Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Открыть новую тему     Написать ответ в эту тему

Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?
 
Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:  
 
1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.  
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.
 
2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.  
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.  
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.
 
3. Еще вариант:  записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.  
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.
 
Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!
 
Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:55 10-11-2007
LMZiushka

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот тут может быть чёто полезное
добавлено:
и тут

Всего записей: 21 | Зарегистр. 28-06-2007 | Отправлено: 18:13 20-11-2007 | Исправлено: LMZiushka, 18:20 20-11-2007
vpropisnoy



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А вот такое решение работоспособно?
_http://www.3dnews.ru/storage/usb-flash-iocell-netdisk/
_http://www.iocellnetworks.com/solutions/castella.htm
То есть, я так понял, можно получить рид онли флешку.

Всего записей: 12 | Зарегистр. 27-12-2006 | Отправлено: 16:45 07-02-2009
adSka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
была беда с флэшками....
от запуска виря при вставке флэхи помогает отключение автозапуска на Всех дисках в gpedit.msc (в политике компа и политике узера), тч афтар страдает фигнёй изголяясь над autorun.inf.
жаль, что при этом способе не блокируется запуск с сетевых дисков...  
но работники продолжали таскать вири на флэхах как одноимённые .ехе файлы (узеру-то по%$#, что у картинки расширение ехе) и инфецированные игрухи. пришлось отключить всем флэхи и оставить только один комп на отдел с флэхами. На него поставили антивирь.
вот это реально помогло.
ЗЫ "а почему на всех компах антивири не стоят???!!!"  
денег дайте - поставим.
PPS ех,.. купить бы z-lock было бы повеселей...

Цитата:
Ага, а удалить папку или переименовать вирус не догадается

ktotama
неа, в программировании для этого юзаются разные методы, а писать вирь под все случаи ох как ленива...

Всего записей: 130 | Зарегистр. 13-11-2006 | Отправлено: 17:34 07-02-2009 | Исправлено: adSka, 17:47 07-02-2009
infinitysys



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот очень хорошая программка USB Disk Security  
http://forum.ru-board.com/topic.cgi?forum=35&topic=40569#1
мне помогает
 
 

Всего записей: 143 | Зарегистр. 23-10-2006 | Отправлено: 20:29 08-02-2009
WSQ2



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Защита от заражения флешки - ИМХО - использовать модели с переключателем Read-only
 
 
Более правильно защищать СВОЙ комп:
цитата http://virusinfo.info/showthread.php?t=20291
Цитата:
Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм?
 
1 + 2 - классический подход - отключить через политики Windows.
3, 4, 5 - закрытие дыр в 1+2.
 
1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom
Установить значение параметра AutoRun равным 0 и перезагрузиться.
 
2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.
 
3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру (типа REG_SZ) со значением (не названием!)
Код:
@SYS:DoesNotExist
Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.
 
[P.S.:  
@ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре.
SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.]
 
4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files
Создать строковый параметр типа REG_SZ с названием  
Код:
*.*
(так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').
 
5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться? Полностью удалить ВСЕ ключи MountPoints2 которые вы находите в реестре (там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает). Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.
 
Paul

Всего записей: 9 | Зарегистр. 21-11-2008 | Отправлено: 23:21 08-02-2009 | Исправлено: WSQ2, 23:24 08-02-2009
aequit

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Создайте папку с именем autorun.inf  
Вирус сильно обломится. Потому что одноименный файл не сможет создаться.  
 Ага, а удалить папку или переименовать вирус не догадается

 
Попробуйте удалить папку, которую создаст Flash Disinfector
_хттp://www.spyware-ru.com/flash_disinfector/

Всего записей: 183 | Зарегистр. 17-11-2005 | Отправлено: 21:45 10-02-2009
Kerk_PiRR



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Защита от заражения флешки - ИМХО - использовать модели с переключателем Read-only

+1. Очень правильный вариант.
Даже если у вас обычная флешка - что тут такого? Мне иногда флешки с вирусняком приносят и что? autorun.inf - идет лесом, ибо запуск его на компе запрещен. Антивирь в фоне работает - говорит что за дрянь принесли. Я же не больной запускать что то с флешки без проверки антивирем. В чем собственно повод для паники?

