@Monte-Cristo

Писал статью для блога, и решил запостить ее и на форуме - может кому-то пригодится.

Флеш-накопитель (в простонародье Флешка) есть практически у всех. Это удобное средство переноса данных, от одной машины к другой. Современные флешки компактны в размерах и имеют приличный объем памяти (в скором времени планируется выпустить на 128Гб.. если уже не выпустили). Но как и всегда, кроме плюсов есть и минусы. Наверное, каждый сталкивался с проблемой вирусов на флеш-устройствах. В этой статье я расскажу как можно предохранить свой компьютер от вирусов, заражающегося от флешек друзей. Наиболее частым случаем является распространение малварей посредством файла Autorun.inf, который запускает малварей при подключении фелшки к компьютеру.

Для защиты своего компьютера, я отключил выполнение Autorun. Сделать это можно несколькими методами. Универсальным является метод редактирования записи в реестре вручную. Для этого необходимо выполнить следующие действия:

1. Пуск -> Выполнить -> regedit
2. Открыть ветвь HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/
3. Создать новый раздел Explorer (если его нет)
4. В этом разделе создать ключ NoDriveTypeAutoRun типа DWORD (если его нет)
5. Присвоить значение
   ключу

   Допустимые значения ключа:
   
   1 - отключить автозапуск на приводах неизвестных типов
   4 - отключить автозапуск сьемных устройств
   8 - отключить автозапуск НЕсьемных устройств
   10 - отключить автозапуск сетевых дисков
   20 - отключить автозапуск CD-приводов
   40 - отключить автозапуск RAM-дисков
   80 - отключить автозапуск на приводах неизвестных типов
   FF - отключить автозапуск вообще всех дисков.
   
   ! Разрешен множественный выбор, путем суммирования числовых значений.
6. Желательно повторить указанные выше действия для ветвей:
   HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies
   HKU/.DEFAULT/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies

Так же, отключить Autorun для всех дисков предложит Антивирус Касперский, если выполнить "Анализ Безопасности" (что делать переодически я рекомендую). "Анализ Безопасности" расположен в секции "Защита", в разделе "Контроль приложений".

Защитить свой компьютер путем отключения выполнения Autorun - это конечно хорошая идея. Но вирусы все равно так и лезут на флешку, подвергая заражению другие - незащищенные - компьютеры. Запретить запись вирусов на флеш-накопитель мы конечно не сможем, а вот их выполнение во время подключения к незащищенной машине - попробуем.

Для этого нам необходимо создать свой файл Autorun.inf, причем таким образом, чтобы он был недоступен для записи (в частности - удаления/презаписи). Конечно защиту всегда можно обойти - например снять запрет на перезаписть Autorun.inf - но вирусы, как правило, практикуют это действие очень редко.
Как это сделать? Я наткнулся на программу AntiAutoRun, которая блокирует Autorun.inf для файловой системы FAT (на флешках до 4 Гб используется очень часто).

Блокирование Autorun.inf:

• Вставляем флэшку в компьютер, дожидаемся пока она появится в системе
• Запускаем программу AntiAutoRun
• Выбираем в выпадающем списке нашу флешку
• Жмем кнопку «Заблокировать»

! Если на флешки на момент блокировки не было файла autorun.inf — программа сама его создаст.

Разблокирование Autorun.inf:

• Вставляем флэшку в компьютер, дожидаемся пока она появится в системе
• Запускаем программу AntiAutoRun
• Выбираем в выпадающем списке нашу флешку
• Жмем кнопку «Снять защиту»

Суть программы заключается в том, что она получает прямой доступ к файловой системе флеш-накопителя и ищет объявление файла autorun.inf в таблице размещения файлов (File Allocation Table). После этого программа меняет атрибут файла в этой таблице, в результате чего система начинает думать, что файл является служебной информацией. Такой файл нельзя прочитать, удалить, переименовать, перезаписать и даже скопировать. А это означает, что когда такая флешка будет подключена к зараженному компьютеру, вирус сможет скопировать себя на флешку, но автоматически запуститься при подключении флешки к компьютеру не сможет!

Что касается файловой системы NTFS, то в ней достаточно в свойствах файла Auntorun.inf на вкладке Security поставить галочки на пунктах Read и Read & execute для всех пользоватлей, включая администратора.

PS: Вот нашел еще одну программу USBProtect, которая позволяет заблокировать выполнение Autorun.inf файлов на компьютере и их выполнение на носителях. Я ее не успел протестировать.

1

Вложения

	AntiAutoRun.rar (206.5 Кб, 360 просмотров)
	USBProtect.rar (273.6 Кб, 306 просмотров)

Humanoid

Кстати, как вариант, можно создать папку с именем autorun.inf В результате вирус уже не сможет создать файл с таким же именем. Далеко не факт, что вирус догадается вначале удалить папку... скорее всего, он просто не поймёт что происходит.

1

@odip

Какой ужас !
Простой способ - через редактор политик - gpedit.msc
Там не нужно учить эти длинные команды и ключи.

А еще нужно патч Microsoft-овский для Autorun поставить.
Это что слону дробина. На компьютере где нет антивируса полно других вирусов. В курсе что вирусы не только и не столько через флешки распространяются ?

Более надежный способ - если кому отдал флешку попользоваться - отформатируй ее при возвращении.

0

@bombus

я себе сделал так. тоже удобно. (см. Защита Flash-ки от записи новых файлов)

0

@arch-vile

odip, речь-то автор темы завел именно об autorun'ах на флешке... ИМХО очень полезная и актуальная статья... А форматировать флешку, чтоб с неё вирус удалить, не всегда есть возможность...

0

@Monte-Cristo

ну... вообще-то можно применить тогда и всякого рода твикеры. а знание реестра все равно необходимо.

упс) незаметил твоей темки... очень полезного много... спасибо.

0