Защита USB-флеш накопителей от вирусов

Введение

Правильно говорят: «все новое — хорошо забытое старое». Привыкнув, что зараза прет только через инет, мы окончательно забыли, как лихо подцепляли вирусы с дискет друзей и знакомых. В наше время малварь нашла другой способ распространения: через USB-носители. Они оказались идеальным контейнером. А вкупе с дебильной политикой Винды — еще и очень эффективным.

Вставь пендрайв где-нибудь в универе или интернет-кафе — и малварь не заставить себя ждать. К гадалке не ходи по поводу флешки подружки: вопрос тут только в том, сколько разновидностей малвари уживается в одном месте. Да что там говорить, — если даже у опытных пользователей на внешних носителях часто оседает случайно подцепленная зараза?

Принцип действия настолько прост, что описывается буквально в двух словах. Любой вирус, у которого в арсенале числится распространение через внешние носители, использует 2 файла autorun.inf и бинарник с собственно телом вируса. Когда пользователь вставляет флешку, Винда считывает зловредный autorun.inf и, следуя указаниям, сразу запускает тело вируса или же исполняет его во время двойного клика по иконке накопителя.

Ну а, обосновавшись в системе, ничего не стоит копировать эти файлы на все подключаемые в систему диски. Недавний опыт Downadup, который использовал небольшой хинт, чтобы обмануть антивирусы, показал, что дело пора брать в свои руки. Сегодня мы разберемся, во-первых, как обезопасить свою флешку, а во-вторых, как избавить систему от «вредных привычек».

How To Create a Basic autorun USB

To get started, we need a USB flash drive, Notepad (other editors are not recommended as they add extra coding), an application you wish to run when the stick is plugged into the USB port.

Now follow these steps:

  1. Run “Notepad”
  2. Type in:

    [Autorun]
    Open=MyApp.exe
    Action=Start MyApp
    Label=My Portable PC
    Icon=MyApp.exe

  3. Save the file as autorun.inf in the root of the USB flash drive

Защита компьютера от вирусов на флешке. Отключаем автозагрузку.

Начнем с того, что сначала защитим свой компьютер от зараженных флешек. Мало ли где мы сами вставляли свою флешкe, или к нам кто пришел с неизвестно какой флешкой…

Для надежной защиты компьютера от вирусов на usb-флешках достаточно отключить автозагрузку (автозапуск) на всех дисках, подключаемых к компьютеру. Для этого можно воспользоваться специальными программами (Anti autorun), либо сделать несложные настройки.

Анти-ауторан — это программа для защиты флешек, карт памяти, mp3-4-плееров и других съемных носителей информации от вирусов.

Все дальнейшие действия делаются с правами администратора.

How To Create autorun USB menu

Sometimes we may need to make an autorun USB menu. For example, as an artist you may want to assemble a portfolio of your designs under a nice front-end and show it to prospective clients from the autorun USB stick. Or, you may want to create a business presentation or lecture that could also start from the USB key automatically. Companies may want to create an autorun USB with marketing materials and distribute to partners and clients.

If you’re looking for an application to create a fully-fledged autorun USB menu for a USB flash drive, I recommend you take a look at Autoplay Menu Designer. The program is very intuitive and friendly in that you do not have to be a design expert to make a great looking front-end for a presentation or portfolio on a USB flash drive.

Once it’s done, you are presented with the selected menu template in the editing window of the program. It’s time to edit.

Создаем папку для данных.

Создайте пустую папку на флешке. Например — ‘Data’

Autorun USB in Windows 7 and higher

About an Autorun USB in Windows 7 and higher read here: “Articles -> Autorun USB in Windows 7 and higher”

Защита флешки от вирусов.

Защита очень качественная, на мой взгляд, самая лучшая, она проверена временем и вирусами, спасает в 99% случаев!

Флэшка, сделанная таким методом, после контакта с заразным ноутбуком, а точнее с десятками ноутбуков, останется кристально чистой. Так что делаем не задумываясь!

Возможные проблемы и их решение.

  1. После форматирования накопителя в NTFS, его не видно в системе.
    Правый клик на «Мой компьютер», выбираем «Управление», в появившемся окне заходим в «Управление дисками», там жмем на нашей флэшке правой кнопкой и выбираем «Изменить букву диска или путь к диску». Выбираем букву, жмем «Ок».

К сожалению или счастью, больше мною проблем не было найдено, если вдруг найдете — пишите, попробуем решить.

Настройка.

Итак, карточка готова к настройке, заходим на флэшку и в корневом каталоге создаем каталог, в котором будут хранится данные, я назвал его «DATA». Правый клик по новому каталогу и переходим на вкладку безопасность, затем нажимаем на кнопку «Дополнительно».

Здесь снимаем галочку с пункта «Разрешить наследование разрешений от родительского объекта к этому…», в появившемся диалоге жмем «Копировать», затем жмем «Ок» в обоих окошках. Теперь зайдем в раздел «Безопасность» корневого каталога нашего носителя и настраиваем разрешения следующим образом:

:/>  Как изменить тип сети частная сеть Windows 10. Как изменить размещение сети Windows 10.

В столбце «Разрешить», оставляем отмеченными следующие пункты:

В столбце «Запретить» ставим галочку напротив пункта «Запись», в появившемся диалоге жмем «Да».

Все, в итоге мы получаем флэшку, на которую не сможет записаться Autorun. За это мы жертвуем малую долю производительности, возможность записи в корневой каталог носителя и, естественно, невозможность использования меню «Отправить» для копирования данных на носитель.

Непробиваемая защита

Самая лучшая защита на флешке — запрет записи на хардварном уровне. Некоторое время назад у многих флешек такой переключатель был по умолчанию, но сейчас производители отошли от этой практики. Зато почти на всех карточках Secure Digital (SD) переключатели по-прежнему есть.

Поэтому могу предложить непробиваемый вариант: купи такую карточку и компактный картридер, и в случае малейшего подозрения ставь переключатель в положение «read only». К тому же, картридер еще наверняка тебе пригодится (чтобы помочь скинуть фотографии красивой девушке, которая в панике бегает по офису в поисках провода от фотоаппарата).

Подготовка.

Для реализации задуманного нам понадобится отформатировать флэшку в NTFS, для этого есть несколько, известных мне способов. Для меня самым простым является использование

После запуска Disk Director’а, вы увидите список дисков подключенных к вашей системе. В этом списке находим свою флэшку, жмем правой кнопкой мыши и выбираем «Удалить раздел», в новом окошке оставляем все как есть(Особой разницы там нет). Далее опять правый клик по нашему диску и выбираем «Создать раздел». В окне «Создать раздел» выбираем:

Теперь жмем на иконке «Флажка» и в появившемся окне нажимаем «Приступить». После сделанных изменений перезагрузите компьютер.

Флэшку также можно отформатировать и более простым способом, указанным ув. maxshopen:

Пуск → Выполнить → cmd →

convert f: /FS:NTFS < — это если данные на флэшке нужны и их некуда сбэкапить

или

format f: /FS:NTFS < — если данные нафик

Полезные утилиты

В поиске и сопротивлении малвари хорошими помощниками могут стать несколько утилит. Я не буду здесь приводить обычные антивирусы, которые, само собой, с этой напастью борются и во многих случаях — довольно успешно. Вместо этого рассмотрим несколько небольших, но очень полезных утилит.

Правим права доступа в консоли

Установить ручками права доступа для одной флешки — легко. Для двух-трех — тоже ничего сложного. Но если требуется вакцинировать сразу десяток, скажем, для всех сотрудников предприятия? В этом случае нелишним будет автоматизировать процесс, устанавливая ACL-правила для флешки через командную строку.

Кстати говоря, используемая для этого консольная утилита cacls (Change Access Control Lists) — единственный способ настроить параметры безопасности в Windows XP Home Edition. Первым делом нужно получить текущую ACL-таблицу с флешки. Допустим, она определяется в системе как диск X: — команда для просмотра таблицы будет:

cacls X:

В большинстве случаев вернется строка:

X: Все:(OI)(CI)F

Символ F (от слова Full) в конце означает полный доступ для всего содержимого, — о чем говорят флаги (OI)(CI). Нам нужно удалить права на изменение файлов, поэтому по очереди удаляем записи из таблицы. В нашем примере надо удалить запись о полном доступе для группы «Все»:

cacls X: /E /R

Все. После чего разрешаем доступ к каталогу в режиме чтения (Read only):

cacls X: /G Все:R

Попробуй теперь создать в корне флешки файл. Едва ли получится :).

Прежде чем начать…

Уважаемые пользователи, нижеописанные действия были произведены в ОС Microsoft Windows Xp, в других операционных системах процесс может отличаться от изложенного. Также хотелось бы сказать, что автор текста не несет ответственности за оборудование, испорченное в следствии выполнения нижеописанных действий.

Работа со сторонними приложениями для автозапуска на примере autoplay menu builder

Выше мы отметили, что функция автоматического открытия приложений с диска в ОС Windows практически всегда реализуется при задействовании уникального файла autorun.inf.

Рассматриваемая программа предполагает создание приложения, на которое будет прописана ссылка в соответствующих алгоритмах autorun.inf. В распоряжении пользователя ПО, о котором идет речь, — простые и удобные элементы интерфейса, что позволяют конструировать самые разнообразные типы приложений, запускаемых Windows автоматически с диска.

Попробуем создать с помощью рассматриваемого решения очень простую программу и настроить ее автоматический запуск при размещении CD, DVD или флешки в считывателе компьютера.

Совладать с автозагрузкой

Одно дело — разобраться со своей собственной флешкой, и совсем другое — не подцепить заразу с чужих. Для того чтобы малварь не перекочевала на твой комп, продолжив свое победоносное шествие, необходимо, во-первых, грамотно отключить автозагрузку, и, во-вторых, взять на вооружение пару полезных утилит.

Начнем с первого. Казалось бы: что может быть проще, чем отключение автозапуска? Но на деле все не так прозрачно! Даже если поставить запрет через локальные политики Windows, в системе все равно остаются дырки, позволяющие заюзать малварь. Это легко проверить!

[autorun]open = calc.exe
shellOpenCommand=calc.exe
shellOpenDefault=1
shellExploreCommand=calc.exe
shellAutoplayCommand=calc.exe

Во время монтирования девайса, действительно, ничего не запускается, но попробуем дважды щелкнуть по иконке носителя. Что мы видим? Винда открывает калькулятор! Думаю, не надо объяснять, что вместо него т ам могло оказаться, что угодно. Вместо этого приведу подробную инструкцию, как правильно и окончательно отключить автозапуск системы:

:/>  powercfg - powercfg - qaz.wiki

1. Первым делом правим ключ реестра, который отвечает за запуск с CD. Переходим в ветку

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesCdrom

находим параметр AutoRun и устанавливаем его равным нулю.

2. Далее переходим в раздел

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

Здесь создаем новый ключ NoDriveTypeAutoRun типа dword и задаем значение ff в шестнадцатеричной системе. Для верности можно повторить те же действия в ветке

Способы защиты компьютера от автостарта на флешках

 1. Отключаем автозапуск в групповых политиках

Откройте Редактор локальной групповой политики:

— Пуск — Выполнить (Win R) — gpedit.msc или в строке поиска начните набирать «групповая»

— Конфигурация компьютера-Административные шаблоны- Все параметры — Отключить автозапуск

Отключить автозапуск
Правой кнопкой мыши — Изменить — Включить — Все устройства — Применить.

2. Отключаем автозапуск с помощью редактора реестра

Полностью отключить автозапуск со всех дисков можно также, воспользовавшись редактором реестра.

Запустите редактор реестра (Win R). Откройте ветку

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

и в значении двоичного параметра «NoDriveTypeAutoRun», и вместо «95» (или «91») прописать «FF».

Допустимые значения ключа:0x1 — отключить автозапуск на приводах неизвестных типов0x4 — отключить автозапуск сьемных устройств0x8 — отключить автозапуск НЕсьемных устройств0x10 — отключить автозапуск сетевых дисков0x20 — отключить автозапуск CD-приводов0x40 — отключить автозапуск RAM-дисков0x80 — отключить автозапуск на приводах неизвестных типов0xFF — отключить автозапуск вообще всех дисков.

В Windows XP по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому может потребоваться создание соответствующего раздела (Explorer) и параметра NoDriveTypeAutoRun, управляющего автозагрузкой устройств.

Все изменения в реестре вступают в силу после перезагрузки.