Всего записей: 250 | Зарегистр. 08-12-2003 | Отправлено: 22:27 10-02-2009
vpropisnoy



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос в том, чтобы не пустить вирус на флешку. Т.е. вы со своей флешкой обходите несколько чужих компьютеров (незнакомых клиентов). Нужно не допустить распространения вируса на их машинах через вашу флешку. Переключатель рид онли лучший выход, но решение от iocell программное, я так понял. Неужели никто не пользовал, ну хотя бы по статье, какое ваше о ней мнение?

Всего записей: 12 | Зарегистр. 27-12-2006 | Отправлено: 01:42 11-02-2009
gbcfkf



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Когда надоело на домашнем компе чистить флешку от вирусов, создал в корне флешки autorun.inf и папку Recycler и убрал доступ к ним
дешево и сердито

Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 09:50 11-02-2009
kimp07

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 aequit. Это конечно прикольно, папка не удаляется (ессно из-за наличия в ней файла с системным именем lpt3). Зато переименовывается. Что вирусописатели и делают, причем весьма успешно. получается, самый верняк - форматить флэху в ntfs и поигратсья с правами доступа. но вот здесь _ttp://www.siteguard.ru/p26.html написано, что ntfs не есть хорошо для флэшки.

Всего записей: 1 | Зарегистр. 02-03-2009 | Отправлено: 15:47 02-03-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 kimp07 - порадовала приведенная вами ссылка - _ttp://www.siteguard.ru/p26.html
Их flashprotect.bat - это один к одному слизанный мой AUTOSTOP.BAT version 1.6 (причем без указания авторства).
 
А вот AUTOSTOP version 2.0.1 я писал уже с учетом того, что вирусы научились переименовывать каталог AUTORUN.INF. Подробнее здесь - mechanicuss.livejournal.com/195192.html
 
 

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 17:44 03-03-2009 | Исправлено: Serhiy123, 22:41 03-03-2009
balton



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ого .. блин о переименовании папки я и не подумал .. возьму на заметку !

Всего записей: 69 | Зарегистр. 20-12-2002 | Отправлено: 18:06 03-03-2009
goodbro

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123, тоже искал способы борьбы с этой заразой
в итоге написал простенькую прогу которая запускается с флешки и открывает файл авторан на полных правах, сверяет его CRC сумму ,если надо перезаписывает и информирует о заражении (помнится большинство вирусов не будут разблокировать дескриптор или завершать процесс его создавший)
 
проблема: нужны пример строки авторана , чтобы однозначно запускать прогу
поможете ?

Всего записей: 10 | Зарегистр. 03-03-2009 | Отправлено: 19:02 03-03-2009
paranoya prod

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ktotama

Цитата:
Strange

Цитата:
 
Цитата:
Создайте папку с именем autorun.inf
Вирус сильно обломится. Потому что одноименный файл не сможет создаться.

 
 
Ага, а удалить папку или переименовать вирус не догадается

 
Удалить папку или ее переименновать редкий авторановый вирус может. Я таких еще не встречал. Да и удаление/переименнование папки - это другой, дополнительный код писать надо. А если в папке создать файл, то просто так эту папку не удалишь.
Лично у меня флешки организованы так:
В корне флешки файлы: recycler и recycled, с атрибутами скрытый, системный, только для чтения. Папка autorun.inf в ней пустой файл, с аналогичными атрибами. Папка autorun.inf так-же имеет такие-же атрибуты.
Помимо этого можно отформатировать флешку под NTFS, сделать права безопасности на ней Пользователи:Полный доступ. Создать приведенную выше структуру с файлами и папкой. Лишить всех прав на доступ к папке и файлам. Но тогда флешка будет работать только с NT системами Win9x пойдут лесом.

Всего записей: 88 | Зарегистр. 10-11-2004 | Отправлено: 21:05 03-03-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 goodbro - хорошее описание файла autorun.inf  
 
В Сети гуляет еще вот такой пример:

Код:
 
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe
 

 
При этом даже выбор Explore в меню диска вызывает калькулятор.
 
Но если на компьютере отредактировать Разрешения всех пользователей (включая админов) ключа MountPoints2 в реестре на 'Deny' по всем пунктам кроме 'Чтение' - то даже такой вариант не сработает (взято отсюда)
 
Более того - если все же хирый вирус модифицирует ваш файл autorun.inf, прописав себя вместо вашей программы - последствия могут быть плачевны.
 
