Вирусы-авторанеры: предупредить просто, бороться бывает сложно

вирус на флешке, отображение в Total CommanderАutorun-вирусы, как уже отмечалось, очень широко распространены. Виной тому недостаточные знания в области компьютерной безопасности, отсутствие простых навыков и приемов работы в операционной системе Windows, пренебрежение простыми правилами защиты, использование контрафактного ПО и др.

Вирусы-авторанеры постоянно развиваются, новые модификации появляются постоянно. Иногда они появляются с такой скоростью и так грамотно запрограммированы, что программы–антивирусы не сразу их могут распознать (нетипичное поведение вируса). Что же тогда делать? На самом деле проблема решается достаточно просто даже силами обычного пользователя. Способов решения очень-очень много. Об этом ниже.


Защита – наше всё!

Ниже приведен простой и по настоящему действенный список мер, который поможет вам навсегда забыть о том, что компьютер может быть заражен вирусом, который принесли на флешке:

  • Самый первый и надежный способ – перестать пользоваться флешками, другими носителями информации и сетью Интернет (в домашних условиях это практически нельзя реализовать);
  • Первый пункт не имеет смысла без установленного, грамотно настроенного и поддерживаемого в актуальном состоянии антивируса. Без антивируса также не имеют смысла и другие средства защиты от вредных программ;
  • Обязательное отключение автозапуска программ с флешки. Лучше, если будет отключен автозапуск с любых носителей. Это можно сделать или при помощи всевозможных утилит-твикеров системы (самый простой вариант) или поискав на эту тему статьи в Интернете (есть масса очень интересных решений при помощи модификации настроек реестра Windows);
  • Запрет на создание файла autorun.inf  в коневом каталоге флешки. Этого добиваются чаще всего созданием файла или папки с аналогичным именем, но его нельзя ни удалить, ни перезаписать. Либо может быть вообще запрещена запись на флешку. Оба варианта возможны только в случае, если флешка имеет файловую систему NTFS;
  • Использование дополнительного ПО для защиты от autorun-вирусов. Часто достаточно программы-антивируса, но дополнительные утилиты могут иметь в своем арсенале и дополнительные полезные функции, которых нет в антивирусе. Например,  автоматическое восстановление скрытых папок и файлов после заражения флешки вирусом. Утилит, которые вам в этом помогут, много: Anti-autorun, xUSB Defence, Зоркий глаз, Panda USB Vaccine, Autorun Eater, USB Disk Security и другие.
Блокировка флешки

Вы думаете, что в наше время невозможно обойтись без свободного и бесконтрольного использования флешек и глобальной сети? Возможно. Именно так ведется борьба и предотвращение заражения различными вредоносными программами в крупных и серьезных организациях. Например, в банках или других организациях, которые готовы содержать в своем штате грамотного специалиста или даже несколько специалистов. Это и системный администратор, и ответственный за защиту информации.

Те организации и предприятия, которые не могут себе позволить (или не понимают важности и глобальности проблемы) подобных специалистов, могут прибегнуть к помощи «приходящих» системных администраторов (это тема отдельной статьи и подобная услуга также может быть Вам оказана в нашем городе). Выше есть изображение с реально работающей политики безопасности для группы компьютеров с установленным антивирусом Касперского.

Практика

По факту, при внимательном отношении, для защиты флешки от заражения хватает всего двух вещей: антивируса с актуальными базами и однократной простой манипуляции с флешкой.

Зачем нужен антивирус, рассказывать в данной статье нет смысла. Про смену операционной системы с Windows на Linux тоже. Поэтому немного стоит рассказать про ту самую "хитрую манипуляцию" с флешкой.

Задача минимум – не дать вирусу на зараженном компьютере "посадить" вам на флешку вирус и подправить autorun.inf. Задача максимум – вообще не дать что-либо сделать с содержимым вашей флешки.

Еще недавно было достаточно создать в корне флешки пустой файл autorun.inf, расставить ему атрибуты «только для чтения», «системный» и радоваться жизни. Но вирусо-писателям подобный подход не понравился. Очень скоро autorun-вирусы научились распознавать подобный «подвох». Не вдаваясь в детали написания и поведения вирусов, покажу простой пример, как создать папку autorun.inf, которую нельзя будет модифицировать стандартными средствами. Соответственно, файл с такм же именем тоже нельзя будет создать.

Создаем в любом текстовом редакторе (блокнот, редактор в FAR и пр.) файл с расширением bat (например, lock.bat), в него помещаем код:

attrib -S -H -R -A autorun.*
del autorun.*
attrib -S -H -R -A desktop.ini
del desktop.ini
attrib -S -H -R -A recycled
rd "\\?\%~d0\recycled" /s /q
attrib -S -H -R -A recycler
rd "\\?\%~d0\recycler" /s /q
rd "%~d0\system volume information" /s /q
mkdir "\\?\%~d0\autorun.inf\LPT3"
attrib +S +H +R +A %~d0\AUTORUN.INF /s /d
mkdir "\\?\%~d0\recycled\LPT3"
attrib +S +H +R +A %~d0\RECYCLED /s /d
mkdir "\\?\%~d0\recycler\LPT3"
attrib +S +H +R +A %~d0\RECYCLER /s /d
mkdir "\\?\%~d0\desktop.ini\LPT3"
attrib +S +H +R +A %~d0\desktop.ini /s /d echo hello > %~d0\$recycle.bin
attrib +s +h +r %~d0\$recycle.bin
echo hello > "%~d0\System Volume Information"
attrib +s +h +r "%~d0\System Volume Information"

Файл сохраняем к корне флешки и запускаем. Предварительно нужно точно убедиться, что машина не заражена вирусом (антивирус установлен, нормально функционирует, базы актуальны).

Данный bat-ник в процессе своей работы удалит папки recycler, recycled, System Volume Information и файл autorun.inf, если они были. После этого будет создана та самая неудаляемая и нередактируемая папка с именем autorun.inf и некоторые другие файлы и папки, которые часто используются вирусами для собственного распространения.

Справка: Если вы когда-то по какой-то причине захотите удалить созданные папки, но форматировать флеш-карту будет нельзя, можно воспользоваться новым bat-ком такого содержания (код также можно запустить сразу из командной строки):

rmdir \\?\f:\autorun.inf\ /s /q

Вместо f: укажите свой путь к флешке (назначенную букву), а вместо autorun.inf нужно подставить имя папки, которую вы хотите удалить.

Дополнительно защитить флешку от записи можно путем простановки прав доступа (флешка должна быть отформатирована или сконвертирована в файловую систему NTFS). Как это сделать и какие могут быть при этом плюсы и минусы, тоже можно почитать в сети, повторяться не имеет смысла. Поисковик вам поможет.

антивирусы

Комментариев пока нет...