Компьютерная помощь
Сайт комнаты "Компьютерная помощь"

Как защитит компьютер — вирус на флешке

Помощь, настройка » Безопасность | 16 июля 2016 г.

В данной статье поговорим об одном из наиболее широко распространённом источнике попадания вирусов в компьютер, а именно через удобнейшую для многих возможность автозапуска при подключении флеш накопителей (и не только флеш). К сожалению данная возможность удобна не только людям.

Как часто вы копировали документы, музыку, фильмы и другие данные с компьютеров друзей, знакомых, коллег? И как часто подключая флешку на домашний или рабочий компьютер, обнаруживали, что на компьютер попал вирус? Пусть не сразу, но со временем начинали замечать, что компьютер ведёт себя не так, как должен был. Хочу заметить, что подобным образом вирусы могут попасть также с CD и сетевых дисков, и даже с жесткого диска компьютера.

Согласен, многие современные антивирусы умеют своевременно перехватывать вирусы. Более того, в операционной системе Windows 7 данная проблема решена. Система блокирует запуск программы указанного в файле autorun.inf. Но в меню выбора действий с подключенным накопителем, система предложит также пункт с программой автозапуска. Судя по тому, как часто я сталкиваюсь с вирусами на приносимых ко мне флешках, проблема пока еще актуальна.

Почему так происходит?

Все дело в том, что системы семейства Windows, при подключении (открытии Проводником) накопителей проверяют наличие файла autorun.inf. При наличии файла, система считывает из секции Open данного файла путь к запускаемому файлу и запускает. Таким образом можно реализовывать удобные (красивые) интерфейсы для работы с записанными данными. Абсолютно каждый пользователь компьютеров хотя бы один раз сталкивался с подобным механизмом, например, при установке игр. Но это что касается мирных целей. Точно также и вирусы очень широко пользуются такой возможностью для своего распространения.

Как с этим бороться?

Вместе с тем, есть некоторые меры по противодействию проникновения и распространения вирусов. Естественно, 100% гарантированной безопасности эти методы не обеспечат. Более или менее гарантию можно достичь, если вы выключите интернет, компьютер, телефоны, зашторите окна, дверь на двойные замки и т.д. Даже так... трудно сказать :) Шутка.

Первый этап

Вам необходимо отключить возможность автозапуска со всех носителей и дисков. Отключение автозапуска на всех дисках достигается изменением следующих ключей реестра.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Хочу сразу предупредить, отключение автозапуска на всех дисках может быть неудобно, если вы сильно привыкли вставить диск с игрой и на экране монитора отображается окно запуска (установки) игры. В таком случае воспользуйтесь вариантом № 2. Автозапуск останется возможным только с CD дисков.

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000df
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000df

 Но даже при таком способе останется возможность автозапуска дисков двойным кликом по букве диска или выбором в контекстном меню диска пункт Автозапуск. Для правильного решения данной проблемы обращайтесь к базе знаний компании Microsoft по адресу http://support.microsoft.com/kb/967715/ru. Там подробно рассматривается эта проблема и даются необходимые данные и правила. Но можно попытаться выполнить более  радикальный способ:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

 Этот параметр заставляет систему любые файлы autorun.inf считать пустыми.

Я лично поступаю по другому. Скачиваю программу AVZ (www.z-oleg.com), распаковываю на диск, запускаю программу и в меню Файл - Мастер поиска и устранения проблем запускаю мастер.

 

Появляется окно мастера. В первом списке выбираю Системные проблемы, во втором Все проблемы и нажимаю кнопку Пуск

Окно мастера поиска и устранения проблем программы AVZ

Появляется список проблем нормальные для работы системы, но проблемные с точки зрения безопасности. Через эти проблемы могут попасть вредоносные программы в систему. Отмечаю пункты Разрешен автозапуск с HDD, Разрешен автозапуск с сетевых дисков, Разрешен автозапуск с CD-ROM (для любителей быстрого запуска игровых дисков на выбор), Разрешен автозапуск со сменных носителей. Обратите внимание, у меня включен также пункт Проводник - включить отображение расширений для файлов известных системе типов. Об этом пункте поговорим чуть позже. И нажимаю кнопку Исправить отмеченные проблемы. Программа исправляет эти проблемы и даже не вникаю, где что он исправил :) Главное исправил и я верю AVZ.

Второй этап

Поскольку мы не в состоянии очистить от вирусов все компьютеры друзей, знакомых и коллег, угроза попадания вируса на флеш носитель все еще сохраняется. Хоть мы и исправили у себя автозапуск с носителей, остается угроза заражения компьютеров других друзей и знакомых. Ведь иногда же захочется похвастаться тем, что нашел :)

Для предотвращения этого, мы должны заблокировать на флешках возможность записи файла autorun.inf. Как это делается? Есть программы, автоматизирующие этот процесс. Но мы поступим тем, что нам доступно. А нам доступна всегда Командная строка (Пуск - Все программы - Стандартные - Командная строка или Пуск - Выполнить... - cmd (набираем в поле) - OK). В командной строке выполняем следующие команды

attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir "&%~d0AUTORUN.INF"
attrib +s +h %~d0AUTORUN.INF

Эти команды удаляют файл autorun.inf если он там есть, предварительно сняв аттрибуты скрытный, системный и только для чтения. Затем создает папку AUTORUN.INF добавив вначале нулевой знак. Также создает файл ссылки таким же именем. После чего устанавливает аттрибуты скрытный, системный и только для чтения. Система отображает эту папку нормально, а вот вирус не сможет удалить его, поскольку незнает о том, что в начале имени надо указывать нулевой знак. Напоминаю. Вы должны обладать правами записи и изменения аттрибутов. Иначе потребуются права администратора.

Данные команды легче записать в bat файл и запускать на всех флешках. Готовый bat файл можете скачать тут: flashprotect.bat_.zip (обратите внимание, файл имеет двойное расширение bat и zip. Это сделано из-за того, что на сайт нельзя загружать некоторые типы файлов и я упаковал файл. Вам придется распаковать его у себя).

Казалось бы сделали все, что требовалось для защиты компьютера и нашей флешки. Но это еще не все. Вирус хоть и не сможет теперь записать файл autorun.inf, но ему никто и ничто не помешает записать на носитель тело самого себя (вируса то есть). Но если вы его сознательно не запустите, он уже автоматически не сможет запускаться. Просто будет висеть мусором на флешке.

Еще одна опасность. Некоторые вирусы настолько хитрые, при вставке флешки на зараженный компьютер, вирус может скрыть имеющиеся папки на флешке и точно таким же именем записать тело вируса. Например, если на флешке у вас имеется папка под именем Music, то вирус делает скрытым эту папку и рядом создаст файл Music.exe. И для верности в качестве ярлыка использует изображение папки. И когда вы откроете на проводнике эту флешку, у вас как будто нормально отображается обычная папка Music. При попытке открыть эту папку, благополучно запустится вирус и компьютер мгновенно заразится.

Как бороться? Помните выше в окне Мастера поиска и устранения проблем у меня был отмечен также пункт Проводник - включить отображение расширений для файлов известных системе типов? Так вот, данный пункт позволяет отображать в проводнике записанный вирус в виде Music.exe. Вы увидев его должны насторожиться, что это вирус. А ваша папка существует и она скрыта для отображения.

Для показа скрытых папок делаем следующее: 

В проводнике выбираем пункт меню Сервис - Свойства папки, и в открывшемся окне выбираем

Окно свойств папки системы

пункт Показывать скрытые файлы и папки. Теперь у нас в проводнике будет отображаться папка Music (полупрозрачном виде) и запускаемый файл вируса Music.exe. Удаяем файл Music.exe, в свойствах папки снимаем флаг Скрытый и радуемся жизни :)

В системе Windows 7 свойства папки открываются так Панель управления - Оформление - Показ скрытых папок и файлов.

Однако, через Свойства папки не всегда удается снимать флаг скрытый. Поскольку существует много способов снятия флагов. Если вы не пользуетесь файл менеджерами типа Total Commander, то легче снять атрибуты через командную строку:

	attrib /S/D -H -S F:\*

где F:\ буква диска, * - все файлы и папки (в том числе во вложенных папках). Так помоему проще и безопаснее, чем создавать новые папки и переносить данные.

Подробная справка команды attrib (выдается по команде attrib /?):

Отображение или изменение атрибутов файлов.
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I]
[диск:][путь][имя_файла] [/S [/D] [/L]]
  +  Установка атрибута.
  -  Снятие атрибута.
  R  Атрибут "Только чтение".
  A  Атрибут "Архивный".
  S  Атрибут "Системный".
  H  Атрибут "Скрытый".
  I  Атрибут "Неиндексированное содержимое".
  [диск:][путь][имя файла]
     Указание файла или набора файлов для обработки.
  /S Обработка файлов с указанными именами в текущем каталоге
     и во всех его подкаталогах.
  /D Обработка файлов и каталогов.
  /L Работать с атрибутами самой символической ссылки,
     а не целевого объекта этой символической ссылки.
twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru yandex.ru

При цитировании, копировании, клонировании материалов с сайта целиком или частично, ссылка на страницу, откуда был скопирован материал, обязательна! При нарушении данных условий прошу незамедлительно удалить со своих ресурсов скопированный материал. Администрация сайта.



Комментариев: 0

    Оставьте комментарий!

    Используйте нормальные имена

    Вы можете войти под своим логином или зарегистрироваться на сайте.

    (обязательно)