Защита флешек от врусов с помощью SOFTa

[Roman Merkushin]

И снова мусолится эта старая тема..

 

"Сделать так, чтобы на флэшку не лезли вирусы" можно только сделав ее невидимой для всех форточек - например, отформатировав ее в "чужую" файловую систему )) Но тк на 90% компьютеров стоит винда - это не решение Обмануть вирусню можно было бы и монтируя флэшку без присвоения ей "буквы" (в любую папку на любом разделе - так называемые junсtion points), но это прокатывает только если ФС на usb-диске - ntfs, да и способ работает только на тех компах, где проведены предварительные настройки форточек. Ну а способ с защитой от записи - неудобен (ибо в корень писать нельзя, и по "Отправить" будет облом, и для памяти, например, плеера эта фишка не прокатит), да и работает он только при условии, что везде, куда вы суете свою флэшку, активный юзер не входит в группу "Администраторы", что тоже, увы, недостижимо. Так что 100% эффективного способа нет, и это уже стотысячпицот раз было сказано и писано. ОС Виндоуз не позволяет закрыть этот вопрос раз и навсегда (например, сделав автозапуск без выполнения инф-файлов).

 

Tаrаsitm, а в чем проблема? Защитить отдельно взятые компьютеры от авторан-вирусов вполне можно. Отключи форточный сервис "Определение оборудования оболочки" (Shеll hаrdwаrе dеtесtion) и забудь об автоматическом выполнении файлов аutorun.inf (разве что самому, ручками, теперь можно будет их запустить, и эту возможность можно исключить, например, настройкой списка разрешенных для запуска приложений в групповых политиках безопасности или твоем антивирусном комбайне). Ну а уж удалять теперь уже не страшных зловредов придется ручками, антивирусом или вообще не удалять

Изменено 24 марта, 2010 пользователем Roman Merkushin

[Kanaduchi]

Споры - споры...

 

Создал 2 папки на флешке: autorun.inf\com1 и desktop.ini\com1 с атрибутами +s +h.

 

В результате ни одна зараза не смогла их удалить и вставить свой автозапуск. А то что они копируются в корень флешки - не беда, т.к. потом их вручную можно элементарно удалить.

 

Данный метод опробовал на нескольких своих знакомых - все довольны. Т.к. флешки постоянно используются в различных ЦОПах и чистыми быть никак не могут. А благодаря "неудаляемым" файлам, вирусы просто не могут с флешки себя проявить.

 

Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить:

А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe?

[Suren]

Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить:

А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe?

С последним не согласен, ибо есть вирусня, которая косит под папки с таким-же названием, а настоящие прячет.

Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидит

[Drru]

Вопрос тем, кто пишет о том, что в этом случае юзер сам может этот вирус с флешки запустить:

А у вас часто возникало желание запустить неизвестный файл с флешки с именем dfgsdffghsdfgjhsdfg.exe?

У меня нет, но желающие найдутся.

И ещё, есть вирусы которые заражают другие файлы. Например Sality. Цитата из описания:

Заражение файлов

 

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:

 

EXE

SCR

 

Вирус не заражает файлы размером больше 20971520 байт и меньше 512 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:

 

TEXT

UPX

CODE

 

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредонос копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:

 

%Temp%\__Rar\<имя запускаемого файла>.exe

В этом случае пользователь запустит нужную ему программу и ...

Поймите меня правильно, я не против, но пользователь должен понимать, что это далеко не панацея. Даже больше - это просто "костыль", который помогает, но не защищает. Понимаете, у некоторые пользователей создаётся иллюзия полной защиты.

Гораздо эффективней отключить автозапуск, работать под учётной записью с ограниченными правами и иметь нормальный, настроенный антивирус, а, да, чуть не забыл, пытаться думать.

[Roman Merkushin]

Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидит

Вот только если у тебя не отключено выполнение autorun.inf и ты уже "увидел" ранее скрытую "неудаляемую" папку - то как бы "матрица тебя уже поимела"))) Изменено 24 марта, 2010 пользователем Roman Merkushin

[Kanaduchi]

Ну и неудаляемая папка хороша ещё тем, что если она стала видна, значит на флехе вирусняк сидит

У меня стоит в системе отображение скрытых папок и данная папка видна всегда, независимо от наличия вирусов)

[tarasitm]

Создал 2 папки на флешке: autorun.inf\com1 и desktop.ini\com1 с атрибутами +s +h.

Ну вот и развитие наметилось!

Уважаемый Kanaduchi! А не могли-бы Вы bat файл написать и выложить здесь?

Заранее спасибо.