3. Запись в реестр сценария

Следующий метод представляет более расширенные возможности удаления потенциально опасных брешей в безопасности системы, связанных в том числе и с автозапуском.

Создайте произвольный reg-файл (например с именем noautorun.reg) и следующим содержимым:

Windows Registry Editor Version 5.00[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AutoplayHandlersCancelAutoplayFiles][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AutoplayHandlersCancelAutoplayFiles]«*.*»=»»

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer]«NoDriveTypeAutoRun»=dword:000000ff«NoDriveAutoRun»=dword:000000ff«NoFolderOptions»=dword:00000000

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderHiddenSHOWALL]«CheckedValue»=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion IniFileMappingAutorun.inf]@=»@SYS:DoesNotExist»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]«AutoRun»=dword:00000000

После чего запустите данный файл, и на вопрос системы о внесении изменений отвечайте «Да».

Отключить автозапуск временно (например, при отсутствии прав администратора), на период подключения устройства (флэшки) можно, удерживая нажатой клавишу Shift. При это открывать флешку рекомендуется не через «Мой компьютер» (иначе автозапуск сработает), а через Проводник.

Файл autorun.inf – вирус или шалость?

Что за файл – Autorun.inf ?

Это

скрытый

файл в ОС Windows, находящийся в корне диска.

Каждый раз, когда Вы открываете диск (локальный, портативный или тот, что в приводе) или USB флешку (частый случай) система сразу проверяет его на наличие данного файла. Если он есть – она смотрит что там прописано и запускает.

Это автозагрузочный файл, который указывает что делать системе при запуске диска.

Его обычно используют в хороших целях. Вы никогда не задумывались, почему при открытии диска с программой или игрой, вставленного в привод, сразу выводится красивое меню с выбором дальнейших действий? А так же обычно иконка диска заменяется на другую, от создателей игры/программы. Так вот, это всё именно из-за этого файла.

И именно из за этих свойств, его так любят вирусы, чтобы прописать в нем путь для запуска своего вредоносного кода.

Что из себя представляет файл Autorun.inf ?
Это обычный текстовый документ (правда он скрытый), внутри которого прописан код для запуска программ. И его так же можно открыть и редактировать с помощью стандартного Блокнота.

Обычно файл Autorun.inf содержит в себе следующий код:

[AutoRun]shellexecute=1
Action=2
Icon=3
Label=4

Где:

1

– это путь к программе

2

– имя программы

3

– иконка

4

– название (метка) диска

Это для примера. Команд для него большое множество, но для общего представления достаточно.

Как создать файл Autorun.inf для автозапуска ?
Это своего рода пособие по шалости Kikik

1) Создаем текстовый документ с названием Autorun.
2) Создаем папку vindavoz.
3) Открываем наш Autorun и вставляем туда

[AutoRun]open=vindavozMyProg.exe
action=vindavozПрога
icon=vindavozMyIcon.ico
label=vindavozВиндавоз

4) Сохраняем его с расширением

.inf

5) Закидываем файл и папку в корень диска

В итоге должно получится следующее:
При загрузке диска (или флешки) иконка будет та, которая MyIcon.ico . Название диска будет Виндавоз. И сразу откроется MyProg.exe с названием в меню автозапуска Прога.

Разумеется все эти названия для примера и они должны уже быть в папке vindavoz.
Ну и для “красоты”, можно сделать эти папку и файлы скрытыми.

Так же можно просто сделать название диска и иконку. Удивить друзей тем, что у Вашей флешки будет своё имя – это не ново. А вот когда ещё и иконка будет другая – это уже фокус Fufu
Содержание файла AutoRun.inf тогда будет таким:

[AutoRun]icon=vindavozMyIcon.ico
label=vindavozВиндавоз

Правда некоторые антивирусы могут ругаться на такое, но Вы то знаете что в нем ничего опасного.

Файл AutoRun.inf и вирусы
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.

:/>  50 мбит с это много или мало, как перевести мегабиты в мегабайты. 1 mbps - что это за скорость? Коротко о битах и байтах

Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.

Как удалить файл AutoRun.inf ?
Обычно вирус всячески пытается защититься: делает себя скрытым, не удаляемым, не дает зайти в во флешку и т.п.

Для того, чтобы удалить эту пакость вручную, воспользуемся командной строкой (win r -> вводим cmd).
1) Переходим на зараженную флешку (посмотрите на букву диска в Моем компьютере)

g:

У меня флешка под буквой

g

, соответственно вместо неё Вы должны написать свою букву.

2) Меняем атрибуты файла на нормальные

attrib -a -s -h -r autorun.inf

Если всё сделано абсолютно правильно, ничего не изменится. В случае, если была допущена ошибка, появится соответствующая информация.

3) Удаляем вирус

del autorun.inf

Как удалить вирус AutoRun.inf с помощью реестра
Как попасть в Редактор реестра я уже писал выше. Нам нужна ветка [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2(Буква_неоткрывающегося_диска)]

и удаляем в нем подраздел

Shell

. Можно так то удалить всё в разделе MountPoints2, но тогда удалится информация обо всех носителях. Решать Вам.

Так же можете воспользоваться программой Anti Autorun, которая блокирует создание файла autorun.inf и делает невозможным автозапуск любых вредоносных программ. Создает специальную папку и файл, которые не занимают места на диске.
Ещё пара программ которые могут Вам помочь, как я считаю, это Autorun Guard и USB_Tool.

Как защититься от вирусов AutoRun.inf ?

Конечно же Отключить автозапуск!
Немного об этом я писал в статье Как обезопасить свой компьютер, в частности в первом совете. В нем было описано как отключить автозапуск стандартными средствами Windows, а сейчас я опишу как это сделать “жестко” с помощью Редактора реестра.
Открываем редактор реестра (win r ->вводим regedit) и идем по ветке HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer в которой создаем параметр DWORD (32 Бита)

NoDriveTypeAutoRun

со значением

dword:000000ff

А теперь сделаем защиту ещё прочнее Cool
Дело в том, что ОСь Windows не позволяет создавать файлы и папки с одинаковыми именами, потому что для нее разница между файлом и папкой состоит только в одном бите.

Если кто со мной попытается спорить в этом – в любом месте создайте папку, а затем файл с таким же именем.
Именно с именем, без расширения.

Поэтому если существует папка autorun.inf, то файл с таким именем создаться уже не сможет. Поэтому первоначальный вариант – создать файл или папку с названием autorun.inf . Вирус увидит что такое название уже есть, обидится и уйдет ни с чем

LOL

Это имеет место быть правдой, но т.к. есть “интеллектуальные” вирусы, которые поймут, что существует файл или папка с таким именем и смогут запросто удалить Вашу созданную папку (файл) и записать свой файл autorun.inf, который будет запускать вирусы.

Для решения этой проблемы мы создадим супер-пупер неудоляемую папку

Nyu

. Которую удалить можно будет только если отформатировать флешку.

Итак, для создания такой папки, нужно создать простой текстовый документ в Блокноте со следующим содержанием:

attrib -s -h -r autorun.* del autorun.* mkdir “\?%~d0autorun.infvindavoz..” attrib s h %~d0autorun.inf

Нажимаем

Файл

Сохранить как…

и вводим любое название, но главное чтобы

расширение

было

.bat

Например

vindavoz.bat

.

Затем копируем этот файл на флешку и запускаем.

В итоге Вы должны получить папку autorun.inf внутри которой будет лежать неудоляемая папка vindavoz

Ну а для тех, кому не хочется с этим возиться, я приготовил этот файл в архиве.

vindavoz.zip307 bcкачиваний: 1875

Достаточно его скачать, распаковать, перенести файл vindavoz.bat на флешку (диск) и запустить.

Кстати, если папка после этого осталась видимой – смените ей атрибут на скрытый, щелкнув на ней ПКМ и выбрав Свойства

Этот “Фокус” не получится на система NTFS, но флешки чаще используют FAT, так что можно пользоваться.

P.S.
Зачем делать папку в папке? Да потому что папка autorun.inf служит как бы “индикатором”. И если после блужданий по компьютерам она к Вам попапла и атрибут у неё стоит не скрытый – значит вирусы уже хотели её удалить и прописаться в ней для чего и сменил атрибуты. Можете смело искать незнакомые скрытые файлы и удалять их. Это будут вирусы.

Для общей информативности, можете почитать статью на Википедии про него.

Оставьте комментарий

Adblock
detector