У меня тоже была мысль насчет проверки контрольной суммы файла autorun.inf (см. начало ветки) - очень инересно было бы ознакомиться с вашим вариантом на практике.
 
2 paranoya prod - конструкция rd /s /q F:\AUTORUN.INF (где F - буква флешки) снесет непустой каталог AUTORUN.INF и не пикнет. Думаю что это известно не только мне, но и вирусописателям. Так что лучше создавать не просто "пустой файл", а файл или каталог с "некорректным именем" - то же LPT3.  
 
Насчет же переименовывания ("Удалить папку или ее переименновать редкий авторановый вирус может. Я таких еще не встречал") - мне в обсуждении моего скрипта AUTOSTOP (см. здесь: Win32.HLLW.Autoruner.1018) описали наглядный пример - именно это и побудило меня писать версию 2 скрипта, базирующуюся на другом принципе.
 
И еще насчет NTFS  на флешке - бывает например, конкретная модель автомагнитолы или DVD-плеера читает только FAT.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 22:40 03-03-2009 | Исправлено: Serhiy123, 22:57 03-03-2009
vjunk

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как лишить вирус возможности создать файл autorun.inf (вообще любой файл) в корне флешки с FAT:
 
Втыкаем флешку в компьютер с установленным линуксом, предположим, что флешка определилась как устройство /dev/sdc1.
Выполняем такую последовательность команд (все данные при этом будут уничтожены!):

Код:
umount /dev/sdc1
mkdosfs -r 16 /dev/sdc1
mount /dev/sdc1 /media/disk
cd /media/disk
touch `perl -e 'print "X" x 160'`
mkdir Documents
cd /
umount /dev/sdc1

Вынимаем флешку, втыкаем её в компьютер с виндовс. Для эстетичности устанавливаем на файл "XXXX...." атрибут "Скрытый". Свои документы храним в папке "Documents".
 
В чём смысл этих действий?
В файловой системе FAT количество элементов корневого каталога ограничено и задаётся в момент форматирования, причём файлы с длинными именами занимают несколько элементов каталога. Создав корневой каталог минимальной длины (16 элементов) и заняв почти все их длинным именем файла (160 символов X) оставшиеся занимаем папкой "Documents". Больше в корневой каталог ничего не поместится.

Всего записей: 303 | Зарегистр. 23-02-2005 | Отправлено: 23:36 03-03-2009 | Исправлено: vjunk, 23:52 03-03-2009
Serhiy123



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vjunk
Интересный способ!
Можно ли подобным образом оформатировать флешку из-под Windows?
 
PS - по идее буде работать олько с флешками, размером не более 2 Гиг: ограничение на размер тома в FAT.  
В FAT32 и в NTFS такого ограничения нет, но нет и ограничения на количество файлов  корневого каталога - так что там это не сработает.

Всего записей: 126 | Зарегистр. 05-09-2002 | Отправлено: 08:39 04-03-2009 | Исправлено: Serhiy123, 09:38 04-03-2009
vjunk

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Serhiy123
Под Windows нужна программа форматирования, в которой можно задать произвольные параметры FAT. Я такую не знаю, хотя под DOS они были.
 
Большую флешку можно порезать на разделы по 2Гб

Всего записей: 303 | Зарегистр. 23-02-2005 | Отправлено: 10:47 04-03-2009
goodbro

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
с запуском пока не важно выходит если винда и присваивает действие на открытие флешки то только через проводник, про автоплей речь пока не идет (разумная винда ?)
думал подключить devcon к выходу по команде но remove usbstor ничего не дает
 
п.с сама идея пока жива, т.е открыть файл авторан переписать и не давать доступа к нему до полного отключения флешки (пока горячего но если удастся найти прогу то и мягкого отключения)

Всего записей: 10 | Зарегистр. 03-03-2009 | Отправлено: 18:56 04-03-2009
Dialer777



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Где то пробегала инфа по поводу имени файла в Windows который создать можно, но потом удалить просто так невозможно, т.к. Винда его не может правильно инициализировать, а следовательно и удалить. Так вот поместив этот файл в нужную папку можно таким образом защитить эту папку от затирания. Конечно данный способ не избавляет от переименования папки. Но все таки....

Всего записей: 1238 | Зарегистр. 05-02-2007 | Отправлено: 19:36 04-03-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита флэшки от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru