Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?   Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:     1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.   Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.   2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.   Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.   Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.   3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.   Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.   Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!   Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ardkl - попробуйте Malwarebytes' Anti-Malware, очень толковая бесплатная (если без резидентной части) утилита, справляется со многими вещами, которые антивирусы не могут выловить. Если с ходу не получится - тогда вам дорога на Virusinfo.   Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 18:53 16-02-2010

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ardkl Цитата: Нод32 Я бы также на Вашем месте более щепетильно подошёл бы к выбору антивируса. НОД - далеко не самый лучший выбор, скорее даже наоборот... Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 19:39 16-02-2010

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сегодня выложил новую версию 2.5 своего скрипта AUTOSTOP для: отключения автозапуска на компьютере защиты флешки от autorun-вирусов программной защиты флешки от записи   Changelog версии 2.5: скорректирован синтаксис команды del. ускорена работа скрипта при переходе между пунктами меню. изменено название метода защиты флешки от записи новых файлов на метод программной защиты флешки от записи. исключен сторонний внешний модуль для воспроизведения звука через системный динамик, применяющийся для звуковой индикации этапов отработки программной защиты флешки от записи. Теперь вывод звука на системный динамик осуществляется конструкцией "@echo ^G", что позволило отказаться от внешних модулей и повысить целостность скрипта, реализовав его только средствами CMD   Забирать здесь - http://rghost.ru/1011124, зеркало - http://filestore.com.ua/?d=B5FA461B9   autostop.2.5.exe, MD5: ee4ef9ee6bffe460e8c24b9bf545c235 Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 13:55 18-02-2010 | Исправлено: Serhiy123, 13:56 18-02-2010

iamm BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: вот очень хорошая программка USB Disk Security   infinitysys, согласен, здесь о ней писал. спам /ShriEkeR/ Всего записей: 163 | Зарегистр. 03-12-2006 | Отправлено: 20:57 24-02-2010 | Исправлено: ShriEkeR, 10:22 25-02-2010

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iamm - по поводу USB Disk Security мой вердикт таков: я тестировал версию 5.2.0.10. Программа платная ($55). Ранние версии умели защищать флешку путем создания каталога AUTORUN.INF, содержащего файл с некорректным именем "zhengbo." - в новой версии эта функция отсутствует (толку от нее все равно немного). При подключении флешки, программа выдает сообщение об опасности при наличии файла autorun.inf и исполняемых файлов с атрибутами Read-only и Hidden, и умеет удалять их, сохраняя копии в карантин. Помимо этого программа содержит весьма сомнительный модуль MemoryShield, функции Repair System (в нее входят простейшее восстановление реестра + очистка временных файлов, недавних документов и корзины) и вывод неполного списка автозагрузки в разделе Autostart с возможностью удаления элементов. Бесплатные AutorunCleaner (автор - учасник этого форума ALLIGATORone) и USB_Tool делают все то же самое в намного более продвинутой и удобной форме. Как говаривал почтальон Печкин: "Бывают же некоторые до чужих денег жадные"     Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 21:11 24-02-2010

iamm BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123, тогда уж Panda Research USB Vaccine нужно юзать спам /ShriEkeR/ Всего записей: 163 | Зарегистр. 03-12-2006 | Отправлено: 22:13 24-02-2010 | Исправлено: ShriEkeR, 10:23 25-02-2010

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Цитата: Ранние версии умели защищать флешку путем создания каталога AUTORUN.INF, содержащего файл с некорректным именем "zhengbo." - в новой версии эта функция отсутствует Брехня - присутствует эта функция и в новой версии. К стати, что касается Panda USB and AutoRun Vaccine, так у этой проги тоже очень приличные проблемы касательно данной функции. На моей "чистой" домашней машине она конечно же без проблем создала на всех дисках файлы autorun.inf, а вот на двух рабочих, одна из которых "полеченная" XP и вторая "чистая" Windows 7, она лишь сообщает, что вакцинация успешно проведена, но вот соответствующих файлов ни на одном из дисков найти не удалось. Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 22:15 24-02-2010

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Не отображается иконка по пути с кавычками. Вот так отрабатывает IconFile=..\AUTORUN.INF\red.ico ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 22:43 24-02-2010

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iamm - про Панду я писал статью на Хабре - способ, применяемый в ней действительно интересный и действенный. А не так давно я обнаружил в ней уязвимость, которой легко могут воспользоваться вирусописатели. Ребята из Panda Research не спешат ее устранить, хотя я более чем уверен что они читают мой ЖЖ.     BakLAN - я тестировал версию 5.2.0.10, взятую с офсайта, там этой функции не было. Возможно в более поздних снова ввели. Все равно в такой реализации эта функция погоды не делает. Насчет "осечек" Панды - см. упомянутую мной выше уязвимость - возможно дело именно в этом.   dimbat - спасибо за информацию! В спецификации действительно указано без кавычек, я по привычке с кавычками писал. А на какой ОС не отображается? На 2000 (En и Ru) и на XP SP3 (En и Ru) все ок. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 23:45 24-02-2010

dimbat Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Цитата: А на какой ОС не отображается? Se7en x64 ---------- In Search We Trust Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 23:51 24-02-2010

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Цитата:  я тестировал версию 5.2.0.10, взятую с офсайта, там этой функции не было. Я тоже её юзал. Она есть. Просто там нет явной кнопочки для этого. Но если воспользоваться контекстным меню значка из трея, то как раз пишутся autorun.inf-файлы. Цитата: Насчет "осечек" Панды - см. упомянутую мной выше уязвимость А я читал. Но в моём случае дело не в описанной уязвимости. В чём именно я так и не смог определить. Начисто проставленная Windows 7. Жму Vaccinate - отвечает Saccesfully, а autorun.inf не появляются.   Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 00:01 25-02-2010

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dimbat - спасибо, проверю на 7-ке.   BakLAN - а используете последнюю версию Панды - 1.0.1.4 ?   Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 00:21 25-02-2010

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Цитата: а используете последнюю версию Панды - 1.0.1.4 ? Определённо. Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 00:46 25-02-2010

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dimbat Цитата: Не отображается иконка по пути с кавычками. Вот так отрабатывает IconFile=..\AUTORUN.INF\red.ico   Спасибо вам большое! Именно в ошибке в синтаксисе (ненужные кавычки) было все дело. Выложил новую версию AUTOSTOP 2.6, главная фича которой - совместимость с Windows 7. В readme.txt, распространяемом с программой, добавил благодарность вам.         Добавлено: BakLAN - а не пробовали заново отформатировать флешки (причем желательно HP USB Disk Storage Format Tool), и потом напустить на них Панду? Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 03:41 25-02-2010

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Цитата: а не пробовали заново отформатировать флешки (причем желательно HP USB Disk Storage Format Tool), и потом напустить на них Панду? Так с флешками проблем нет - вакцинация происходит и файлы появляются, а вот на ЖД, хоть и сообщает об успешной вакцинации, файлы папки autorun.inf не появляются. Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 04:41 25-02-2010

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BakLAN Цитата: а вот на ЖД, хоть и сообщает об успешной вакцинации, файлы папки autorun.inf не появляются   Мы говорим о внешних USB-шных ЖД? Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 04:57 25-02-2010

BakLAN Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Serhiy123 Цитата: Мы говорим о внешних USB-шных ЖД? Нет, обычный SATA HDD. Всего записей: 2850 | Зарегистр. 15-12-2003 | Отправлено: 05:26 25-02-2010

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BakLAN Цитата: Нет, обычный SATA HDD.   Я так и думал. Панда не предназначена для таких операций: "The free Panda USB Vaccine also can be used on individual USB drives to disable its AUTORUN.INF file in order to prevent malware infections from spreading automatically. "   В ней даже пункта такого нету в выпадающем меню. Чтобы вакцинировать таким образом ЖД, вы наверняка из коммандной строки запускаете ее с параметрами.     В принципе конечно все равно что вакцинировать таким образом - флешку, или ЖД, но дело в том, что Панда использует некорректный атрибут файловой системы, и видимо ребята из Panda Research считают что если сбойнет флешка с измененной таким образом файловой системой - это полбеды, а если раздел ЖД - пользователь будет разъярен. Заметьте, что "The free Panda USB Vaccine... - утилита бесплатная. Хотя пандовский антивирус, например, платный. Вполне возможно что они не берут денег именно по этой причине - чтобы перестраховаться.   Можно и руками выставить некорректный атрибут с помощью WinHex (это описано в моей статье на Хабре) - но я бы, например, не стал этого делать на ЖД. Используйте , например,  AUTOSTOP если уж хотите защитить ЖД. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 09:48 25-02-2010

setwolk Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору А кто нибудь юзал omega которая тоже при подключении flash создает свой файл autorun.inf и соотвественно дрянь туда прописаться не может? Всего записей: 1418 | Зарегистр. 16-02-2010 | Отправлено: 11:41 25-02-2010

Serhiy123 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору setwolk - с офсайта удалось скачать Omega 1.2.0.25 (хотя в ReadMe.txt говорится что это версия 1.2.0.23). DrWeb выругался о возможном вирусе. Проверил Omega на Virustotal - результат 10 из 41. Нужно ставить виртуальную машину и на ней пробовать. Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 12:06 25-02-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование