Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.65/37: Рейтинг темы: голосов - 37, средняя оценка - 4.65
2807 / 1398 / 107
Регистрация: 07.03.2009
Сообщений: 4,446
1

Защита от Autorun вирусов

28.08.2009, 22:10. Просмотров 7456. Ответов 5

Писал статью для блога, и решил запостить ее и на форуме - может кому-то пригодится.

Флеш-накопитель (в простонародье Флешка) есть практически у всех. Это удобное средство переноса данных, от одной машины к другой. Современные флешки компактны в размерах и имеют приличный объем памяти (в скором времени планируется выпустить на 128Гб.. если уже не выпустили). Но как и всегда, кроме плюсов есть и минусы. Наверное, каждый сталкивался с проблемой вирусов на флеш-устройствах. В этой статье я расскажу как можно предохранить свой компьютер от вирусов, заражающегося от флешек друзей. Наиболее частым случаем является распространение малварей посредством файла Autorun.inf, который запускает малварей при подключении фелшки к компьютеру.

Для защиты своего компьютера, я отключил выполнение Autorun. Сделать это можно несколькими методами. Универсальным является метод редактирования записи в реестре вручную. Для этого необходимо выполнить следующие действия:
  1. Пуск -> Выполнить -> regedit
  2. Открыть ветвь HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/
  3. Создать новый раздел Explorer (если его нет)
  4. В этом разделе создать ключ NoDriveTypeAutoRun типа DWORD (если его нет)
  5. Присвоить значение
    ключу
    Допустимые значения ключа:

    1 - отключить автозапуск на приводах неизвестных типов
    4 - отключить автозапуск сьемных устройств
    8 - отключить автозапуск НЕсьемных устройств
    10 - отключить автозапуск сетевых дисков
    20 - отключить автозапуск CD-приводов
    40 - отключить автозапуск RAM-дисков
    80 - отключить автозапуск на приводах неизвестных типов
    FF - отключить автозапуск вообще всех дисков.

    ! Разрешен множественный выбор, путем суммирования числовых значений.
  6. Желательно повторить указанные выше действия для ветвей:
    HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies
    HKU/.DEFAULT/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies

Так же, отключить Autorun для всех дисков предложит Антивирус Касперский, если выполнить "Анализ Безопасности" (что делать переодически я рекомендую). "Анализ Безопасности" расположен в секции "Защита", в разделе "Контроль приложений".

Защитить свой компьютер путем отключения выполнения Autorun - это конечно хорошая идея. Но вирусы все равно так и лезут на флешку, подвергая заражению другие - незащищенные - компьютеры. Запретить запись вирусов на флеш-накопитель мы конечно не сможем, а вот их выполнение во время подключения к незащищенной машине - попробуем.

Для этого нам необходимо создать свой файл Autorun.inf, причем таким образом, чтобы он был недоступен для записи (в частности - удаления/презаписи). Конечно защиту всегда можно обойти - например снять запрет на перезаписть Autorun.inf - но вирусы, как правило, практикуют это действие очень редко.
Как это сделать? Я наткнулся на программу AntiAutoRun, которая блокирует Autorun.inf для файловой системы FAT (на флешках до 4 Гб используется очень часто).

Блокирование Autorun.inf:
  • Вставляем флэшку в компьютер, дожидаемся пока она появится в системе
  • Запускаем программу AntiAutoRun
  • Выбираем в выпадающем списке нашу флешку
  • Жмем кнопку «Заблокировать»

! Если на флешки на момент блокировки не было файла autorun.inf — программа сама его создаст.

Разблокирование Autorun.inf:
  • Вставляем флэшку в компьютер, дожидаемся пока она появится в системе
  • Запускаем программу AntiAutoRun
  • Выбираем в выпадающем списке нашу флешку
  • Жмем кнопку «Снять защиту»

Суть программы заключается в том, что она получает прямой доступ к файловой системе флеш-накопителя и ищет объявление файла autorun.inf в таблице размещения файлов (File Allocation Table). После этого программа меняет атрибут файла в этой таблице, в результате чего система начинает думать, что файл является служебной информацией. Такой файл нельзя прочитать, удалить, переименовать, перезаписать и даже скопировать. А это означает, что когда такая флешка будет подключена к зараженному компьютеру, вирус сможет скопировать себя на флешку, но автоматически запуститься при подключении флешки к компьютеру не сможет!

Что касается файловой системы NTFS, то в ней достаточно в свойствах файла Auntorun.inf на вкладке Security поставить галочки на пунктах Read и Read & execute для всех пользоватлей, включая администратора.

PS: Вот нашел еще одну программу USBProtect, которая позволяет заблокировать выполнение Autorun.inf файлов на компьютере и их выполнение на носителях. Я ее не успел протестировать.
1
Вложения
Тип файла: rar AntiAutoRun.rar (206.5 Кб, 360 просмотров)
Тип файла: rar USBProtect.rar (273.6 Кб, 306 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
28.08.2009, 22:10
Ответы с готовыми решениями:

P2P-Worm.Win32.Palevo.boft (autorun.exe, autorun.exe//UPX)
Здравствуйте, вот напоролся на такой вирус (кажется занесли его из отдела милиции с флешки). Дело...

Вопросы комплексной защиты от Autorun-вирусов на флешках
Довольно избитая тема, но, тем не менее, она пользуется устойчивой популярностью, особенно у тех...

Защита от вирусов
Можно ли защитить компютер от вирусов без антивируса?

Защита книг от вирусов
Защита книг от вирусов.

5
Почетный модератор
11166 / 4124 / 411
Регистрация: 12.06.2008
Сообщений: 11,946
28.08.2009, 23:19 2
Кстати, как вариант, можно создать папку с именем autorun.inf В результате вирус уже не сможет создать файл с таким же именем. Далеко не факт, что вирус догадается вначале удалить папку... скорее всего, он просто не поймёт что происходит.
1
Эксперт С++
7174 / 3233 / 77
Регистрация: 17.06.2009
Сообщений: 14,166
28.08.2009, 23:29 3
Универсальным является метод редактирования записи в реестре вручную.
Какой ужас !
Простой способ - через редактор политик - gpedit.msc
Там не нужно учить эти длинные команды и ключи.

А еще нужно патч Microsoft-овский для Autorun поставить.
а вот их выполнение во время подключения к незащищенной машине - попробуем
Это что слону дробина. На компьютере где нет антивируса полно других вирусов. В курсе что вирусы не только и не столько через флешки распространяются ?

Более надежный способ - если кому отдал флешку попользоваться - отформатируй ее при возвращении.
0
3077 / 527 / 11
Регистрация: 29.08.2008
Сообщений: 1,687
28.08.2009, 23:50 4
я себе сделал так. тоже удобно. (см. Защита Flash-ки от записи новых файлов)
0
3214 / 772 / 25
Регистрация: 12.07.2009
Сообщений: 3,184
28.08.2009, 23:51 5
odip, речь-то автор темы завел именно об autorun'ах на флешке... ИМХО очень полезная и актуальная статья... А форматировать флешку, чтоб с неё вирус удалить, не всегда есть возможность...
0
2807 / 1398 / 107
Регистрация: 07.03.2009
Сообщений: 4,446
29.08.2009, 00:00  [ТС] 6
Цитата Сообщение от odip Посмотреть сообщение
Какой ужас !
Простой способ - через редактор политик - gpedit.msc
Там не нужно учить эти длинные команды и ключи.
ну... вообще-то можно применить тогда и всякого рода твикеры. а знание реестра все равно необходимо.

Цитата Сообщение от bombus Посмотреть сообщение
я себе сделал так. тоже удобно.
упс) незаметил твоей темки... очень полезного много... спасибо.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
29.08.2009, 00:00

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Защита флешки от вирусов
слышал что можно защитить флешку от вирусов, создав там файл авторан. Для этого есть программы типа...

как сделать AutoRun cleaner (чтоб оставыть стандартных AutoRun - ов и удалить лишнего)?
Здравствуйте все! Помогите пожолуйсто: как сделать AutoRun cleaner (чтоб оставыть стандартных...

Не работает "Защита от вирусов и угроз"
Собственно вообще не понимаю, что происходит. Встроенный защитник просто не работает.

AutoRun
Здраствуйте! Помогите плиз... Подскажите как в С++ Builder добавить в прогу авторан через...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
6
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.