Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ardkl - попробуйте Malwarebytes' Anti-Malware, очень толковая бесплатная (если без резидентной части) утилита, справляется со многими вещами, которые антивирусы не могут выловить. Если с ходу не получится - тогда вам дорога на Virusinfo.  

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 18:53 16-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ardkl

Цитата:
Нод32

Я бы также на Вашем месте более щепетильно подошёл бы к выбору антивируса. НОД - далеко не самый лучший выбор, скорее даже наоборот...

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 19:39 16-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сегодня выложил новую версию 2.5 своего скрипта AUTOSTOP для:

  1. отключения автозапуска на компьютере
  2. защиты флешки от autorun-вирусов
  3. программной защиты флешки от записи

 
Changelog версии 2.5:

  • скорректирован синтаксис команды del.
  • ускорена работа скрипта при переходе между пунктами меню.
  • изменено название метода защиты флешки от записи новых файлов на метод программной защиты флешки от записи.
  • исключен сторонний внешний модуль для воспроизведения звука через системный динамик, применяющийся для звуковой индикации этапов отработки программной защиты флешки от записи. Теперь вывод звука на системный динамик осуществляется конструкцией "@echo ^G", что позволило отказаться от внешних модулей и повысить целостность скрипта, реализовав его только средствами CMD

 
Забирать здесь - http://rghost.ru/1011124, зеркало - http://filestore.com.ua/?d=B5FA461B9
  autostop.2.5.exe, MD5: ee4ef9ee6bffe460e8c24b9bf545c235

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 13:55 18-02-2010 | Исправлено: Serhiy123, 13:56 18-02-2010
iamm



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
вот очень хорошая программка USB Disk Security

 
infinitysys, согласен, здесь о ней писал.





спам /ShriEkeR/

Всего записей: 163 | Зарегистр. 03-12-2006 | Отправлено: 20:57 24-02-2010 | Исправлено: ShriEkeR, 10:22 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iamm - по поводу USB Disk Security мой вердикт таков: я тестировал версию 5.2.0.10. Программа платная ($55). Ранние версии умели защищать флешку путем создания каталога AUTORUN.INF, содержащего файл с некорректным именем "zhengbo." - в новой версии эта функция отсутствует (толку от нее все равно немного). При подключении флешки, программа выдает сообщение об опасности при наличии файла autorun.inf и исполняемых файлов с атрибутами Read-only и Hidden, и умеет удалять их, сохраняя копии в карантин. Помимо этого программа содержит весьма сомнительный модуль MemoryShield, функции Repair System (в нее входят простейшее восстановление реестра + очистка временных файлов, недавних документов и корзины) и вывод неполного списка автозагрузки в разделе Autostart с возможностью удаления элементов. Бесплатные AutorunCleaner (автор - учасник этого форума ALLIGATORone) и USB_Tool делают все то же самое в намного более продвинутой и удобной форме. Как говаривал почтальон Печкин: "Бывают же некоторые до чужих денег жадные"  
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 21:11 24-02-2010
iamm



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123, тогда уж Panda Research USB Vaccine нужно юзать




спам /ShriEkeR/

Всего записей: 163 | Зарегистр. 03-12-2006 | Отправлено: 22:13 24-02-2010 | Исправлено: ShriEkeR, 10:23 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123

Цитата:
Ранние версии умели защищать флешку путем создания каталога AUTORUN.INF, содержащего файл с некорректным именем "zhengbo." - в новой версии эта функция отсутствует

Брехня - присутствует эта функция и в новой версии.
К стати, что касается Panda USB and AutoRun Vaccine, так у этой проги тоже очень приличные проблемы касательно данной функции. На моей "чистой" домашней машине она конечно же без проблем создала на всех дисках файлы autorun.inf, а вот на двух рабочих, одна из которых "полеченная" XP и вторая "чистая" Windows 7, она лишь сообщает, что вакцинация успешно проведена, но вот соответствующих файлов ни на одном из дисков найти не удалось.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 22:15 24-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
Не отображается иконка по пути с кавычками.
Вот так отрабатывает IconFile=..\AUTORUN.INF\red.ico

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 22:43 24-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iamm - про Панду я писал статью на Хабре - способ, применяемый в ней действительно интересный и действенный. А не так давно я обнаружил в ней уязвимость, которой легко могут воспользоваться вирусописатели. Ребята из Panda Research не спешат ее устранить, хотя я более чем уверен что они читают мой ЖЖ.  
 
BakLAN - я тестировал версию 5.2.0.10, взятую с офсайта, там этой функции не было. Возможно в более поздних снова ввели. Все равно в такой реализации эта функция погоды не делает. Насчет "осечек" Панды - см. упомянутую мной выше уязвимость - возможно дело именно в этом.
 
dimbat - спасибо за информацию! В спецификации действительно указано без кавычек, я по привычке с кавычками писал. А на какой ОС не отображается? На 2000 (En и Ru) и на XP SP3 (En и Ru) все ок.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 23:45 24-02-2010
dimbat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123

Цитата:
А на какой ОС не отображается?

Se7en x64

----------
In Search We Trust

Всего записей: 1034 | Зарегистр. 23-08-2003 | Отправлено: 23:51 24-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123

Цитата:
 я тестировал версию 5.2.0.10, взятую с офсайта, там этой функции не было.

Я тоже её юзал. Она есть. Просто там нет явной кнопочки для этого. Но если воспользоваться контекстным меню значка из трея, то как раз пишутся autorun.inf-файлы.

Цитата:
Насчет "осечек" Панды - см. упомянутую мной выше уязвимость

А я читал. Но в моём случае дело не в описанной уязвимости. В чём именно я так и не смог определить. Начисто проставленная Windows 7. Жму Vaccinate - отвечает Saccesfully, а autorun.inf не появляются.
 

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 00:01 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dimbat - спасибо, проверю на 7-ке.
 
BakLAN - а используете последнюю версию Панды - 1.0.1.4 ?
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 00:21 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123

Цитата:
а используете последнюю версию Панды - 1.0.1.4 ?

Определённо.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 00:46 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dimbat

Цитата:
Не отображается иконка по пути с кавычками.
Вот так отрабатывает IconFile=..\AUTORUN.INF\red.ico

 
Спасибо вам большое! Именно в ошибке в синтаксисе (ненужные кавычки) было все дело.
Выложил новую версию AUTOSTOP 2.6, главная фича которой - совместимость с Windows 7. В readme.txt, распространяемом с программой, добавил благодарность вам.
 
   
 
Добавлено:
BakLAN - а не пробовали заново отформатировать флешки (причем желательно HP USB Disk Storage Format Tool), и потом напустить на них Панду?

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 03:41 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123

Цитата:
а не пробовали заново отформатировать флешки (причем желательно HP USB Disk Storage Format Tool), и потом напустить на них Панду?

Так с флешками проблем нет - вакцинация происходит и файлы появляются, а вот на ЖД, хоть и сообщает об успешной вакцинации, файлы папки autorun.inf не появляются.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 04:41 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
а вот на ЖД, хоть и сообщает об успешной вакцинации, файлы папки autorun.inf не появляются

 
Мы говорим о внешних USB-шных ЖД?

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 04:57 25-02-2010
BakLAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123

Цитата:
Мы говорим о внешних USB-шных ЖД?

Нет, обычный SATA HDD.

Всего записей: 2844 | Зарегистр. 15-12-2003 | Отправлено: 05:26 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BakLAN

Цитата:
Нет, обычный SATA HDD.

 
Я так и думал. Панда не предназначена для таких операций: "The free Panda USB Vaccine also can be used on individual USB drives to disable its AUTORUN.INF file in order to prevent malware infections from spreading automatically. "
 
В ней даже пункта такого нету в выпадающем меню. Чтобы вакцинировать таким образом ЖД, вы наверняка из коммандной строки запускаете ее с параметрами.  
 
В принципе конечно все равно что вакцинировать таким образом - флешку, или ЖД, но дело в том, что Панда использует некорректный атрибут файловой системы, и видимо ребята из Panda Research считают что если сбойнет флешка с измененной таким образом файловой системой - это полбеды, а если раздел ЖД - пользователь будет разъярен. Заметьте, что "The free Panda USB Vaccine... - утилита бесплатная. Хотя пандовский антивирус, например, платный. Вполне возможно что они не берут денег именно по этой причине - чтобы перестраховаться.
 
Можно и руками выставить некорректный атрибут с помощью WinHex (это описано в моей статье на Хабре) - но я бы, например, не стал этого делать на ЖД. Используйте , например,  AUTOSTOP если уж хотите защитить ЖД.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 09:48 25-02-2010
setwolk



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А кто нибудь юзал omega которая тоже при подключении flash создает свой файл autorun.inf и соотвественно дрянь туда прописаться не может?

Всего записей: 1415 | Зарегистр. 16-02-2010 | Отправлено: 11:41 25-02-2010
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
setwolk - с офсайта удалось скачать Omega 1.2.0.25 (хотя в ReadMe.txt говорится что это версия 1.2.0.23). DrWeb выругался о возможном вирусе. Проверил Omega на Virustotal - результат 10 из 41. Нужно ставить виртуальную машину и на ней пробовать.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 12:06 25-02-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru