Вопросы комплексной защиты от Autorun-вирусов на флешках

Довольно избитая тема, но, тем не менее, она пользуется устойчивой популярностью, особенно у тех пользователей, кто не привык оказывать должного внимания вопросам безопасности. И, соответственно, в этих вопросах сущестувует известная путаница, так как способов решения вроде бы много, но на деле оказывается, что какие-то из них не в состоянии обеспечить надежную защиту от непрерывно совершенствующихся вирусных механизмов, какие-то работают только в определенных ситуациях(например, только на одной локальной машине пользователя), а потому сделаю попытку как-то упорядочить эту мешанину информации и выделить наиболее рациональные и эффективные методы по защите флешек и машин пользователей.

По мнению некоторых экспертов, систему INF/Autorun из Windows можно считать главной дырой в безопасности компьютерных систем. В отличие от пересылки заразных программ по электронной почте, здесь даже грамотный пользователь практически не способен предотвратить заражение, ведь достаточно просто вставить устройство в разъём USB - и процесс уже необратим. Единственной профилактикой является вообще отключить Autorun, что рекомендуют делать даже эксперты по безопасности из самой компании Microsoft. Поэтому сейчас мы и пройдем этот процесс пошагово.

Для обеспечения возможности запуска(и размножения) при подключении флеш-накопителя вирус создает(либо перезаписывает) на нем файл с именем autorun.inf, в котором описываются программы, которые должны стартовать при подключении данного диска(автозагрузка). В данном файле вирус прописывает путь к собственному телу, т.е. исполняемому коду, чаще всего это exe-файл с произвольным именем. Обратите внимание - чаще всего оба эти файла имеют атрибуты «скрытый»("hidden") и «системный»("system"), поэтому не отображаются при стандартной настройке Windows.

Перейдем к практической стороне проблемы, которая имеет два аспекта. Первый - предотвратить заражение собственного компьютера от произвольной подключенной флеш-карты. Второй - защитить собственную флеш-карту от возможного поражения. Второй аспект также важен для воспрепятствованию распространения autorun-вирусов, назовем их так, на незащищенных компьютерах других пользователей, т.е. не допустить распространения вируса на их машинах через Вашу флешку.

Защита компьютера от вирусов на флешке

Для надежной защиты собственного компьютера от вирусов на usb-флешках достаточно отключить автозагрузку(автозапуск) на всех дисках, подключаемых к компьютеру. Это можно сделать, воспользовавшись специальными программами(Anti-autorun, например программой Autorun Cleaner или Flash Disinfector), либо выполнив ряд несложных действий (подразумевается, что все дальнейшие действия делаются с правами администратора).

Внимание! Этот и описанные ниже способы блокируют работу флеш-накопителей, использующих возможности autorun(например, флешки с доступом по отпечатку пальца - Fingerprint access). Например, Transcend <TS8GJF220>.

Итак, для защиты компьютера от автостарта на флешках выполните следующие действия:
Пуск -> Выполнить -> gpedit.msc -> Конфигурация компьютера -> Административные шаблоны -> Система -> Отключить автозапуск -> Правой кнопкой мыши -> Свойства -> Включена -> Всех дисководах -> Применить.

Полностью отключить автозагрузку со всех дисков можно также, воспользовавшись редактором реестра, открыв ветвь HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\Explorer и в значении двоичного параметра «NoDriveTypeAutoRun», и вместо «95»(или «91») прописать «FF» (известны недостатки этого способа в Windows Vista). В XP Home по умолчанию этот ключ отсутствует(как и сам раздел Explorer), поэтому может потребоваться создание соответствующего раздела и параметра "NoDriveTypeAutoRun"(без кавычек), управляющего автозагрузкой устройств.

Допустимые значения ключа:
0x1 — отключить автозапуск на приводах неизвестных типов
0x4 — отключить автозапуск сьемных устройств
0x8 — отключить автозапуск НЕсьемных устройств
0x10 — отключить автозапуск сетевых дисков
0x20 — отключить автозапуск CD-приводов
0x40 — отключить автозапуск RAM-дисков
0x80 — отключить автозапуск на приводах неизвестных типов
0xFF — отключить автозапуск вообще всех дисков

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:
0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков)

Не стоит забывать о том, что все изменения в реестре вступают в силу после перезагрузки.
Также есть вариант отключения службы "Shell Hardware Detection"("Определение оборудования оболочки").

Следующий же метод представляет более расширенные возможности удаления потенциально опасных брешей в безопасности системы, связанных в том числе и с автозапуском. Именно этот способ является рекомендуемым.
Создайте произвольный reg-файл(например с именем noautorun.reg(см. вложение)) и следующим содержимым:
После чего запустите данный файл, и на вопрос системы о внесении изменений отвечайте «Да».
Запускать этот файл необходимо под административной учетной записью.
Предпоследний ключ на корню прибивает autorun.inf

Отключить автозапуск временно (например, при отсутствии прав администратора), на период подключения устройства (флэшки) можно, удерживая нажатой клавишу Shift. При это открывать флешку рекомендуется не через «Мой компьютер» (иначе автозапуск сработает), а через Проводник. Как временная мера полезен следующий способ:

Как правильно открыть флэшку, чтобы не запустить вирусы, распространяющиеся через автозапуск?

Нужно нажать на кнопку «Папки» Панели инструментов, и в появившемся слева окне проводника выделить, например мышкой, Ваш накопитель. Таким образом мы обойдем автозапуск, а значит вирусы не запущены, сколько бы их не было на флешке. А включив Сервис -> Свойства папки -> Вид -> снять галочку «Скрывать защищенные системные файлы» и установить переключатель на «Показывать скрытые папки и файлы» -> ОK. После этого заразу можно удалять вместе с autorun.inf(если у Вас не отображаются расширения, пройдя по пути, указанному Выше, снимите дефолтную галку "Скрывать расширения для зарегистрированных типов файлов"). Но учтите, что иногда это сделать не удасться. Например, Ваш ПК уже заражен вирусом, который, открывая autorun.inf из всех возможных локаций тем самым препятствует его удалению. В таком случае можно воспользоваться Безопасным режимом(F8), программой Unlocker и обязательно пролечить систему!
Открывать флешки также можно(и нужно) Far-ом или Total Commander-ом.

Еще раз - НЕ открывать флешки двойным щелчком из "Мой компьютер", если Вы не уверены в ее "чистоте" и "адекватных" свойствах Вашей системы.
И переходим ко второму обязательному этапу:

Защита флешки от вирусов

Весьма радикальным методом является использование флеш-устройств с возможностью защиты от записи(write-protect) или миниатюрных USB-кардридеров, использующих SD-карты с возможностью защиты от записи. Достаточно защищенными от проникновения вирусов являются некоторые модели флешек с аутентификацией по отпечатку пальца(Fingerprint access)-такая защита вызвана особенностью архитектуры подобных флешек, поскольку у них уже существует файл autorun.inf, обеспечивающий запуск приложения аутентификации, и удалить его стандартными средствами невозможно. Этот вариант имеет минус в том случае, когда появляется необходимость что-то записать на флешку а значит открыть доступ и вирусам. Кроме того, необходимо постоянно помнить о необходимости держать переключатель в соответствующем положении. Если уж на то пошло, то наиболее эффективна аппаратно-программная комбинация защиты, о программной части которой и пойдет речь ниже.

Итак, способ первый:
Создается bat-файл (например, с именем flashprotect.bat(см. вложение)) и следующим содержимым:

attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir "?%~d0AUTORUN.INF.."
attrib +s +h %~d0AUTORUN.INF

После этого данный файл копируется на флешку(обязательно!) и запускается с флешки. При этом создается папка с именем Autorun.inf, которую невозможно удалить средствами системы(используется известная ошибка Windows). Вследствие наличия папки с таким именем вирус не может создать аналогичный файл, и удалить такую папку тоже не может. Удаление каталогов происходит рекурсивно, т.е. чтобы удалить каталог autorun.inf нужно сначала подчистить его содержимое. Этот скрипт создаёт внутри каталог с неподдерживаемым системой именем и итоге очистить каталог autorun.inf не получается, а значит и заменить вирусным файлом не получится. Хотя вот тут: http://msdn.microsoft.com/en-u... 85%29.aspx говорится

In the ANSI version of this function, the name is limited to MAX_PATH characters. To extend this limit to 32,767 wide characters, call the Unicode version of the function and prepend "\\?\" to the path.

Поэтому теоретически вирус может таким же путем и удалить нашу "неудаляемую" папку.

Проблема этого способа - в возможности переименования папки. После этого, как сами понимаете, запись файла autorun.inf становится возможной.

Способ второй:

Суть состоит в форматировании флешки в файловую систему NTFS. Сделать это можно:
- встроенными средствами Windows
Пуск -> Выполнить -> cmd

- если данные на флэшке нужны и их некуда сбэкапить.
Следует учитывать определенный риск такой операции(для данных, конечно) поэтому по-настоящему ценные данные лучше куда-нибудь сбросить.
Обратная опрерация штатными средствами Windows неосуществима.
или
-сторонними утилитами
В числе таковых большинство программ для работы с дисками и разделами, а также простые утилиты форматирования флешек вроде HP USB Disk Storage Format Tool(см. вложение).

После того, как файловая система на нашей флешке стала NTFS, начинаем настраивать разрешения.
Разберем два варианта - через консольную утилиту cacls для Windows XP Home и обычный гуевый вариант в Pro.
Вариант через GUI используя вкладку "Безопасность":

Суть заключается в запрете записи в корневой каталог носителся. Создаем для начала каталог, где будет храниться все наше добро. Правый клик по новому каталогу и переходим на вкладку "Безопасность", затем нажимаем на кнопку «Дополнительно». Здесь снимаем галочку с пункта «Разрешить наследование разрешений от родительского объекта к этому...», в появившемся диалоге жмем «Копировать», затем жмем «Ок» в обоих окошках. Теперь зайдем в раздел «Безопасность» корневого каталога нашего носителя и настраиваем разрешения следующим образом:
В столбце «Разрешить», оставляем отмеченными следующие пункты:

• Чтение и выполнение

• Список содержимого папки

• Чтение

В столбце «Запретить» ставим галочку напротив пункта «Запись», в появившемся диалоге жмем «Да».

Вариант через консоль cmd:

-Проверяем текущее состояние Таблицы управления доступом(ACL):
-Результат команды скорее всего будет таким(если Вы после форматирования ничего не меняли):
-Затем, поочереди, удалить из нее всех пользователей:
-И разрешить читать каталог:
-Проверяем вывод таблицы:
После описанных манипулций теряется возможность записи в корневой каталог флешки и возможность использования меню «Отправить» для копирования данных на носитель.
Примечание: если после форматирования в NTFS флешку не видно в системе, это значит что ей не назначилась буква. Для этого идем в "Управление дисками" и исправляем ситуацию "Изменить букву диска или путь к диску".

Еще один способ:
Создаем в корне флешки файл autorun.inf. А в нем такие строки:
[autorun]
icon=[имя иконки].ico
label=[метка тома, любой текст]

При следующем подключении флешки на системе с неотключенным атозапуском иконка флешки смениться на указанную в файле(иконка должна быть на флешке, необязателно в корне - тогда прописываем путь), а буква флешки - на указанную метку. Эффективность способа проявляется постфактум, т.е. на незащищенной от автозапуска машине при следующем подключении отработает вредоносный авторан. А на защищенной Вы и своей иконки не увидите. Работает это в одном случае - если на одной и той же машине повторно вставить флешку. Тогда индикация сработает и вред системе нанесен не будет(если на флешку таки записался вирус) - она уже заражена.

Mini-FAQ

1. Как насчет файловой системы NTFS на флешке?
Вопрос несколько неоднозначный. Некоторые полагают, что использование NTFS на флешке чревато быстрым износом флешки из-за особенностей этой системы, потерей производительности и несовместимостью с различными устройствами. Фирменные утилиты для флешек не предлагают форматирование в NTFS да и в мануалах к ним указывается в качестве предпочтительной файловой системы FAT16/32. К мнению производителей конечно стоит прислушаться.
Но возможность привычным нам образом выставлять разрешения для файлов и папок на флешке подобно тому как мы это делаем на жестком диске стоит того, чтобы рассмотреть этот вопрос подробнее.
Итак. Во-первых, журналируемость NTFS увеличит обращение к флешке, но практика показывает, что пользователь гораздо скорее приобретет новую флешку или потеряет ее, чем она исчерпает свой физический ресурс.
Во-вторых, такую флешку желательно извлекать только через безопасное извлечение. В случае же FAT32 можно определить политикой - будет ли кеширование или не будет(говоря проще — можно ли выдергивать флешку без безопасного отключения).
В-третьих, выше указывалось, что при запрете записи в корневой каталог исчезает возможность в том числе использования пункта "Отправить" контекстного меню, хотя лично я полагаю, что это можно обойти, указав в качестве пути на своем ПК подкаталог(вместо корня) для "Отправить".
В-четвертых, - бывает, например, конкретная модель автомагнитолы или DVD-плеера читает только FAT. Поэтому в случае использования ее стакими устройствами, придется отказаться от NTFS.
Вроде-бы такие минусы. НО на другой чаше весов - возможность защиты от autorun-вирусов, о чем мы, собственно, тут и говорим. И это немаловажно, учитывая что все перечисленные ухищрения с FAT имеют бреши в защите.

2. Можно ли защитить флешку средствами Linux?

Можно. Но для этого флешка должна быть отформатирована в файловую систему FAT16.
Таким образом максимально возможно использовать 4Гб флешку и то при условии форматирования ее с размером кластера в 64Кб, что не везде поддерживается.
Втыкаем флешку в компьютер с установленным линуксом, предположим, что флешка определилась как устройство /dev/sdc1.
Выполняем такую последовательность команд (все данные при этом будут уничтожены!):
Вынимаем флешку, втыкаем её в компьютер с Windows. Для эстетичности устанавливаем на файл "XXXX...." атрибут "Скрытый". Свои документы храним в папке "Documents".

В чём смысл этих действий?
В файловой системе FAT количество элементов корневого каталога ограничено и задаётся в момент форматирования, причём файлы с длинными именами занимают несколько элементов каталога. Создав корневой каталог минимальной длины(16 элементов) и заняв почти все их длинным именем файла(160 символов X) оставшиеся занимаем папкой "Documents". Больше в корневой каталог ничего не поместится.

Чтобы совершить подобное под Windows нужна программа форматирования, в которой можно задать произвольные параметры FAT. Такой возможностью является утилита fsutil.
Я не привожу реализации этого способа в Windows по причине негибкости. Да и в конце концов вирус может удалить какой-то файл и записать свой или дозаписать себя к существующим, удалив а потом добавив заполненный мусором файл подходящего размера.

3. Слышал про способ аппаратной защиты от записи используя кардридер и карту памяти с переключателем(Lock). Работает ли это?
Да, этот способ рабочий и обеспечивает теоретически 100% защиту от записи путем аппаратной блокировки. Но на практике встречаются отзывы о том, что запись на карту все-таки возможна, несмотря на переключатель. Парадоксально - но некоторые кардридеры игнорируют положение переключателя Lock на карте. В основном это касается старых и нонейм-моделей.
Поэтому в целом этот способ можно считать достаточно надежным.

4. Какие еще способы защиты существуеют или на основании чего они могут быть созданы?

Я полагаю, одной из основных возможностей в данном вопросе является использование других файловых систем, например, UDF, EXT2/3/4 или ExFAT и их нативных возможностей защиты.

• Использование возможностей файловой системы ExFAT.

Поддержка exFAT имеется в Windows XP с Service Pack 2 и 3 с обновлением KB955704, Windows Vista с Service Pack 1, Windows Server 2008, Windows 7,[1] а также в Mac OS X Snow Leopard начиная с версии 10.6.5. Существует свободный драйвер exFAT в виде патча для ядра Linux, поддерживающий только чтение этой файловой системы. Учитывая налличие ACL(Access Control List) использование этой ФС в контексте защиты флешек видится довольно переспективным. Вот еще немного интересной информации по работе с exFAT, в том числе и под Windows XP.

• Использование возможностей файловой системы EXT2/3/4.

Учитывая необходимость обмена данными с ОС, отличными от GNU/Linux, она не столь практична, т.к. требует установки на каждом из компьютеров, где требуется с нею работать, соответствующего драйвера.

• Использование возможностей файловой системы UDF.

Universal Disk Format(UDF) also known by the specifications ISO/IEC 13346 and ECMA-167, is a vendor-neutral and medium-agnostic file system for computer data storage. As intended, initially UDF operated mainly on optical media. Most operating systems needed special third-party software to support reading it. Nowadays, almost all operating systems natively support at least reading UDF file systems, and many support some form of writing as well. Because of this increased support, UDF is gaining popularity on non-optical media that mainly need to be exchangeable, such as Iomega REV discs, large flash media, and even on hard disk drives.

1. Windows XP отформатированную в UDF флешку видит, но, к сожалению, записывать на неё не может (и показывает 0 байт свободного места). Во многих случаях, этого достаточно. Или, к примеру, если флешка используется для переноса дистрибутивов устанавливаемых на множество компьютеров программ, такое «железное» read-only окажется даже плюсом: никакой вирус не сможет её заразить.
2. Windows Vista и Windows 7 обладают полной поддержкой UDF на флешках и жёстких дисках – как на чтение, так и на запись!
3. Насколько удалось выяснить из различных источников, в MacOS X также, имеется полная поддержка UDF.
Подробнее об использовании UDF на USB-флешках, в том числе и в Linux, можно почитать здесь.

5. Выпускаются ли сегодня флешки с аппаратной защитой от записи?

Мало но есть. Например серия PQI Cool Drive одноименной фирмы(http://www.pqi.com.tw/product.asp?cate1=18), EZdrive Slider ID10, Pleomax PUB-E30.

Пока все. Надеюсь на дельные и интересные комментарии и дополнения по теме.

Вложения

	flashprotect.7z (208 байт, 228 просмотров)
	noautorun.7z (442 байт, 197 просмотров)
	HPUSBFW.7z (365.8 Кб, 1346 просмотров)

23

Давненько юзаю прогу, которая создает папку Autorun.inf и делает ее ридонли и т.п. В большинстве случаев помогает, но есть такие вирьки, что папку удаляют и пишут свой Autorun.inf, мало, но есть.
Почерпнул нового из статьи. Кстати, уже несколько лет пользую флешку с FS NTFS - жалоб не было. В машинную магнитолу ее конечно уже не воткнешь, но вроде бы пока ни разу за все время на ней ничего не слетело. И вытаскиваю я ее небезопасно, но тьфу-тьфу, вроде ничего.

0

у меня стоит прога USB Disk Security вообще проблем нету с вирями с флэхи рубит все на корню

0

Еще как альтернативу я бы мог порекомендовать ЗОРКИЙ ГЛАЗ, это бесплатный антивирус типа anti autorun, находит подавляющее большинство малвари, распространяющейся на флешках (по файлу автозапуска Autorun.inf). Не требует никаких обновлений вирусных баз, аботает параллельно с любым другим антивирусом... И еще умеет восстанавливать блокировки, созданные вирусом (например, бсод при загрузке в безопасном режиме)

2

выше описаные рекоминдации подойдут для жестких дисков?

0

aidoqa, если съемные, то да. На локальных батник с созданием autorun не прокатит

1

да

Сообщение от qvad съемные

)) Спасибо за информацию)

Добавлено через 3 минуты
вданном случае мне нужен только flashprotect.7z если я не ошибаюсь?

0

да, или скачайте, или сами напишите батник... Только имейте ввиду, запускать этот батник нужно ИМЕННО С ФЛЕШКИ... и еще нюанс - тело вируса ВСЕ РАВНО запишется на флешку, единственное преимущество данного метода это то, что вирус не сможет запуститься с флешки... так что будьте внимательны и следите за скрытыми файлами на флешке... Хстати, я их коллекционирую, эти флеш-вирусы, уже с десяток набрал... прикольно

1

понятно а где они у вас находяться ?

0

1

Сообщение от Yarosh attrib -s -h -r autorun.* del autorun.* mkdir %~d0AUTORUN.INF mkdir "?%~d0AUTORUN.INF.." attrib +s +h %~d0AUTORUN.INF

У меня не работает... папка autorun.inf создается, но удалить ее можно...

Сделал по другому:
создал папку md autorun.inf

потом в этой папке autorun.inf создал папку md name..\

0

Итак, для защиты компьютера от автостарта на флешках выполните следующие действия: Пуск -> Выполнить -> gpedit.msc -> Конфигурация компьютера -> Административные шаблоны -> Система -> Отключить автозапуск -> Правой кнопкой мыши -> Свойства -> Включена -> Всех дисководах -> Применить.

Это для Windows XP !
На Windows 7 и Vista находится в другом месте
И отключать нужно в двух местах, а не в одном !

Кроме этого совершенно не упоминается что для правильного отключения autorun требуется наличие одного патча, который выпустил Microsoft в прошлом году
Без этого патча полного отключения autorun не происходит
И при некоторых манипуляциях можно запустить autorun

0

Что касается искуственного создания autorun.inf - IMHO все это бред сивой кобылы
Если уже флешка попала в зараженный компьютер, то надо проверять все файлы на ней !
а не делать затычки

0

вот с момента первого поста кое-что изменилось, а именно : согласно статьи http://support.microsoft.com/kb/967715/ru параметр HonorAutorunSetting в подразделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\policies\Explorer\
используется для управления поведением текущего обновления имеется ввиду обновление Windows XP (KB967715) 24.02.2009 г., которое:
"Краткое описание: Установите это обновление, чтобы устранить ошибку, при которой функции автозапуска не отключаются должным образом"



Так вот хотелось бы разъяснений по написанному в Примечании:
"Раздел реестра HonorAutorunSetting всегда считывается из куста реестра HKEY_LOCAL_MACHINE, даже если он настроен и в кусте реестра HKEY_CURRENT_USER"
ведь параметр HonorAutorunSetting то же имеет диапазон: 0x0—0xFF (Значение по умолчанию 0x01 )

т.е. если имеется NoDriveTypeAutoRun в HKEY_CURRENT_USER значением FF, а HonorAutorunSetting в HKEY_LOCAL_MACHINE значением 0х01,
или наоборот:
значения 0х01 для NoDriveTypeAutoRun в HKEY_CURRENT_USER и FF для HonorAutorunSetting в HKEY_LOCAL_MACHINE,
как на самом деле всё будет выглядеть?

0

odip, а выпиливание службы определения оборудования оболочки в семерке не прокатывает?

0

актуально для студентов, кому приходится постоянно втыкать флэшки в разные универские компы, которые кишат вирусами, или чужие ноутбуки

• создаем на флешке папку
• скидываем все в эту папку
• ставим на флэшку запрет на запись
• заходим во флэшку
• ставим разрешение на корневую папку "разрешить запись"

90% вирусов не будут записаны в вашу флэшку(ибо вирусы обычно пишутся в корень)
и хотя на самом деле, вирус может обойти это, 90% вирусов банальны и тупы, и не меняют разрешения записи на флэшку.

0

Сообщение от odip Что касается искуственного создания autorun.inf - IMHO все это бред сивой кобылы Если уже флешка попала в зараженный компьютер, то надо проверять все файлы на ней ! а не делать затычки

После того, как лет 5 назад все сотрудники фирмы на рабочих флэшках создали папку autorun.inf и записали туда read-only файл,
постоянные заражения наших флешек прекратились (в день сотрудник бывал у 2-3 клиентов).

0

Здравствуйте!У меня вопрос обратного характера.Как сделать exe-папку?Т.е. здесь обсуждается,как избавиться от данного вируса,а мне нужно сделать такую папку. Т.е. создать подопытный объект. Поймите меня правильно..мне это нужно для тестирования своих и сторонних программ против подобных гадостей.

Заранее спасибо.

0

Сообщение от Kroshandowski exe-папку

как понять exe-папку папку -> sfx сделать в winrar

0

Это файл exe, bat, com и т.п. , только значок папки и др., разумеется скрыто расширение.

0