Эта заметка касается только тех, кому знакома проблема чужих флешек, которые не хочется подключать к своему компьютеру, чтобы не заразить его вирусами. Речь здесь идёт только о работе в одной из самых распростанённых операционных систем - в Windows. Последний год эта лазейка от Microsoft стала очень активно использоваться создателями вирусов, поэтому вооружиться необходимо.
Вообще, масштаб беды огромный:
- Почти во всех фото-лабораториях (куда приносишь свои цифровые фотографии на печать) компьютеры заражены вирусами. Казалось бы, нет ничего проще - скопировать файлы фотографий с флешки на компьютер, но не тут-то было! Вернувшись домой после такой процедуры, человек почти наверняка найдёт на своём флешь-модуле файл autorun.inf, вызывающий запуск тела вируса на домашнем компьютере.
- Если печатать документы надо редко, то нормально не иметь дома принтера. Соответственно, если вдруг что-то хочется напечатать, приходится идти в какой-нибудь "принт-сервис", неперменно заражающий флешку вирусами.
- На конференциях участники часто приходят не со своим ноутбуком (чтобы подключить его к проектору), а со своим флешь-носителем (чтобы воткнуть его в общественный компьютер). В результате, как только пришёл первый человек с заражённой флешкой, так все остальные участники получают себе эту же заразу.
За последний год доля таких вирусов поднялась с 2 до 10 процентов, поэтому дополнительные действия по защите от этой уязвимости очень актуальны.
Если вам знакомы эти сложности, то данная заметка для вас. Прежде всего, коротко объясню, как работает это безобразие. По-умолчанию, если в корне устройства лежит файл autorun.inf, то Windows его прочитывает, чтобы узнать, какой файл надо сразу запустить. Другими словами, если флешку уже втыкали в заражённый компьютер, то на ней почти наверняка есть тело вируса и запись в файле autorun.inf о том, что это тело надо запустить. То есть для заражения другой машины достаточно просто подключить к ней эту флешку.
Что же надо сделать, чтобы обезопасить свой компьютер от вирусов, передаваемых "флешевым путём"? Кто-то скажет, что надо поставить хороший антивирус (и будет во многом прав). Но здесь есть понятное соображение: антивирус успешно борется только с теми вирусами, которые он знает. Если же вам попадает свежий паразит, то лучше защититься от него 100% надёжным способом. Что же нам надо? А всего лишь надо отключить автозапуск файлов на флешках (и прочих носителях).
Есть масса инструкций в интернете (от ручной правки реестра программой regedit до модификации прав через gpedit.msc), но все они понятны только специалисту (который и так себе давно всё отлично настроил). Я рекомендую более простой и прозрачный способ: воспользоваться крошечной программой TweakUI из пакета PowerToys от Microsoft. Программа очень маленькая - 150 Кб, но позволяет настроить некоторые удобные вещи. Кроме того, она надёжно выключает автозапуск вирусов с флешек и других сменных носителей (CD, DVD).
Установка проходит мгновенно, равно как и настройка безопасности компьютера:
Отключаем здесь все устройства.
И убираем эти две галочки, после чего можем бесстрашно подключать заражённые флешки к компьютеру. Единственное, что надо помнить - отключение автозапуска не гарантирует, что на флешке нет вирусов. Другими словами, этот способ позволяет 100% защитить компьютер от вирусов, передаваемых флеш-носителями, если соблюдать следующую последовательность действий:
1. Записали на флешку файлы, которые надо куда-то унести (фотографии или документы для печати, презентацию для конференции и т.д.),
2. Подключили устройство к общественному компьютеру, чтобы записать на него свои файлы (после этого мы уже не можем быть уверены в чистоте своей флешке),
3. Пришли домой, зашли на свою флешку нормальным файловым менеджером (не через "мой компьютер"!), после чего стёрли все файлы со своего носителя данных (вместе с вирусами, если они там были).
Раньше третий пункт был невозможен (потому что вирусы сами запускались раньше, чем их можно было стереть). Теперь же вы можете быть гораздо спокойнее за свой домашний или рабочий компьютер.
Итак, чтобы скачать Tweak UI достаточно перейти на сайт производителя и выбрать TweakUI.exe в правом столбце. Более подробно об отключении автозапуска можно почитать на virusinfo.
Ну и напоследок я объясню, почему пользуюсь именно этим решением проблемы с флешками - TweakUI предлагает ряд других интересных надстроек, которые мне удобны:
1. Можно убрать лишние пункты из меню "Пуск", добавив нужные, при этом отключив лишние визуальные эффекты - всё становится быстрее и удобнее,
2. В диалогах "Открыть..." и "Сохранить..." можно прописать свои "быстрые" каталоги, чтобы иметь мгновенный доступ в них, что очень увеличивает скорость работы с файлами во многих проложениях,
3. Очень важная вещь - возможность настроить скорость открытия меню (по-умолчанию, меню ждёт 0.4 секунды, что очень долго, если надо залезть куда-то глубоко). Ускорив это в 10 раз, можно сэкономить чуть-чуть времени и много нервов,
4. Автоматический вход в систему (удобно на домашнем компьютере, если нет причины каждый раз вводить имя и пароль) - вполне безопасно, если уверен, что дома не бывают посторонние люди,
5. X-Mouse - переключение мышью между окнами без кликов. То есть активным становится то окно, на которое навёл мышь, даже если ничего не нажал - фишка на любителя (заимствована из X-Windows).
Заметка получилась длинной, пора закругляться. Осталось только сказать, что если у вас есть доступ к публичному компьютеру, то отключить на нём автозапуск - это несомненное благо. Ведь многие люди, приносящие на такой компьютер свои файлы, вовсе не хотят его заражать (равно как и следующим, которым надо работать на этой машине, вовсе не нужны вирусы первых). Но из-за большой безграмотности пользователей в этом вопросе, вирусы очень активно распространяются, отнимая время и силы миллионов людей. Не болейте! :)
05.05.2008
Вирусы на флешках
Подписаться на:
Комментарии к сообщению (Atom)
Понравилась заметка? Подпишитесь на
RSS-feed или email-рассылку.
Хотите поделиться ссылкой с другими? Добавьте в закладки:
Есть вопросы или предолжения? Пишите письма на адрес mytribune АТ yandex.ru.
С уважением,
Илья Весенний
RSS-feed или email-рассылку.Хотите поделиться ссылкой с другими? Добавьте в закладки:
Есть вопросы или предолжения? Пишите письма на адрес mytribune АТ yandex.ru.
С уважением,
Илья Весенний
32 коммент.:
еще одна нужная программка - antiautorun.exe.
Помогает лечить вирусы на флешке, без уничтожения всего.
Очень своевременный пост. С недавнего времени задумался над этой проблемой. Мои поиски в интернете показали, что есть множество антивирусов для флешек. Но к сожалению все они требуют ручного управления: вставил флешку, запустил антивирус, записал/стер файлы с флешки, выключил антивирус, вытащил флешку.
А хотелось бы полной автоматизации: при вставке флешки антивирус на ней активизируется сам. Такие антивирусы есть, но они защиты в саму флешку. Т.е. это уже не обычная флешка, а специализированная.
У себя на блоге в ближайшее время тоже подниму эту проблему и опишу ряд антивирусов.
Своевременный - не то слово. Я как раз вчера отключал у себя автозапуск, долго рылся в интернете (ещё и XP Home, нет редактора политик), и всё такое.
Илья - молодец, осталось теперь только этот пост вверх поднять, чтобы люди уже не парились с советами ixbt, которые выдаются первыми по запросу отключить автозапуск.
простое решение проблемы с autorun.inf: создать каталог с таким именем - вирус не сможет создать такой файл.
всё :)
Решение, конечно, прикольное, но уж больно какое-то русское, извините :)
а вы заметку про японцев и русского почитайте :)
В пору появления флешек мне удалось приобрести 256Мб флэшку Transcend, имеющую на себе маленький механический переключатель "только чтение". Очень полезная вещь. Когда необходимо кому-то отдать файлы, то выбираем положение "только чтение" и все. Ни один вирус не сможет ничего записать на флэшку, так как просто физически запись запрещена. Конечно это не спасает, если требуется взять какие-то файлы, тогда придется переключаться в режим "чтение+запись" и шансы подхватить вирус есть.
правда есть в этом еще одна проблема: сейчас таких флэшек не найти. Если кто видел, напишите, а то 256Мб не хватает.
Вы проверяли, что с флешки запускается программа при помощи автозапуска? Когда соотв. галки включены, само собой.
Sergey, я не понял Вашего вопроса.
Я проверял многократно, что данный метод работает, но вроде вопрос не про это. Поясните, пожалуйста.
Поясняю. Вы пробовали взять флешку, создать на ней (или скопировать откуда-нибудь) autorun.inf, в котором будет указано, что надо запустить программу, лежащую на флешке, вытащить флешку из компьютера, вставить снова, посмотреть запускается ли программа? Предложение получилось длинным, но, надеюсь, понятно. Разумеется, я не предлагаю при этом использовать вредоносную программу. Любую программу можно взять: хоть Notepad, хоть Сапёра.
Да, Сергей, именно так я проверял, что описанный выше метод хоть что-то делает - после соответствующей настройки в TweakUI блокнот перестал запускаться, а до неё запускался.
Другой известный способ избежать автозапуска программы из autorun.inf - держать нажатый шифт, но мне это не кажется удобным при частой смене USB-носителей.
У меня на Windows XP SP2 (настройки по-умолчанию, никаких программ не устанавливал) не получилось. И на Висте тоже не получилось, там диалог с вопросом выдается. Может быть, у вас более старые системы?
Сергей, это хорошо, что XP-SP2 готова к таким угрозам. Про висту говорить не хочу, потому что под ней не работают программы, нужные для работы (во многих организациях эта операционная система не может быть использована).
Я приводил ссылку на свежие данные о том, что доля вирусов, распространяющихся через autorun, растёт. Это значит, что у многих людей системы не готовы сопротивляться такой угрозе. Кроме того, многие мои знакомые успели пострадать от таких вирусов. И приведённые в заметке примеры я видел своими глазами (с фото-лабораториями, заражающими все флешки из-за неквалифицированности сотрудников, с конференциями, где все "обмениваются вирусами" и т.д.) И именно по этой причине я обратил внимание читателей на эту проблему - она сейчас становится всё заметнее, нужны простые решения, как избавиться от этой угрозы за 2 минуты (не переставляя операционку и т.д.), не являясь специалистом.
Вчерашний пост об этом - http://miaoulex.livejournal.com/121090.html Многие не знают, куда прятаться от этой заразы. Надо популяризировать средства защиты!
Вот хороший диалог с баша про общественные места:
-зашел вчера в библиотеку перекинуть с флешки на флешку,мало того что содрали 5.60))так еще и вся флешка в троянах и червяках
- )))
- килограмм червей за 5.60 купил))
- на рыблку надо ))
Добрый день, Илья.
Ваша статья натолкнула на мысль сделать аналогичную на своем блоге.
http://upodrug.ru/posts/885
С небольшой разницей - мне проще отключить автозапуск вручную, чем качать специальную программу с иноязычного сайта.
А вообще мне очень нравится ваш блог =) Всего вам доброго.
Ruda, спасибо за тёплые слова!
Я Вам в комментарии к Вашей статье написал о паре неточностей.
тут выше было сказано...
"простое решение проблемы с autorun.inf: создать каталог с таким именем - вирус не сможет создать такой файл.
всё :)
06.05.08 18:17"
Понятие "каталог" и "файл" - разные вещи. Можно создать папку и файл с одинаковым именем, т.к. это РАЗНЫЕ объекты файловой системы.
Отключение автозапуска и использование файловых менеджеров, не выполняющих проверку автозапуска (FAR, например) - один из путей решения проблемы...
"простое решение проблемы с autorun.inf: создать каталог с таким именем - вирус не сможет создать такой файл".
Проверил - реально работает. Создал вышеупомянутый каталог и попробовал скопировать на флэшку файл autorun.inf - в результате он оказался не в корневом каталоге флэшки, а в внутри созданной папки.
Анонимный пишет...
"простое решение проблемы с autorun.inf: создать каталог с таким именем - вирус не сможет создать такой файл".
Проверил - реально работает. Создал вышеупомянутый каталог и попробовал скопировать на флэшку файл autorun.inf - в результате он оказался не в корневом каталоге флэшки, а в внутри созданной папки.
10.09.08 16:04
Не совсем. Создал в корне флехи каталог, затем создал файл с таким же именем (aunorun.inf). Оба объекта лежат в корне.
Уважаемый аноним, Ваше утверждение очень похоже на ошибочное. Нормальные файловые системы не допускают появление двух объектов с одинаковым именем (ведь их тогда будет невозможно различать). Скорее всего, имена у этого файла и каталога различны (может там используются русские буквы в одном из них?).
При этом понятно, что можно обойти файловую систему - создать несколько одноимённых файлов, но это будет некорректно.
Сссылка на PowerToys, приведенная в посте, не работает - пишет, что "запрашиваемая страница не найдена". Интересное дело, не так ли?
