Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?   Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:     1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.   Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.   2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.   Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.   Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.   3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.   Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.   Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!   Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DySprozin   Цитата: Защиты от _всех_ вирусов не существует   В данном контексте речь идет о защите от известных вирусов. Поскольку, как я говорил выше,  некоторые из них умеют дописывать в файл autorun.inf запуск своего лоадера, оставляя icon=master.ico, то следует предусмотреть защиту и от них - ведь это вполне реально.     Цитата: На достоинство метода я указал, здравой критики _достоинства_ (а не самого метода) я не получил (; Это не достоинство - это ущербность метода.     Подумайте сами (рассматриваем случай, когда автозапуск на компьютере включен): Цитата: больную флешку в любой комп (напр. здоровый) - иконка не отображается, заражение предотвращено на корню 1. Если autorun.inf перезаписан вирусом полностью - иконка не отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен. 2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:37 04-11-2009

DySprozin Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: 1. Если autorun.inf перезаписан вирусом полностью - иконка не отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.   При автозапуске предлагается выбор действий (открыть, воспроизвести и т.д.) и пока выбор не сделан, авторан не может причинить никакого вреда, даже ваш же пример:   Цитата: [autorun]   open = calc.exe   shell\Open\Command=calc.exe   shell\Open\Default=1   shell\Explore\Command=calc.exe   shell\Autoplay\Command=calc.exe   Зато видна иконка (или ее не видно - в случае заражения). Кстати, Ваш авторан сработает даже при отключенном автозапуске, проверьте (;   Цитата: 2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен. да, и это большая опасность. В данном случае опасность в том, что, не заглянув в авторан, владелец флешки находится в неведении. Как понимаю, именно это вы и подразумеваете под "ущербностью". Что ж, в этом есть своя логика, спорить не буду, нет смысла... Всего записей: 30 | Зарегистр. 07-04-2009 | Отправлено: 23:07 04-11-2009 | Исправлено: DySprozin, 23:08 04-11-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DySprozin Цитата: При автозапуске предлагается выбор действий (открыть, воспроизвести и т.д.) Если быть последовательным, то по вашим словам - "(по понятным причинам - юзеры)" - пользователь вполне способен сделать наиболее опасный выбор, не глядя ни на наличие иконки, ни на ее отсутствие.   Цитата: и пока выбор не сделан, авторан не может причинить никакого вреда, даже ваш же пример ... Кстати, Ваш авторан сработает даже при отключенном автозапуске, проверьте (;   Вы уж определитесь - сработает этот авторан или не стаботает, а потом рассуждайте - а то сами себе противоречите. У меня автозапуск выключен надежно - даже этот авторан не срабатывает.   Цитата: 2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.   да, и это большая опасность. В данном случае опасность в том, что, не заглянув в авторан, владелец флешки находится в неведении. Как понимаю, именно это вы и подразумеваете под "ущербностью".   Насколько часто типичный пользователь "заглядывает в авторан"? Вы сами часто "заглядываете в авторан"?     Я делаю это только в одном случае - одна из моих флешек является загрузочной. И после подключения ее к чужому компьютеру, я всегда проверяю сохранность моего файла autorun.inf. Во всех остальных случаях я не "заглядываю в авторан", но тем не менее нельзя сказать что я "нахожусь в неведении": на моих компьютерах отключен автозапуск, установлена либо Панда, либо AutorunCleaner, а флешки защищены с помощью AUTOSTOP либо Панды.   Но под ущербностью я подразумеваю совсем не это. Позвольте мне в третий раз сказать вам (возможно на сей раз я буду услышан и понят), что ущербность данного метода в том, что существуют вирусы, которые умеют дописывать в файл autorun.inf запуск своего лоадера, оставляя нетронутым icon=master.ico     Цитата: Что ж, в этом есть своя логика, спорить не буду, нет смысла... Давайте назовем вещи своими именами - вы не станете спорить не потому что "нет смысла", а потому что у вас нет аргументов. Коль так - умейте признать свою неправоту. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 00:27 05-11-2009

Evg8000 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я в свое время всячески пробовал отключить автозапуск, скриптами и утилитами, но в итоге решил просто отключить флешки на рабочих станциях и все Может кого устроит такой вариант: www.flashkin.ru/2007/05/11/otkljuchit_ispolzovanie_usbustrojjstv_khranenija_dannykh.html Всего записей: 134 | Зарегистр. 13-11-2006 | Отправлено: 11:29 02-12-2009

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ, помогите пожалуйста со следующей проблемой. Создал рег-файл: Код: Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ;Подмена autorun.inf файла @="@SYS:DoesNotExist" При попытке импортировать его в реестр, сообщает, что запись успешно внесена. Но в Regedit`е видно, что ничего не добавилось. В чём может быть проблема? C разрешениями на IniFileMapping тоже вроде норма: я в группе Administrators, которым разрешено: Full Control и Read.   P.S. У меня WinXP x64 SP2. Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 00:14 06-12-2009

ToTaLictikus Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ, а кто о таком методе слышал? http://www.siteguard.ru/p26.html Всего записей: 160 | Зарегистр. 22-07-2003 | Отправлено: 22:17 07-12-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ToTaLictikus Цитата: кто о таком методе слышал? http://www.siteguard.ru/p26.html   Один в один слизано с ранних версий моего AUTOSTOP.     Добавлено: Evg8000 Цитата: итоге решил просто отключить флешки на рабочих станциях   Ну это конечно крайние меры, хотя определенные плюсы есть. Я некоторым особо ярым юзерам тоже отключал с помощью     Код:   Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004           Добавлено: BakLAN Цитата: Создал рег-файл. В чём может быть проблема   Попробуйте таким bat-файлом:   Код:   REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f   Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 02:23 10-12-2009 | Исправлено: Serhiy123, 02:40 10-12-2009

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Попробуйте таким bat-файлом: Я уже пробовал. Но проблема в том, что коммандный файл выполняется вроде до конца, а данные в реестре не добавляются. Если же вставляю эту команду в командную строку и нажимаю Enter, данные добавляются. Странно как-то... В чём разница? Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 16:36 10-12-2009

oler2 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору заражение флешки можно предотвратить только джеком-read only Всего записей: 1194 | Зарегистр. 14-03-2006 | Отправлено: 17:12 10-12-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BakLAN Цитата: коммандный файл выполняется вроде до конца, а данные в реестре не добавляются Такое ощущение что у вас вирусис сидит, и правку реестра традиционными способами запрещает.     Добавлено: oler2 Цитата: заражение флешки можно предотвратить только джеком-read only Не факт. Процитирую свой же ответ на Хабре: -- Все относительно, как Вы понимаете. В данном случае «непробиваемый» = наиболее надежный из существующих.   Меня в плане оносительности заставил в свое время очень сильно задуматься вот какой случай. Принято считать что самая-пресамая надежная защита для флешки, которая не обходится — это флешка с переключателем, блокирующим запись, или кард-ридер с картой памяти, на которой тоже есть такой перключатель. Как бы не так!   В фотоаппарате жены (Canon А610) нет возможности показа индикатора заряда батареи. Нашел альтернативную прошивку, имеющую такую функцию. Записал ее на карту памяти. В инструкции к прошивке говорися, что для того, чтобы она грузилась автоматом (а не руками запускалась после включения фотоаппарата), необходимо переключатель на карте памяти перевести в положение «Заблокировано». Я несколько раз перечитал этот пункт — уж не ошибся ли. Нет — так и написано русским по белому. Ставлю переключатель на «Lock», заряжаю карту в фотоаппарат, предчувствуя что сейчас он выругается о невозможности записи, и… И ничего такого не происходит — все снятые кадры прекрасно сохраняются на карту памяти, а неудачные кадры без проблем можно удалить. Вот тут-то я прозрел.       Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:16 10-12-2009

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Вируса никакого нету. Разве выполнение комманды через консоль - не традиционный способ? Так он работает. А из командного файла - нет.... Например эта команда: Код: REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f работает как из cmd-файла, так и из командной строки. А та, что в предыдущем посте, только из командной строки.... Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 00:44 11-12-2009 | Исправлено: BakLAN, 00:57 11-12-2009

Lexandr22 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть простой действующий способ.   Форматируем или конвертируем флэшку в NTFS. Создаем папочку или несколько папочек. Создаем свой autorun.inf (если есть необходимость). В корне для группы "ВСЕ" разрешаем только "Чтение и выполнение", "Список содержимого папки", "Чтение", остальные группы и пользователей если есть - удаляем . В папках группе "ВСЕ" разрешаем полный доступ.   Теперь ни один авторан не попадет на флэшку. Всего записей: 32 | Зарегистр. 11-12-2009 | Отправлено: 19:25 11-12-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Lexandr22 Цитата: Есть простой действующий способ Да, действительно такой способ есть - был описан на Хабре - http://habrahabr.ru/blogs/infosecurity/47287/ Для NTFS он, на сегодняшний день, несомненно, лучший. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 19:38 11-12-2009

ToTaLictikus Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а Если флешка в FAT/FAT32, что тогда? нет у меня возможности сделать ее в NTFS Всего записей: 160 | Зарегистр. 22-07-2003 | Отправлено: 23:27 11-12-2009

BennyBlanco Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Еще как вариант можно набрать в Google: Portable Lock My Folder v1.20 RUS, скачать эту прожку, отфрматировать флэшку в NTFS, в корне флешки создать папку autorun.inf, с помощью скачанной Portable Lock My Folder v1.20 RUS, заблокировати папку autorun.inf, в результате ее нельзя будет ни удалить ни переименовать ToTaLictikus Цитата: а Если флешка в FAT/FAT32, что тогда? нет у меня возможности сделать ее в NTFS Набери в Google: HP USB Disk Storage Format Tool, с ее помощью будет возможность сделать флешку в NTFS (это как вариант, способов отфрматировать флэшку в NTFS много)   Всего записей: 1992 | Зарегистр. 17-09-2009 | Отправлено: 13:00 12-12-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ToTaLictikus Цитата: а Если флешка в FAT/FAT32 Для FAT лучшая защита - Panda USB and AutoRun Vaccine 1.0.1.4. В качестве альтернативы - мой AUTOSTOP. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 16:35 12-12-2009

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уязвимость в Panda USB and AutoRun Vaccine 1.0.1.4   Panda USB and AutoRun Vaccine 1.0.1.4, которой я не так давно присвоил титул "лучшей на сегодняшний день программы для защиты флешек от autorun-вирусов", сегодня прокололась вот на каком моменте.   При вакцинации флешек созданием своего AUTORUN.INF с "некорректным атрибутом" 0x42, Панда, в случае существования на флешке "непандовского" (т.е. созданного не самой Пандой) файла autorun.inf, из гуманных соображений, бэкапит его с именем autorun_.inf.   Так вот - если создать на флешке 2 файла: autorun.inf и autorun_.inf, и дать им атрибуты, например RAHS, а потом натравить на эту флешку Панду, и сказать ей: вакцинируй, то Панда обломится. И выдаст сообщение о невозможности вакцинации, ввиду ошибки резервного копирования. Таким образом, простой пользователь навряд-ли поймет что нужно делать, и если файл autorun.inf на его флешке содержал ссылку на вирус - то он останется целым и невредимым.   Я более чем уверен, что ребята из Panda Research читают мой ЖЖ, поэтому будем надеяться, что эту дыру вскоре устранят (достаточно же переименовывать не четко в autorun_.inf, а, например в autorun[текущая_дата_и_время].inf).     Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 23:26 14-12-2009 | Исправлено: Serhiy123, 00:34 15-12-2009

ardkl Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте! подскажите, как вылечить заражённый компьютер? Если в него вставить флэшку, то создаётся файл autorun.inf и папка Recycler.     Нод32 2008г. ничего не поймал. Я так понимаю есть резидентная прога или сервис, которые пишут вирус на флэшку. Как бы их определить? Всего записей: 92 | Зарегистр. 08-01-2010 | Отправлено: 17:00 16-02-2010

AXVill Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ardkl 1. Обновить антивирус. 2. Воспользоваться бесплатными антивирусами, например CureIt!. Всего записей: 320 | Зарегистр. 22-09-2005 | Отправлено: 18:04 16-02-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Защита флэшки от вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование