Як захистить комп'ютер - вірус на флешці

1. Чому так відбувається?
2. Як з цим боротися?
3. Перший етап
4. Другий етап
5. Для показу прихованих папок робимо наступне:

В даній статті поговоримо про один з найбільш широко поширеному джерелі потрапляння вірусів в комп'ютер, а саме через зручну для багатьох можливість автозапуску при підключенні флеш накопичувачів (і не тільки флеш). На жаль дана можливість зручна не тільки людям.

Як часто ви копіювали документи, музику, фільми та інші дані з комп'ютерів друзів, знайомих, колег? І як часто підключаючи флешку на домашній або робочий комп'ютер, виявляли, що на комп'ютер потрапив вірус? Нехай не відразу, але з часом починали помічати, що комп'ютер поводиться не так, як повинен був. Хочу зауважити, що подібним чином віруси можуть потрапити також з CD і мережевих дисків, і навіть з жорсткого диска комп'ютера.

Згоден, багато сучасних антивіруси вміють своєчасно перехоплювати віруси. Більш того, в операційній системі Windows 7 дана проблема вирішена. Система блокує запуск програми зазначеного в файлі autorun.inf. Але в меню вибору дій з підключеним накопичувачем, система запропонує також пункт з програмою автозапуску. Судячи з того, як часто я стикаюся з вірусами на принесених до мене флешках, проблема поки ще актуальна.

Чому так відбувається?

Вся справа в тому, що системи сімейства Windows, при підключенні (відкритті Провідником) накопичувачів перевіряють наявність файлу autorun.inf. При наявності файлу, система зчитує з секції Open даного файлу шлях до запускаємо файл і запускає. Таким чином можна реалізовувати зручні (красиві) інтерфейси для роботи з записаними даними. Абсолютно кожен користувач комп'ютерів хоча б один раз зіштовхувався з подібним механізмом, наприклад, при установці ігор. Але це що стосується мирних цілей. Точно також і віруси дуже широко користуються такою можливістю для свого поширення.

Як з цим боротися?

Разом з тим, є деякі заходи з протидії проникнення і розповсюдження вірусів. Природно, 100% гарантованої безпеки ці методи не забезпечать. Більш-менш гарантію можна досягти, якщо ви вимкніть інтернет, комп'ютер, телефони, зашторені вікна, двері на подвійні замки і т.д. Навіть так ... важко сказати :) Жарт.

Перший етап

Вам необхідно відключити можливість автозапуску з усіх носіїв і дисків. Відключення автозапуску на всіх дисках досягається зміною наступних ключів реєстру.

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000ff [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000ff

Хочу відразу попередити, відключення автозапуску на всіх дисках може бути незручно, якщо ви сильно звикли вставити диск з грою і на екрані монітора відображається вікно запуску (установки) гри. В такому разі скористайтеся варіантом № 2. Автозапуск залишиться можливим тільки з CD дисків.

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000df [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] "NoDriveTypeAutoRun" = dword: 000000df

Але навіть при такому способі залишиться можливість автозапуску дисків подвійним кліком по букві диска або вибором в контекстному меню диска пункт Автозапуск. Для правильного вирішення даної проблеми відвідайте базу даних компанії Microsoft за адресою http://support.microsoft.com/kb/967715/ru . Там детально розглядається ця проблема і даються необхідні дані і правила. Але можна спробувати виконати більш радикальний спосіб:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ Autorun.inf] @ = "@ SYS: DoesNotExist"

Цей параметр змушує систему будь-які файли autorun.inf вважати порожніми.

Я особисто роблю по іншому. Скачую програму AVZ (www.z-oleg.com), розпаковую на диск, запускаю програму і в меню Файл - Майстер пошуку та усунення проблем запускаю майстер.

З'являється вікно майстра. У першому списку вибираю Системні проблеми, у другому Всі проблеми і натискаю кнопку Пуск.

З'являється список проблем нормальні для роботи системи, але проблемні з точки зору безпеки. Через ці проблеми можуть потрапити шкідливі програми в систему. Наголошую пункти Дозволено автозапуск з HDD, Дозволено автозапуск з мережевих дисків, Дозволено автозапуск з CD-ROM (для любителів швидкого запуску ігрових дисків на вибір), Дозволено автозапуск зі змінних носіїв. Зверніть увагу, у мене включений також пункт Провідник - включити відображення розширень для файлів відомих системі типів. Про цей пункт поговоримо трохи пізніше. І натискаю кнопку Виправити зазначені проблеми. Програма виправляє ці проблеми і навіть не вникаю, де що він виправив :) Головне виправив і я вірю AVZ.

Другий етап

Оскільки ми не в змозі очистити від вірусів всі комп'ютери друзів, знайомих і колег, загроза потрапляння вірусу на флеш носій все ще зберігається. Хоч ми і виправили у себе автозапуск з носіїв, залишається загроза зараження комп'ютерів інших друзів і знайомих. Адже іноді ж захочеться похвалитися тим, що знайшов :)

Для запобігання цьому, ми повинні заблокувати на флешках можливість запису файлу autorun.inf. Як це робиться? Є програми, що автоматизують цей процес. Але ми зробимо тим, що нам доступно. А нам доступна завжди Командний рядок (Пуск - Всі програми - Стандартні - Командний рядок або Пуск - Виконати ... - cmd (набираємо в поле) - OK). У командному рядку виконуємо наступні команди

attrib -s -h -r autorun. * del autorun. * mkdir% ~ d0AUTORUN.INF mkdir "&% ~ d0AUTORUN.INF" attrib + s + h% ~ d0AUTORUN.INF

Ці команди видаляють файл autorun.inf якщо він там є, попередньо знявши атрибути потайний, системний і тільки для читання. Потім створює папку AUTORUN.INF додавши спочатку нульовий знак. Також створює файл посилання таким же ім'ям. Після чого встановлює атрибути потайний, системний і тільки для читання. Система відображає цю папку нормально, а ось вірус не зможе видалити його, оскільки не знає про те, що на початку імені треба вказувати нульовий знак. Нагадую. Ви повинні володіти правами записи і зміни атрибутів. Інакше будуть потрібні права адміністратора.

Дані команди легше записати в bat файл і запускати на всіх флешках. Готовий bat файл можете завантажити тут: flashprotect.bat_.zip (Зверніть увагу, файл має подвійне розширення bat і zip. Це зроблено через те, що на сайт можна завантажувати деякі типи файлів і я упакував файл. Вам доведеться розпакувати його у себе).

Здавалося б зробили все, що було потрібно для захисту комп'ютера і нашої флешки. Але це ще не все. Вірус хоч і не зможе тепер записати файл autorun.inf, але йому ніхто і ніщо не завадить записати на носій тіло самого себе (вірусу тобто). Але якщо ви його свідомо не запустите, він вже автоматично не зможе запускатися. Просто буде висіти сміттям на флешці.

Ще одна небезпека. Деякі віруси настільки хитрі, при вставці флешки на заражений комп'ютер, вірус може приховати наявні папки на флешці і точно таким же ім'ям записати тіло вірусу. Наприклад, якщо на флешці у вас є папка під ім'ям Music, то вірус робить прихованим цю папку і поруч створить файл Music.exe. І для вірності в якості ярлика використовує зображення папки. І коли ви відкриєте на провіднику цю флешку, у вас наче нормально відображається звичайна папка Music. При спробі відкрити цю папку, благополучно запуститься вірус і комп'ютер миттєво заразиться.

Як боротися? Пам'ятайте вище у вікні Майстра пошуку та усунення проблем у мене був відзначений також пункт Провідник - включити відображення розширень для файлів відомих системі типів? Так ось, цей пункт дозволяє відображати в провіднику записаний вірус у вигляді Music.exe. Ви побачивши його повинні насторожитися, що це вірус. А ваша папка існує і вона прихована для відображення.

Для показу прихованих папок робимо наступне:

У провіднику вибираємо пункт меню Сервіс - Властивості папки, і у вікні, вибираємо

пункт Показувати приховані файли і папки. Тепер у нас в провіднику буде відображатися папка Music (напівпрозорому вигляді) і запускається файл вірусу Music.exe. Удаю файл Music.exe, у властивостях папки знімаємо прапор Прихований і радіємо життю :)

В системі Windows 7 властивості папки відкриваються так Панель управління - Оформлення - Показ прихованих папок і файлів.

Однак, через Властивості папки не завжди вдається знімати прапор прихований. Оскільки існує багато способів зняття прапорів. Якщо ви не користуєтеся файл менеджерами типу Total Commander, то легше зняти атрибути через командний рядок:

attrib / S / D -H -SF: \ *

де F: \ буква диска, * - всі файли і папки (в тому числі у вкладених папках). Так помоему простіше і безпечніше, ніж створювати нові папки і переносити дані.

Детальна довідка команди attrib (видається по команді attrib /?):

Відображення або зміна атрибутів файлів. ATTRIB [+ R | -R] [+ A | -A] [+ S | -S] [+ H | -H] [+ I | -I] [диск:] [шлях] [ім'я файлу] [/ S [/ D] [/ L]] + Установка атрибута. - Зняття атрибута. R Атрибут "Тільки читання". A Атрибут "Архівний". S Атрибут "Системний". H Атрибут "Прихований". I Атрибут "неіндексованих вміст". [Диск:] [шлях] [ім'я файлу] Вказівка ​​файлу або набору файлів для обробки. / S Обробка файлів із зазначеними іменами в поточному каталозі і у всіх його підкаталогах. / D Обробка файлів і каталогів. / L Працювати з атрибутами самої символічної посилання, а не цільового об'єкта цієї символічної посилання.

При цитуванні, копіюванні, клонування матеріалів з сайту цілком або частково, посилання на сторінку, звідки був скопійований матеріал, обов'язкова! При порушенні цих умов прошу негайно видалити зі своїх ресурсів скопійований матеріал. Адміністрація сайту.