С учетом такого поведения MS советы от IXBT выглядят наиболее привлекательными - пока ни один вирус не сумел запретить правку реестра (что и делает указанная программа) через INF-файлы. Лично для себя я эту проблему решал именно через INF-файл (подробнее по адресу http://annimo-orwe.livejournal.com/122861.html?mode=reply).
Уважаемый Николай, спасибо за подробное описание Вашего решения.
Сейчас ссылка на MS работает, поэтому можно пользоваться обоими вариантами.
Цитата с http://forum.ixbt.com/topic.cgi?id=22:63213
Для всех вышеперечисленных версий кроме XP Home Edition:
пуск - выполнить - gpedit.msc - конфигурация компутера - административные шаблоны - Система - отключить автозапуск (выберите, где отключать). Далее примените новую политику командой gpupdate в консоли.
Benderspb, спасибо, что привели здесь ещё одно решение.
Все мы знаем, что такое вирусы типа Autoruner - это такие маленькие злюки, которые прыгают Вам на флэшку, как только Вы ее подключаете к компьютеру :) (описание для не знающих).
В скором времени я выложу на мою страничку утилиту, собираемую мной для установки защиты на флэшки и копьютеры дающую 99% защиту против вирусов этого типа. Утилита не будет требовать установки на компьютер, не будет висеть в процессах и кушать драгоценный ресурс .
http://antivirusfagot.blogspot.com/
Рекомендую хорошую статью со ссылками на полезные материалы по этой теме.
Там собрано и подробное описание для специалистов, и рекомендации для новичков, которые хотят защитить свои компьютеры и флешки.
Решение, приведенное в статье, интересное, но идеологически неверное - оно нарушает спецификацию, согласно которой в рамках логического диска не может присутствовать "ссылки на устройство" - как бы авторам не хотелось считать обратного.
Не проверял, но, насколько я в курсе, жить такая ссылка будет до первой проверки флешки на ошибки файловой системы, после чего будет безжалостно удалена.
Все-таки правильнее использовать именно настройки групповых политик, а не пользоваться "хаками".
Nikolay, всё верно, вакцинация флешки выполнена не очень корректно (но, судя по всему, всё работает).
Главное - в той статье приведены интересные ссылки на надёжную вакцинацию компьютера от заражённых флешек, поэтому я посчитал нужным добавить ссылку сюда.
Илья и Николай. Эта утилита, от парней из панды, ничем не лучше чем моя ;) Я провел маленький тест.
Сначала поставил на флэшку свою защиту, а потом попытался поставить защиту с помощью утилиты от панда, по вакцинации флэшки, и что вы думаете?? эта утилита не смогла удалить мою защиту :) Пишет мол, не смогла я, не смогла... :) И не нужно менять байты :) просто нужно немного знать DOS :) В системе зарезервированы имена тех файлов которые никогда не получится удалить просто так и создать (если не знать спец команд) По поводу, тех изменений которые делает программа от Панда в реестре системы, маловато, если Вы знаете реестр, и бат скрипты, то с легкостью прочитаете в моей утилите, код, который вносится в реестр системы, там немного больше, и действенней :)вносятся изменения :) Так что, будем гнаться, за известным именем и красивой обложкой??? ;)
нашёл очень полезную программку
http://forum.convex.ru/showthread.php?p=667263#post667263
ОБНОВЛЕННАЯ КОМПЛЕКСНАЯ ЗАЩИТА ПРОТИВ ВИРУСОВ ТИПА AUTORUNER!!!
Это обновленная версия комплексной защиты против вирусов типа "Autoruner" (флэш вирусов)
Из нововведений немного изменился интерфейс, и изменился модуль по установке защиты на флэш накопители. Напомню что данная защита устанавливается в операционную систему, и на флэшки. Особенность заключается в том, что даже если новые модификации вирусов типа "Autoruner" смогут сносить защиту установленную данной утилитой на флэш накопителе, то запуститься с него на компьютере на котором установлена данная комплексная защита все равно не смогут!!! Из-за особенности установленой защиты в систему ПК!!!
Скачать обновленную утилиту комплексной защиты можно ЗДЕСЬ http://rapidshare.com/files/240350792/Stop_Flash_infect_For_PC___USB_FLash_Drive_by_FagotAdmin_v1.1.zip
Оставляйте свои мнения о данной утилите на моей страничке, Ваша критика и отзывы все так же важны для меня :)
Посетите мою страничку http://antivirusfagot.blogspot.com/
Отправить комментарий