Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DySprozin
 

Цитата:
Защиты от _всех_ вирусов не существует  

В данном контексте речь идет о защите от известных вирусов. Поскольку, как я говорил выше,  некоторые из них умеют дописывать в файл autorun.inf запуск своего лоадера, оставляя icon=master.ico, то следует предусмотреть защиту и от них - ведь это вполне реально.  
 

Цитата:
На достоинство метода я указал, здравой критики _достоинства_ (а не самого метода) я не получил (;

Это не достоинство - это ущербность метода.  
 
Подумайте сами (рассматриваем случай, когда автозапуск на компьютере включен):

Цитата:
больную флешку в любой комп (напр. здоровый) - иконка не отображается, заражение предотвращено на корню

1. Если autorun.inf перезаписан вирусом полностью - иконка не отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.
2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:37 04-11-2009
DySprozin



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
1. Если autorun.inf перезаписан вирусом полностью - иконка не отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.

 
При автозапуске предлагается выбор действий (открыть, воспроизвести и т.д.) и пока выбор не сделан, авторан не может причинить никакого вреда, даже ваш же пример:
 

Цитата:
[autorun]  
open = calc.exe  
shell\Open\Command=calc.exe  
shell\Open\Default=1  
shell\Explore\Command=calc.exe  
shell\Autoplay\Command=calc.exe

 
Зато видна иконка (или ее не видно - в случае заражения). Кстати, Ваш авторан сработает даже при отключенном автозапуске, проверьте (;
 

Цитата:
2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.

да, и это большая опасность. В данном случае опасность в том, что, не заглянув в авторан, владелец флешки находится в неведении. Как понимаю, именно это вы и подразумеваете под "ущербностью". Что ж, в этом есть своя логика, спорить не буду, нет смысла...

Всего записей: 30 | Зарегистр. 07-04-2009 | Отправлено: 23:07 04-11-2009 | Исправлено: DySprozin, 23:08 04-11-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DySprozin

Цитата:
При автозапуске предлагается выбор действий (открыть, воспроизвести и т.д.)

Если быть последовательным, то по вашим словам - "(по понятным причинам - юзеры)" - пользователь вполне способен сделать наиболее опасный выбор, не глядя ни на наличие иконки, ни на ее отсутствие.
 

Цитата:
и пока выбор не сделан, авторан не может причинить никакого вреда, даже ваш же пример
...
Кстати, Ваш авторан сработает даже при отключенном автозапуске, проверьте (;
 

Вы уж определитесь - сработает этот авторан или не стаботает, а потом рассуждайте - а то сами себе противоречите. У меня автозапуск выключен надежно - даже этот авторан не срабатывает.
 

Цитата:
2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.
 
да, и это большая опасность. В данном случае опасность в том, что, не заглянув в авторан, владелец флешки находится в неведении. Как понимаю, именно это вы и подразумеваете под "ущербностью".  

Насколько часто типичный пользователь "заглядывает в авторан"? Вы сами часто "заглядываете в авторан"?  
 
Я делаю это только в одном случае - одна из моих флешек является загрузочной. И после подключения ее к чужому компьютеру, я всегда проверяю сохранность моего файла autorun.inf. Во всех остальных случаях я не "заглядываю в авторан", но тем не менее нельзя сказать что я "нахожусь в неведении": на моих компьютерах отключен автозапуск, установлена либо Панда, либо AutorunCleaner, а флешки защищены с помощью AUTOSTOP либо Панды.
 
Но под ущербностью я подразумеваю совсем не это. Позвольте мне в третий раз сказать вам (возможно на сей раз я буду услышан и понят), что ущербность данного метода в том, что существуют вирусы, которые умеют дописывать в файл autorun.inf запуск своего лоадера, оставляя нетронутым icon=master.ico
 
 

Цитата:
Что ж, в этом есть своя логика, спорить не буду, нет смысла...

