Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
kolunya

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всё что ты написал - не поможет. Я сталкивался с несколькими разновидностями вирусов, которые активизируются через autorun.inf и нашёл единственный выход.
Надо отформатировать флешку в ntfs, создать файл autorun.inf либо пустого содержания, либо по желанию. Затем изменить права доступа этого файла: Запретить запись для всех. И всё. Больше проблем не будет.

Всего записей: 9 | Зарегистр. 06-03-2006 | Отправлено: 23:55 10-11-2007
SPV_Ed



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
Отключить автозапуск сменных дисков в ненадежной винде перед тем как не поможет?

Всего записей: 474 | Зарегистр. 20-06-2006 | Отправлено: 08:34 11-11-2007
reenoip



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Гкхм... Это вы всё, конечно, интересно написали, но надо бы уж при выборе носителя сразу смотреть, есть ли на нём переключатель защиты от записи, благо не 1999-й год на дворе, выбор-то среди устройств довольно большой.

Всего записей: 1768 | Зарегистр. 10-03-2006 | Отправлено: 08:53 11-11-2007
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
отформатировать флешку в ntfs, создать файл autorun.inf либо пустого содержания, либо по желанию. Затем изменить права доступа этого файла: Запретить запись для всех.  

 
Отличная мысль, спасибо!
 
 
Добавлено:

Цитата:
Отключить автозапуск сменных дисков в ненадежной винде перед тем как не поможет?

 
Неправильная постановка вопроса: отключать автозапуск имеет смысл, скажем, на своем компе. А в ненадежной винде это не поможет, т.к. вирусу не будет до этого ровным счетом никакого дела. Он нацелен заразить флешку, и навряд-ли он будет вычитывать из реестра, разрешен ли в системе автозапуск.  
 
 
Добавлено:

Цитата:
при выборе носителя сразу смотреть, есть ли на нём переключатель защиты от записи

 
Это срабатывает только в том случае, если вам нужно переписать данные с флешки на комп. А вот если нужно наоборот - с компа на флешку - сами же это переключатель отщелкнете, и через пару секунд зараженный autorun.inf сотоварищи уже на флешке.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 10:06 11-11-2007
reenoip



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123, старею

Всего записей: 1768 | Зарегистр. 10-03-2006 | Отправлено: 11:58 11-11-2007
tuskan

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
запись для всех будет запрещена только на ТВОЕМ компе

Всего записей: 592 | Зарегистр. 31-08-2005 | Отправлено: 14:12 11-11-2007
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tuskan

Цитата:
запись для всех будет запрещена только на ТВОЕМ компе

 
Блин, точно! А жалко - идея была хороша.  
 
В таком случае я пока склоняюсь к усовершенствованному способу под номером 2.  
Суть его заключается в следующем:
 

Код:
 
записать на флешку свой autorun.inf и утилиту для верификации контрольной суммы md5. Создать каталог (обозвать его, например Autorun_backup), куда поместить копию autorun.inf. Создать .bat-файл со следующим сценарием, который будем запускать с флешки руками перед тем как соберемся ее отключать:

  1. проверка контрольной суммы md5 файла autorun.inf  
  2. если сумма совпадает - goto ОТКЛЮЧЕНИЕ
  3. если сумма не совпадает - сообщить об этом в окне большим шрифтом. Можно еще системным динамиком пискнуть. Перезаписать левый autorun.inf резервной копией из каталога Autorun_backup, и затем goto ОТКЛЮЧЕНИЕ
  4. ОТКЛЮЧЕНИЕ - отключить флешку из коммандной строки

 

 
PS - навскидку первое что нашел для отключения USB-устройства из коммандной строки - это следующее: взять утилиту от Microsoft - DevCon (support.microsoft.com/?kbid=311272, 78 КБ) и использовать запись следующего вида:
devcon.exe remove usbstor*  
 
Или, как вариант, использовать утилиту от небезызвестного Марка Руссиновича Sync (hxxp://www.microsoft.com/technet/sysinternals/FileAndDisk/Sync.mspx):  
 
Usage: sync [-r] [-e] [drive letter list]
-r
Flush removable drives.
 
-e
Ejects removable drives.  
 
Добавлено:
Нашел чрезвычайно изящное решение
Взято с http://minilabmaster.com/2/39_1.shtml
 

Код:
 
 
И совет на последок:
Если вы имеете свою флэшку, сделайте на нем иконку, прописав ее в AutoRun.inf:
 
[autorun]
icon=master.ico
 
Файл AutoRun.inf скопируйте на флэшку еще раз, в качестве резервной копии. Всем этим файлом поставьте атрибут "скрытый". И теперь вы всегда будете знать, что ваша флэшка заражена вирусом, если при включении иконка флэшки не отобразится.  
 
 

 
Просто и гениально! Но есть нюанс - чтобы не ужаснуться, увидев отсутствие вашей иконки, подключив флешку к своему компьютеру, лучше поработав с флешкой на чужом компе, отключить ее и подключить еще раз - и тогда смотреть наличие иконки или ее отсутствие.
 
PS - но точку на этом в разработке этого вопроса я бы не стал ставить.  

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 14:57 11-11-2007 | Исправлено: Serhiy123, 21:43 11-11-2007
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну еще конечно удерживать нажатым Shift при подключении флешки (не могу сказать что это очень удобно, особенно при подключении флешки в ЮСБ-шный удлинитель).

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 10:51 12-11-2007
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сообщаю что метод
 
 [autorun]
icon=master.ico  
 
не сработал - сегодня специально нашел зараженный комп и проверил на нем. Т.е. вначале конечно своя иконка отображается, но после того как вирус стирает мой autorun.inf и записывает вместо него свой, в проводнике продолжает отображаться моя иконка, даже после того как нажмешь F5.
 
Нужно искать другие варианты.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 21:46 12-11-2007
Tarantul70

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вариант с прописыванием в autorun.inf антивируса типа от Microsoft или Stinger Mcafee не проверяли ? Ну и регулярно обновлять версии конечно.

Всего записей: 1 | Зарегистр. 10-11-2007 | Отправлено: 21:19 13-11-2007
kolunya

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tuskan

Цитата:
запись для всех будет запрещена только на ТВОЕМ компе

 
Зачем говоришь, если не знаешь! Запись будет запрещена на всех компах! Потому что права доступа прописываются в mft таблице именно на флешке!!! Мы же её в ntfs форматируем!
 
Это единственный способ защитить флеху от некоторых вирусов!
 
Но есть модификации вирусов, которые не только в autorun.inf прописываются, но и к тому же изменяют все *.exe файлы на флешке, прописывая в них свой код. В этом случае Касперский только может вылечить эти файлы.
Есть такие, что все папки на флехе делают скрытыми и создают *.exe с названием папки и иконкой папки. При запуске этого файла открывается нужная папка, да вирь прописывается в системе.
 

Цитата:
Вариант с прописыванием в autorun.inf антивируса типа от Microsoft или Stinger Mcafee не проверяли ? Ну и регулярно обновлять версии конечно.

Что за бред? Если вставить флешку в заражённый компьютер, то вирус первым делом переписывает autorun.inf и всё!!!  
 
 

Цитата:
Гкхм... Это вы всё, конечно, интересно написали, но надо бы уж при выборе носителя сразу смотреть, есть ли на нём переключатель защиты от записи, благо не 1999-й год на дворе, выбор-то среди устройств довольно большой.

Я тоже раньше так думал. Пошёл в магазин покупать такую флеху и оказалось, что нету! Года 2 назад Trancend выпускала такие флехи, но сейчас почему-то они решили забить на это дело. Как выход можно купить карту памяти и кард ридер. На карте памяти есть переключатель защиты от записи.

Всего записей: 9 | Зарегистр. 06-03-2006 | Отправлено: 03:08 14-11-2007
Mitkasik



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
постоянно пользуюсь TC. Там стоит отображение файлов сеткой с колонкой даты.
Создал autorun.inf на флэшке. Прописал ему дату и время создания, чтобы в глаза бросалось и теперь он все время на виду.
в него-же и воткнул автозапуск Тотала.

Всего записей: 53 | Зарегистр. 06-12-2006 | Отправлено: 04:59 15-11-2007
ktotama

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mitkasik

Цитата:
Создал autorun.inf на флэшке. Прописал ему дату и время создания,  

Что мешает вирусу сохранить дату и время создания
Тут уж скорей надо контролировать размер файла
 
Я думаю надо разместить на флешке прогу которая стирает autorun.inf  или восстанавливает его если надо и затем отключает флешку тогда в конце работы на ненадежном компе запускаешь ее и конечно на своем отключить автозапуск и включить проверку
так какkolunya правильно сказал не autorun.inf единым заражается

Всего записей: 111 | Зарегистр. 27-05-2003 | Отправлено: 11:30 15-11-2007
Sergey8624

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ посоветуйте.  
На флешку записался autorun.inf и Explorer.exe после этого нельзя не удалить не записать файлы на флешку. Отформатировать не возможно если с командной строки Format g: то пишет что 0 дорожка испорчена. И из под DOS такаяже бодяга. Как её можно форматнуть?

Всего записей: 27 | Зарегистр. 01-09-2006 | Отправлено: 14:33 15-11-2007
Strange



тутошние мы
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Создайте папку с именем autorun.inf
Вирус сильно обломится. Потому что одноименный файл не сможет создаться.

----------
В вашу pедакцию pазные кpетины пишут всякую чушь. Вот и я тоже pешил.
--
Ежели на форуме не будет ни одного матерного слова, то мое мнение так и останется невыраженным

Всего записей: 2113 | Зарегистр. 07-02-2002 | Отправлено: 14:41 15-11-2007
ktotama

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Strange

Цитата:
Создайте папку с именем autorun.inf
Вирус сильно обломится. Потому что одноименный файл не сможет создаться.
 

Ага, а удалить папку или переименовать вирус не догадается

Всего записей: 111 | Зарегистр. 27-05-2003 | Отправлено: 17:00 15-11-2007
Sergey8624

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так и папку создать не могу. Нод и Др.Веб его находят (только на флешке, а где остальное тело вот вопрос) вроде удаляют но стоит вынуть и вставить флешку как все файлы включая и вирус наместе. Народ а что это ноль дорожка на флешке и чем её можно исправить. А на тему создать папку так мне нужно выличить флешку а не зарожать дальше машины.

Всего записей: 27 | Зарегистр. 01-09-2006 | Отправлено: 17:49 15-11-2007
ktotama

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sergey8624
выше
Serhiy123
 
говорил  
 

Цитата:
Добавлено:
Нашел чрезвычайно изящное решение
Взято с http://minilabmaster.com/2/39_1.shtml
 

 
ты туда ходил

Всего записей: 111 | Зарегистр. 27-05-2003 | Отправлено: 17:56 15-11-2007
Strange



тутошние мы
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Sergey8624

Цитата:
А на тему создать папку так мне нужно выличить флешку а не зарожать дальше машины.

Вирус на флэшку сам по себе не попадёт. Ты свою машину проверял антивирусом (желательно, AVZ)?

----------
В вашу pедакцию pазные кpетины пишут всякую чушь. Вот и я тоже pешил.
--
Ежели на форуме не будет ни одного матерного слова, то мое мнение так и останется невыраженным

Всего записей: 2113 | Зарегистр. 07-02-2002 | Отправлено: 18:07 15-11-2007 | Исправлено: Strange, 18:14 15-11-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru