя иконки].ico
label=[метка тома, любой текст]

При следующем подключении флешки на системе с неотключенным атозапуском иконка флешки смениться на указанную в файле(иконка должна быть на флешке, необязателно в корне - тогда прописываем путь), а буква флешки - на указанную метку. Эффективность способа проявляется постфактум, т.е. на незащищенной от автозапуска машине при следующем подключении отработает вредоносный авторан. А на защищенной Вы и своей иконки не увидите. Работает это в одном случае - если на одной и той же машине повторно вставить флешку. Тогда индикация сработает и вред системе нанесен не будет(если на флешку таки записался вирус) - она уже заражена.

Mini-FAQ

1. Как насчет файловой системы NTFS на флешке?
Вопрос несколько неоднозначный. Некоторые полагают, что использование NTFS на флешке чревато быстрым износом флешки из-за особенностей этой системы, потерей производительности и несовместимостью с различными устройствами. Фирменные утилиты для флешек не предлагают форматирование в NTFS да и в мануалах к ним указывается в качестве предпочтительной файловой системы FAT16/32. К мнению производителей конечно стоит прислушаться.
Но возможность привычным нам образом выставлять разрешения для файлов и папок на флешке подобно тому как мы это делаем на жестком диске стоит того, чтобы рассмотреть этот вопрос подробнее.
Итак. Во-первых, журналируемость NTFS увеличит обращение к флешке, но практика показывает, что пользователь гораздо скорее приобретет новую флешку или потеряет ее, чем она исчерпает свой физический ресурс.
Во-вторых, такую флешку желательно извлекать только через безопасное извлечение. В случае же FAT32 можно определить политикой - будет ли кеширование или не будет(говоря проще — можно ли выдергивать флешку без безопасного отключения).
В-третьих, выше указывалось, что при запрете записи в корневой каталог исчезает возможность в том числе использования пункта "Отправить" контекстного меню, хотя лично я полагаю, что это можно обойти, указав в качестве пути на своем ПК подкаталог(вместо корня) для "Отправить".
В-четвертых, - бывает, например, конкретная модель автомагнитолы или DVD-плеера читает только FAT. Поэтому в случае использования ее стакими устройствами, придется отказаться от NTFS.
Вроде-бы такие минусы. НО на другой чаше весов - возможность защиты от autorun-вирусов, о чем мы, собственно, тут и говорим. И это немаловажно, учитывая что все перечисленные ухищрения с FAT имеют бреши в защите.

2. Можно ли защитить флешку средствами Linux?

Можно. Но для этого флешка должна быть отформатирована в файловую систему FAT16.
Таким образом максимально возможно использовать 4Гб флешку и то при условии форматирования ее с размером кластера в 64Кб, что не везде поддерживается.
Втыкаем флешку в компьютер с установленным линуксом, предположим, что флешка определилась как устройство /dev/sdc1.
Выполняем такую последовательность команд (все данные при этом будут уничтожены!):

Код
1 2 3 4 5 6 7 8 umount /dev/sdc1 mkdosfs -r 16 /dev/sdc1 mount /dev/sdc1 /media/disk cd /media/disk touch `perl -e 'print "X" x 160'` mkdir Documents cd / umount /dev/sdc1

Вынимаем флешку, втыкаем её в компьютер с Windows. Для эстетичности устанавливаем на файл "XXXX...." атрибут "Скрытый". Свои документы храним в папке "Documents".

В чём смысл этих действий?
В файловой системе FAT количество элементов корневого каталога ограничено и задаётся в момент форматирования, причём файлы с длинными именами занимают несколько элементов каталога. Создав корневой каталог минимальной длины(16 элементов) и заняв почти все их длинным именем файла(160 символов X) оставшиеся занимаем папкой "Documents". Больше в корневой каталог ничего не поместится.

Чтобы совершить подобное под Windows нужна программа форматирования, в которой можно задать произвольные параметры FAT. Такой возможностью является утилита fsutil.
Я не привожу реализации этого способа в Windows по причине негибкости. Да и в конце концов вирус может удалить какой-то файл и записать свой или дозаписать себя к существующим, удалив а потом добавив заполненный мусором файл подходящего размера.

3. Слышал про способ аппаратной защиты от записи используя кардридер и карту памяти с переключателем(Lock). Работает ли это?
Да, этот способ рабочий и обеспечивает теоретически 100% защиту от записи путем аппаратной блокировки. Но на практике встречаются отзывы о том, что запись на карту все-таки возможна, несмотря на переключатель. Парадоксально - но некоторые кардридеры игнорируют положение переключателя Lock на карте. В основном это касается старых и нонейм-моделей.
Поэтому в целом этот способ можно считать достаточно надежным.

4. Какие еще способы защиты существуеют или на основании чего они могут быть созданы?

Я полагаю, одной из основных возможностей в данном вопросе является использование других файловых систем, например, UDF, EXT2/3/4 или ExFAT и их нативных возможностей защиты.

• Использование возможностей файловой системы ExFAT.

Поддержка exFAT имеется в Windows XP с Service Pack 2 и 3 с обновлением KB955704, Windows Vista с Service Pack 1, Windows Server 2008, Windows 7,[1] а также в Mac OS X Snow Leopard начиная с версии 10.6.5. Существует свободный драйвер exFAT в виде патча для ядра Linux, поддерживающий только чтение этой файловой системы. Учитывая налличие ACL(Access Control List) использование этой ФС в контексте защиты флешек видится довольно переспективным. Вот еще немного интересной информации по работе с exFAT, в том числе и под Windows XP.

• Использование возможностей файловой системы EXT2/3/4.

Учитывая необходимость обмена данными с ОС, отличными от GNU/Linux, она не столь практична, т.к. требует установки на каждом из компьютеров, где требуется с нею работать, соответствующего драйвера.

• Использование возможностей файловой системы UDF.

1. Windows XP отформатированную в UDF флешку видит, но, к сожалению, записывать на неё не может (и показывает 0 байт свободного места). Во многих случаях, этого достаточно. Или, к примеру, если флешка используется для переноса дистрибутивов устанавливаемых на множество компьютеров программ, такое «железное» read-only окажется даже плюсом: никакой вирус не сможет её заразить.
2. Windows Vista и Windows 7 обладают полной поддержкой UDF на флешках и жёстких дисках – как на чтение, так и на запись!
3. Насколько удалось выяснить из различных источников, в MacOS X также, имеется полная поддержка UDF.
Подробнее об использовании UDF на USB-флешках, в том числе и в Linux, можно почитать здесь.

5. Выпускаются ли сегодня флешки с аппаратной защитой от записи?

Мало но есть. Например серия PQI Cool Drive одноименной фирмы(http://www.pqi.com.tw/product.asp?cate1=18), EZdrive Slider ID10, Pleomax PUB-E30.

Пока все. Надеюсь на дельные и интересные комментарии и дополнения по теме.

Вложения

	flashprotect.7z (208 байт, 130 просмотров)
	noautorun.7z (442 байт, 109 просмотров)
	HPUSBFW.7z (365.8 Кб, 652 просмотров)

vkorchinsky

У меня не работает... папка autorun.inf создается, но удалить ее можно...

Сделал по другому:
создал папку md autorun.inf

потом в этой папке autorun.inf создал папку md name..\

odip

Это для Windows XP !
На Windows 7 и Vista находится в другом месте
И отключать нужно в двух местах, а не в одном !

Кроме этого совершенно не упоминается что для правильного отключения autorun требуется наличие одного патча, который выпустил Microsoft в прошлом году
Без этого патча полного отключения autorun не происходит
И при некоторых манипуляциях можно запустить autorun

odip

Что касается искуственного создания autorun.inf - IMHO все это бред сивой кобылы
Если уже флешка попала в зараженный компьютер, то надо проверять все файлы на ней !
а не делать затычки

Eastman

вот с момента первого поста кое-что изменилось, а именно : согласно статьи http://support.microsoft.com/kb/967715/ru параметр HonorAutorunSetting в подразделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
используется для управления поведением текущего обновления имеется ввиду обновление Windows XP (KB967715) 24.02.2009 г., которое:
"Краткое описание: Установите это обновление, чтобы устранить ошибку, при которой функции автозапуска не отключаются должным образом"

Далее идет Примечание

Примечание. В ОС Windows Server 2003 и Windows XP все изменения этого обновления контролируются параметром HonorAutorunSetting, чтобы при необходимости можно было вернуться к прежней конфигурации. Этот параметр недействителен для пользователей ОС Windows 2000, Windows Vista или Windows Server 2008.

При установке обновления 967715 раздел реестра HonorAutorunSetting создается только в кусте реестра HKEY_LOCAL_MACHINE. По умолчанию этот раздел имеет значение 0x1. Оно включает функции, предусмотренные в текущем обновлении. До установки текущего обновления этот раздел реестра в системе отсутствует. Режим автозапуска, имевший место до установки пакета, можно восстановить, вручную задав для этого раздела реестра значение 0. Для этого введите 0 вместо 1 на шестом этапе настройки раздела реестра вручную. Раздел реестра HonorAutorunSetting всегда считывается из куста реестра HKEY_LOCAL_MACHINE, даже если он настроен и в кусте реестра HKEY_CURRENT_USER.

Так вот хотелось бы разъяснений по написанному в Примечании:
"Раздел реестра HonorAutorunSetting всегда считывается из куста реестра HKEY_LOCAL_MACHINE, даже если он настроен и в кусте реестра HKEY_CURRENT_USER"
ведь параметр HonorAutorunSetting то же имеет диапазон: 0x0—0xFF (Значение по умолчанию 0x01 )

т.е. если имеется NoDriveTypeAutoRun в HKEY_CURRENT_USER значением FF, а HonorAutorunSetting в HKEY_LOCAL_MACHINE значением 0х01,
или наоборот:
значения 0х01 для NoDriveTypeAutoRun в HKEY_CURRENT_USER и FF для HonorAutorunSetting в HKEY_LOCAL_MACHINE,
как на самом деле всё будет выглядеть?

qvad

odip, а выпиливание службы определения оборудования оболочки в семерке не прокатывает?