 

 

Tаrаsitm, а в чем проблема? Защитить отдельно взятые компьютеры от авторан-вирусов вполне можно. Отключи форточный сервис "Определение оборудования оболочки" (Shеll hаrdwаrе dеtесtion) и забудь об автоматическом выполнении файлов аutorun.inf (разве что самому, ручками, теперь можно будет их запустить, и эту возможность можно исключить, например, настройкой списка разрешенных для запуска приложений в групповых политиках безопасности или твоем антивирусном комбайне). Ну а уж удалять теперь уже не страшных зловредов придется ручками, антивирусом или вообще не удалять

 

Спасибо Roman Merkushin! Ваши объяснения как всегда обстоятельны и убедительны!

Изменено 24 марта, 2010 пользователем tarasitm

[valet]

А не могли-бы Вы bat файл написать и выложить здесь?

Примерный батник GanK приводил:

rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
rd /s /q "%~d0\System Volume Information"

del /f /q %~d0\autorun.*
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h +r %~d0\autorun.inf

 

Ну и дописать туда:

mkdir "\\?\%~d0\desktop.ini\com1"
attrib +s +h +r %~d0\desktop.ini

 

А в принципе, можно и форматировать в линуксовую ФС (пост 31). А на ненужной флешке носить Ext2Fsd.

 

И, опять же, это спасет (? - не проверял) только от авторан-вирусов.

Изменено 24 марта, 2010 пользователем valet

[tarasitm]

Примерный батник GanK приводил:...

 

Спасибо большое!

[Kanaduchi]

Мой bat'ник с диалогами:

@echo off
ECHO.
ECHO ===========================
ECHO ====ANTI AUTORUN SCRIPT====
ECHO ====Kanaduchi @2010====
ECHO ===========================
ECHO.

set /p proc="Вы хотите активировать защиту вашего Flash устройства? [y/n] - "

if %proc% == y  (
rem Удаление всех лишних файлов
ECHO.
<nul set /p strTemp=Удаление ненужных папок и файлов.
if exist "%~d0\recycled" (
rd /s /q "%~d0\recycled" 
)
ping 127.1 -n 2 >nul 
<nul set /p strTemp=..
if exist "%~d0\recycler" (
rd /s /q "%~d0\recycler" 
)
ping 127.1 -n 2 >nul 
<nul set /p strTemp=..
if exist "%~d0\System Volume Information" (
rd /s /q "%~d0\System Volume Information" 
)
ping 127.1 -n 2 >nul 
<nul set /p strTemp=.. 
if exist "%~d0\desktop.ini" (
del /f /q "%~d0\desktop.ini"
)
ECHO OK
ECHO.

rem Создание папки с идентификатором com порта
<nul set /p strTemp=Создание системных директорий и файлов.
if exist "\\?\%~d0\autorun.inf\com1" (
goto next
) else (
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h %~d0\autorun.inf
)
:next
ping 127.1 -n 4 >nul 
<nul set /p strTemp=...... 
rem Создание папки с идентификатором com порта
if exist "\\?\%~d0\desktop.ini\com1" (
goto next
) else (
mkdir "\\?\%~d0\desktop.ini\com1"
attrib +s +h %~d0\desktop.ini 
)
:next
ECHO OK
ECHO.
ECHO ---------------------------
ECHO.
ECHO Защита вашего FLASH устройства успешно активирована!
) 	
rem Удаление за собой всех лишних файлов
ECHO.
PAUSE
del /f /q %~d0\autorun.bat

[tarasitm]

Мой bat'ник с диалогами:

Полный сервис, графический интерфейс! Большое спасибо Kanaduchi!

Как я понимаю, все учтено?

 

 

--------------------------------------------------------------------------------------------------------------------------------------------------------------

 

А вот еще знакомые переслали инфо по этой теме. Два файла с расширением reg:

 

Файл №1 (NoAutoRun.reg), текст:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=""

 

Файл №2 (АбракадабраКодовойСтраницы.reg), текст:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage]

"1250"="c_1251.nls"

"1252"="c_1251.nls"

 

Как мне объяснили запуск этих файлов просто закрывает автозагрузку? Думаю, что это излишне и автозагрузку можно просто отключить из интерфейса Win?

Изменено 27 марта, 2010 пользователем tarasitm

[Suren]

Kanaduchi чёта у меня абракадабра в окошке

Кодировки в винде не правильные?

[apq]

чёта у меня абракадабра в окошке

аналогично, вместо русских символов кракозябры, попробовал сохранять код в юникоде, тогда батник запускается и сразу же вылетвет

[Suren]

apq ну там в принципе всё понятно и так. Создаётся две папки на флешке.

Просто удивило, что

Полный сервис, графический интерфейс! Большое спасибо Kanaduchi!

как я понял у человека всё нормально отобразилось.

 

Сделал надписи в транслитерации, теперь нормально

 

Изменено 27 марта, 2010 пользователем Suren

[Roman Merkushin]

tаrаsitm, достаточно просто отключить службу "определение оборудования оболочки", остальные твики после этого теряют смысл.