Давайте назовем вещи своими именами - вы не станете спорить не потому что "нет смысла", а потому что у вас нет аргументов. Коль так - умейте признать свою неправоту.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 00:27 05-11-2009
Evg8000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я в свое время всячески пробовал отключить автозапуск, скриптами и утилитами, но в итоге решил просто отключить флешки на рабочих станциях и все
Может кого устроит такой вариант:
www.flashkin.ru/2007/05/11/otkljuchit_ispolzovanie_usbustrojjstv_khranenija_dannykh.html

Всего записей: 120 | Зарегистр. 13-11-2006 | Отправлено: 11:29 02-12-2009
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, помогите пожалуйста со следующей проблемой. Создал рег-файл:

Код:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
;Подмена autorun.inf файла
@="@SYS:DoesNotExist"

При попытке импортировать его в реестр, сообщает, что запись успешно внесена. Но в Regedit`е видно, что ничего не добавилось. В чём может быть проблема? C разрешениями на IniFileMapping тоже вроде норма: я в группе Administrators, которым разрешено: Full Control и Read.
 
P.S. У меня WinXP x64 SP2.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 00:14 06-12-2009
ToTaLictikus



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, а кто о таком методе слышал? http://www.siteguard.ru/p26.html

Всего записей: 152 | Зарегистр. 22-07-2003 | Отправлено: 22:17 07-12-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ToTaLictikus

Цитата:
кто о таком методе слышал? http://www.siteguard.ru/p26.html

 
Один в один слизано с ранних версий моего AUTOSTOP.
 
 
Добавлено:
Evg8000

Цитата:
итоге решил просто отключить флешки на рабочих станциях

 
Ну это конечно крайние меры, хотя определенные плюсы есть. Я некоторым особо ярым юзерам тоже отключал с помощью  
 

Код:
 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
 
 
 

 
 
Добавлено:
BakLAN

Цитата:
Создал рег-файл. В чём может быть проблема

 
Попробуйте таким bat-файлом:
 

Код:
 
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f
 


Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 02:23 10-12-2009 | Исправлено: Serhiy123, 02:40 10-12-2009
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Попробуйте таким bat-файлом:

Я уже пробовал. Но проблема в том, что коммандный файл выполняется вроде до конца, а данные в реестре не добавляются. Если же вставляю эту команду в командную строку и нажимаю Enter, данные добавляются. Странно как-то... В чём разница?

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 16:36 10-12-2009
oler2



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
заражение флешки можно предотвратить только джеком-read only

Всего записей: 1189 | Зарегистр. 14-03-2006 | Отправлено: 17:12 10-12-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
коммандный файл выполняется вроде до конца, а данные в реестре не добавляются

Такое ощущение что у вас вирусис сидит, и правку реестра традиционными способами запрещает.
 
 
Добавлено:
oler2

Цитата:
заражение флешки можно предотвратить только джеком-read only

Не факт. Процитирую свой же ответ на Хабре:
--
Все относительно, как Вы понимаете. В данном случае «непробиваемый» = наиболее надежный из существующих.
 
Меня в плане оносительности заставил в свое время очень сильно задуматься вот какой случай. Принято считать что самая-пресамая надежная защита для флешки, которая не обходится — это флешка с переключателем, блокирующим запись, или кард-ридер с картой памяти, на которой тоже есть такой перключатель. Как бы не так!
 
В фотоаппарате жены (Canon А610) нет возможности показа индикатора заряда батареи. Нашел альтернативную прошивку, имеющую такую функцию. Записал ее на карту памяти. В инструкции к прошивке говорися, что для того, чтобы она грузилась автоматом (а не руками запускалась после включения фотоаппарата), необходимо переключатель на карте памяти перевести в положение «Заблокировано». Я несколько раз перечитал этот пункт — уж не ошибся ли. Нет — так и написано русским по белому. Ставлю переключатель на «Lock», заряжаю карту в фотоаппарат, предчувствуя что сейчас он выругается о невозможности записи, и… И ничего такого не происходит — все снятые кадры прекрасно сохраняются на карту памяти, а неудачные кадры без проблем можно удалить. Вот тут-то я прозрел.  
 
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:16 10-12-2009
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
Вируса никакого нету. Разве выполнение комманды через консоль - не традиционный способ? Так он работает. А из командного файла - нет....
Например эта команда:

Код:
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f

работает как из cmd-файла, так и из командной строки. А та, что в предыдущем посте, только из командной строки....

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 00:44 11-12-2009 | Исправлено: BakLAN, 00:57 11-12-2009
Lexandr22



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть простой действующий способ.  
Форматируем или конвертируем флэшку в NTFS. Создаем папочку или несколько папочек. Создаем свой autorun.inf (если есть необходимость). В корне для группы "ВСЕ" разрешаем только "Чтение и выполнение", "Список содержимого папки", "Чтение", остальные группы и пользователей если есть - удаляем . В папках группе "ВСЕ" разрешаем полный доступ.
 
Теперь ни один авторан не попадет на флэшку.

Всего записей: 32 | Зарегистр. 11-12-2009 | Отправлено: 19:25 11-12-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lexandr22

Цитата:
Есть простой действующий способ

Да, действительно такой способ есть - был описан на Хабре - http://habrahabr.ru/blogs/infosecurity/47287/
Для NTFS он, на сегодняшний день, несомненно, лучший.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 19:38 11-12-2009
ToTaLictikus



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а Если флешка в FAT/FAT32, что тогда? нет у меня возможности сделать ее в NTFS

Всего записей: 152 | Зарегистр. 22-07-2003 | Отправлено: 23:27 11-12-2009
BennyBlanco



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще как вариант можно набрать в Google: Portable Lock My Folder v1.20 RUS, скачать эту прожку, отфрматировать флэшку в NTFS, в корне флешки создать папку autorun.inf, с помощью скачанной Portable Lock My Folder v1.20 RUS, заблокировати папку autorun.inf, в результате ее нельзя будет ни удалить ни переименовать
ToTaLictikus

Цитата:
а Если флешка в FAT/FAT32, что тогда? нет у меня возможности сделать ее в NTFS

Набери в Google: HP USB Disk Storage Format Tool, с ее помощью будет возможность сделать флешку в NTFS (это как вариант, способов отфрматировать флэшку в NTFS много)
 

Всего записей: 1982 | Зарегистр. 17-09-2009 | Отправлено: 13:00 12-12-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ToTaLictikus

Цитата:
а Если флешка в FAT/FAT32

Для FAT лучшая защита - Panda USB and AutoRun Vaccine 1.0.1.4. В качестве альтернативы - мой AUTOSTOP.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 16:35 12-12-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уязвимость в Panda USB and AutoRun Vaccine 1.0.1.4
 
Panda USB and AutoRun Vaccine 1.0.1.4, которой я не так давно присвоил титул "лучшей на сегодняшний день программы для защиты флешек от autorun-вирусов", сегодня прокололась вот на каком моменте.
 
При вакцинации флешек созданием своего AUTORUN.INF с "некорректным атрибутом" 0x42, Панда, в случае существования на флешке "непандовского" (т.е. созданного не самой Пандой) файла autorun.inf, из гуманных соображений, бэкапит его с именем autorun_.inf.
 
Так вот - если создать на флешке 2 файла: autorun.inf и autorun_.inf, и дать им атрибуты, например RAHS, а потом натравить на эту флешку Панду, и сказать ей: вакцинируй, то Панда обломится. И выдаст сообщение о невозможности вакцинации, ввиду ошибки резервного копирования. Таким образом, простой пользователь навряд-ли поймет что нужно делать, и если файл autorun.inf на его флешке содержал ссылку на вирус - то он останется целым и невредимым.
 
Я более чем уверен, что ребята из Panda Research читают мой ЖЖ, поэтому будем надеяться, что эту дыру вскоре устранят (достаточно же переименовывать не четко в autorun_.inf, а, например в autorun[текущая_дата_и_время].inf).
 
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 23:26 14-12-2009 | Исправлено: Serhiy123, 00:34 15-12-2009
olegarhpl

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Лично я сделал так.В win7 есть в свойствах файла права владельца,если их поставить на autorun.inf,то кроме тебя как пользователя(владельца) никто не может его ни удалить,ни изменить...даже учеткой из-под твоего компа с админ правами...
 
Добавлено:
да,забыл добавить -- флешка под NTFS!

Всего записей: 2 | Зарегистр. 12-01-2009 | Отправлено: 20:36 10-01-2010
ardkl



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! подскажите, как вылечить заражённый компьютер? Если в него вставить флэшку, то создаётся файл autorun.inf и папка Recycler.  
 
Нод32 2008г. ничего не поймал. Я так понимаю есть резидентная прога или сервис, которые пишут вирус на флэшку. Как бы их определить?

Всего записей: 86 | Зарегистр. 08-01-2010 | Отправлено: 17:00 16-02-2010
AXVill



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ardkl
1. Обновить антивирус.
2. Воспользоваться бесплатными антивирусами, например CureIt!.

Всего записей: 320 | Зарегистр. 22-09-2005 | Отправлено: 18:04 16-02-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru