- Способи зараження вірусами комп'ютера за допомогою флешки
- Захист флешки від вірусів. Практика.
- Методи захисту флешки від вірусів.
- Використання особливостей файлової системи NTFS.
- 2) Тотальний метод захисту флешки від вірусів.
- 3) Створення захищеної папки RECYCLER.
- Деякі ознаки інфікування флешки вірусом.
Захист флешки від вірусів - важливе завдання в контексті антивірусної безпеки вашого комп'ютера. Флешка є одним з основних шляхів міграції вірусів. При підключенні флешки до комп'ютера, зараженого вірусом, відбувається інфікування флешки з подальшим перенесенням шкідливого коду на інші, не заражені комп'ютери. Як захистити комп'ютер від вірусів на флешці і як захистити флешку від проникнення на неї вірусу? Давайте розглянемо декілька способів того, як захистити від шкідливого коду свій флеш-накопичувач, не забуваючи про те, що найперший умовою при цьому буде використання комплексного антивірусного пакета програм, такого, наприклад, як антивірус Dr.Web. А при наявності локальної мережі або виходу в Інтернет - надійного брандмауера (мережевого екрану) і безпечного браузера.
→ перейти до практики
Проблему захисту комп'ютера від вірусів, які розповсюджуються за допомогою переносних флеш-накопичувачів (флешок) можна розділити на дві основні завдання, які вирішуються в контексті забезпечення безпеки комп'ютерів і локальних мереж. Завдання захисту комп'ютера від вірусів на флешці і захисту флешки від вірусів є різними гранями однієї проблеми: запобігання розповсюдженню шкідливих програм від одного комп'ютера до іншого за допомогою флешок. Відразу обмовимося, що абсолютно надійних і стовідсоткових способів не існує. Можливо тільки мінімізувати ризики і посилити бар'єри на шляху поширення подібного роду погроз. Боротьба з вірусами підпорядковується діалектичному закону протистояння снаряда і броні - ті кошти, які надійно захищають вас сьогодні - завтра виявляться недостатніми. Про те, як захистити комп'ютер від вірусів на флешці, тобто перешкоджати проникненню шкідливого коду з уже інфікованої флешки на ваш ПК, ми поговоримо в статті « Як захистити комп'ютер від вірусів на флешці ». Це, так би мовити, друга лінія оборони, якщо мати на увазі захист вашого ПК від вашої зараженої флешки, яка з легкістю може перетворитися і в першу. Тут ми обговоримо тактику боротьби з вірусами ще на дальніх підступах до нашої цитаделі, тобто до нашого комп'ютера. Ще раз слід зазначити, що без надійної комплексної антивірусної програми, такої як Антивірус Dr.Web, антивірус Касперського або NOD 32 і ін., Всі ці «народні» і напівпрофесійні методи захисту з великою часткою ймовірності можуть виявитися марними. Для успішної протидії вірусам, у вас повинен бути встановлений грамотно налаштований антивірус (див. « Як правильно налаштувати антивірус Dr.Web »). Наше завдання не підміняти антивіруси, а доповнювати їх, створювати додаткові бар'єри на шляху шкідливого коду. Автомобілістам добре знайома істина про те, що додаткові протиугінні пристрої істотно ускладнюють задачу викрадачів. Причому, ці пристрої повинні базуватися на різних принципах дії і краще, якщо вони будуть нестандартними. Застосування антивірусів і утиліт, які не конфліктують між собою, а доповнюють один одного по функціоналу, поряд з «ручними» методами захисту, про які ми поговоримо нижче, і вашої обережною і зваженою політикою безпеки значно знизять ризик зараження вашого ПК вірусами та іншими «нечестивими» шкідливими програмами.
Способи зараження вірусами комп'ютера за допомогою флешки
Про таке тривіальне способі, як зараження файлів на флешці ми говорити не будемо. Згадаємо тільки, не слід забувати про те, що при запуску будь-якої програми, розташованої на вашій флешці, підключеної до інфікованої машині, цей файл також інфікується (якщо флешка не захищена від запису). Запускаючись на вашій машині, шкідливий код потрапляє вже до вас на комп'ютер з усіма витікаючими наслідками.
Більшість вірусів, що поширюються за допомогою змінних носіїв, використовують автозапуск. Для забезпечення можливості запуску програм автоматично, при підключенні флешки до ПК, необхідна наявність в кореневому каталозі змінного носія конфігураційного файлу з ім'ям «autorun.inf», де спеціальним чином прописується запускається і інші корисні функції (мітка диска, значок і т.д. ). Природно, що дана функціональна можливість була реалізована для зручності користувачів. Але вона-то і експлуатується вірусами найчастіше. Для свого автозапуску при підключенні до ПК, а, отже, і поширення, вірус створює (або перезаписує вже існуючий) на флешці файл з ім'ям «autorun.inf», в якому прописується розташування іншого файлу (т.зв. тіла вірусу) з шкідливим кодом, який і повинен бути виконаний. Як уже зрозуміло, вірусу, на додаток до файлу autorun.inf, необхідно записати на флешку своє тіло (програмний код) у вигляді одного або декількох файлів. Причому розширення цих файлів зовсім не обов'язково має бути exe, com, cmd або bat (а, наприклад, vmx). Ось так - вставили флешку, спрацював автозапуск, шкідливий код в пам'яті - комп'ютер заражений. А далі, як то кажуть, за планом.
Про те, як запобігти інфікуванню ПК з флешок за допомогою автозапуску, ми поговоримо нижче. А зараз згадаємо про інших, але не менш ефективні способи, проникнення шкідливого коду на комп'ютер. Одні віруси, наприклад, роблять ваші папки на флешці прихованими і створюють виконувані (.exe) файли з іменами, ідентичними іменами ваших папок. Таким чином у тих користувачів, у яких не відображаються приховані файли і папки, а також розширення для зареєстрованих типів файлів, на флешці видно тільки, створені вірусом, виконувані файли, причому візуально, структура диска начебто і не змінюється. Нічого не підозрюючи користувач клікає на знайому назву своєї папки і запускає вірус. Інші віруси використовують схожий метод, тільки замість виконуваних файлів створюють до папок ярлики, а тіло вірусу ховається, наприклад, в прихованій папці «RECYCLER». Натискаючи на такий ярлик, користувач спочатку запускає на виконання шкідливий код, а потім відкриває вміст своєї папки. Зараження відбувається для користувача непомітно. Ефективним засобом боротьби з вірусами, що маскуються під файли і папки користувача, можна вважати програму "Зірке око" , Яка наявність прихованих папок, файлів і ярликів на флешках, інші маскують ознаки сприймає як загрозу і відправляє їх в карантин. Ця програма не має вірусних баз і не вимагає їх оновлень. Зрозуміло, антивірусні програми також сканують підключену флешку на віруси, але, по-перше, факт наявності ярлика на флешці для них ще не привід для занепокоєння, а, по-друге, «Зоркий очей» прекрасно підійде як безкоштовне доповнення до вашого основного антивірусу в як захист (але не лікування) від вірусів на флешці.
Ще, наприклад, існує такий цікавий комп'ютерний черв'як, як Stuxnet (Rootkit.Win32.Stuxnet), який використовує уразливість нульового дня ОС Windows в lnk-файлах і робить можливим віддалене виконання коду, якщо відображається значок спеціально створеного ярлика (Бюлетень з безпеки (Майкрософт ) MS10-046 - Критичний). Перейдіть на сторінку Бюлетеня з безпеки (Майкрософт) MS10-046, щоб завантажити оновлення безпеки, що виправляє цю вразливість для вашої версії Windows.
Для деяких версій Windows оновлення безпеки можна скачати за наступними лінками:
Для Windows XP з пакетом оновлень 3 (SP3) - WindowsXP-KB2286198-x86-RUS.exe:
З сайту yootoo.ifolder.ru
2,88 Мб З сайту depositfiles.com
2,88 Мб
Для Windows Vista з пакетом оновлень 1 (SP1) і 2 (SP2) - Windows6.0-KB2286198-x86.msu:
З сайту yootoo.ifolder.ru
4,26 Мб З сайту depositfiles.com
4,26 Мб
Windows 7 для 32-розрядних систем - Windows6.1-KB2286198-x86.msu:
З сайту yootoo.ifolder.ru
4,44 Мб З сайту depositfiles.com
4,44 Мб
Для інфікування комп'ютера вірусу Stuxnet не потрібно включеного автозапуску і наявність файлу autorun.inf або запуску будь-якого файлу із зараженою флешки - досить відкрити для перегляду в файловому менеджері (наприклад, Провіднику Windows) зміст зараженої флешки або папки на ній з включеним відображенням значків ( за замовчуванням відображення значків в Windows включено). Але все ж більшість вірусів використовує автозапуск і папку RECYCLER для маскування в ній файлів, що містять тіло вірусу. У зв'язку з цим і приймають обриси наші майбутні заходи щодо захисту флешок від вірусів.
Захист флешки від вірусів. Практика.
Таким чином, проблема захисту флешки від вірусів зводиться до запобігання автозапуску вірусу з флешки і запобігання записи тіла вірусу на флешку. У свою чергу, не допустити виконання шкідливого коду мимовільно можна двома способами: захистити комп'ютер від вірусів на флешці і запобігти запис на флешку коштів автозапуску шкідливого коду.
Радикальними методами захисту флешки є використання флешок з можливістю захисту від запису (write protect) або мініатюрних USB-кардридеров, що використовують SD карти з можливістю захисту від запису. А також моделей пристроїв з аутентифікацією за відбитком пальця (Fingerprint access), оскільки у них вже існує файл autorun.inf, що забезпечує запуск програми аутентифікації, і видалити його стандартними засобами неможливо. Але у цього рішення два очевидні недоліки: необхідно не забувати включати режим захисту від запису і необхідність цей режим, рано чи пізно, вимкнути для того, щоб скопіювати на флеш-накопичувач інформацію, можливо, і з інфікованою машини.
Далі, щоб визначитися з методами, вам необхідно з'ясувати яка файлова система у вашій флешки. Для цього клікніть правою кнопкою миші на значку флешки і в меню «Властивості» на вкладці «Загальні» ви побачите інформацію про файлову систему.
Нижчеописані методи захисту флешки від вірусів необхідно проводити з правами адміністратора.
Методи захисту флешки від вірусів.
1) перешкоджаючи записи вірусами себе в автозапуск.
Метод заснований на заміні файлу autorun.inf однойменної папкою і захистом її з використанням відомої помилки Windows.
Необхідно створити bat-файл (наприклад, з ім'ям flashprotect.bat) або скачати іммунізатори flashprotect.bat
Зміст bat-файлу:
Тут застосований спосіб доступу до файлів, що полягає у використанні локальних UNC-шляхів і стандартних консольних команд, при якому можна створювати файли навіть із забороненими файлової системою іменами.
Даний bat-файл необхідно скопіювати на захищає флешку і запустити (обов'язково! На флешці). В результаті на флеш-накопичувачі буде створена папка з ім'ям «autorun.inf», яку неможливо видалити засобами операційної системи. Внаслідок наявності папки з таким ім'ям вірус не зможе створити аналогічний файл або видалити цю папку (у всякому разі, поки вони цього не вміють).
Підкреслимо, що даний метод захищає тільки від мимовільного виконання шкідливого коду, а не від проникнення вірусу на флешку, і тільки від вірусів, що використовують автозапуск за допомогою autorun.inf. Але і це вже суттєвий бар'єр для проникнення вірусу. Саме тіло вже «беззубого» вірусу можна видалити, просканувавши флешку антивірусною програмою.
Щоб перешкоджати проникненню самого тіла вірусу на флешку, необхідно використовувати переваги файлової системи NTFS. У тому випадку, якщо вам дозволяють обставини, адже не всі пристрої підтримують файлову систему NTFS (див. Документацію до вашого пристрою).
Використання особливостей файлової системи NTFS.
Звертаємо вашу увагу на те, що через особливості файлової системи NTFS, використання її на флеш-накопичувачах веде до їх збільшеному зносу, несумісності їх з різними пристроями і до зниження їх продуктивності. У нас немає даних про те, наскільки змінюються вищевказані показники, тому вам самим доведеться зробити вибір щодо використання NTFS, виходячи зі своїх пріоритетів. Див. Як конвертувати або відформатувати флешку в NTFS .
2) Тотальний метод захисту флешки від вірусів.
Метод заснований на тому, щоб заборонити створення і зміна будь-яких об'єктів на флешці, крім певного користувачем каталогу, за допомогою використання прав користувачів Windows.
Створюємо на флешці папку, наприклад «KEYDATA». У цій папці, і тільки в ній, в подальшому ми будемо зберігати всі наші файли. Потім натискаємо на значку флешки правою кнопкою миші і в контекстному меню вибираємо пункт «Властивості». Переходимо на вкладку «Безпека».
Що робити, якщо вкладка «Безпека» у вас не відображається:
У провіднику Windows вибираємо пункт меню «Сервис → Властивості папки ...», далі переходимо на вкладку «Вид»:
Прибираємо прапорець з пункту «Використовувати простий спільний доступ до файлів (рекомендовано)». В результаті цієї операції вкладка «Безпека» буде відображатися. Повертаємося до вкладки «Безпека» у властивостях флешки.
У списку «Групи та користувачі» знаходимо групу «Все». Якщо такої групи немає, то створюємо її. Для цього натискаємо кнопку «Додати»:
У вікні натискаємо кнопку «Додатково»: Потім кнопку «Пошук»: У списку вибираємо групу «Все» [1] і натискаємо «OK» [2]. У наступному вікні в списку «Введіть імена вибраних об'єктів (приклади):" бачимо, що з'явилася групу «Все» і також натискаємо «OK». Далі в списку «Групи та користувачі» видаляємо послідовно всі групи користувачів [1] за винятком групи «Всі» [2], натискаючи кнопку «Видалити» [3]: Для групи користувачів «Все» залишаємо тільки наступні дозволи: «Список вмісту папки »і« Читання »[1] і натискаємо« ОК »:
Тепер переходимо від налаштувань прав доступу флешки до налаштувань папки KEYDATA, створеної нами раніше. Кількома на значку папки правою кнопкою миші і переходимо до вкладки «Безпека». Для групи користувачів «Все» [1] встановлюємо максимальні дозволу, виставивши прапорець у списку дозволів в пункті «Повний доступ» (в результаті все прапорці в поле «Дозволити» повинні бути встановлені):
Тепер давайте перевіримо, що у нас вийшло. Якщо всі дії були виконані нами правильно, то ми повинні отримати наступні результати. При спробі створення або копіювання будь-якого файлу в кореневу папку диска повинна виникати помилка:
При перейменування папки KEYDATA також повинна виникати помилка:
Навпаки, всередині папки KEYDATA ми повинні мати можливість створювати, видаляти або копіювати туди будь-які об'єкти.
В результаті ми отримуємо флешку, на яку ні ми, ні віруси нічого не зможуть записати, крім як в обрану нами папку KEYDATA. З недоліків даного методу можна вказати те, що меню «Надіслати» провідника Windows працювати не буде і те, що всі свої файли ми змушені будемо зберігати тільки в межах однієї папки на флешці.
Для повної параноїдальності (хоч це і надлишково) ми можемо додати на флешку папку autorun.inf (див. П.1) і на додаток видалити у папки autorun.inf всі дозволи для всіх користувачів методом, зазначеним вище. Тільки додавання папки autorun.inf необхідно виробляти до зміни дозволів для флешки.
3) Створення захищеної папки RECYCLER.
Метод заснований на заміні папки, всередині якої дуже часто віруси маскують своє тіло, на захищений файл з тим же ім'ям.
Створюємо на флешці текстовий документ. Потім змінюємо його ім'я на «RECYCLER» (без розширення). На запит системи про зміну розширення відповідаємо позитивно. Далі присвоюємо файлу атрибут «Тільки читання»:
Далі по правому кліку миші вибираємо «Властивості → Безпека» і видаляємо всі групи користувачів. Якщо при спробі видалення групи користувачів видається повідомлення про помилку, то необхідно видалити успадкування прав користувача від батьківського об'єкта. Для цього натискаємо кнопку «Додатково»:
і, у вікні прибираємо прапорець з пункту «Успадковувати від батьківського об'єкта застосовні до дочірніх об'єктів дозволу, додаючи їх до явно заданих в цьому вікні»: у вікні вибираємо «Видалити»: В результаті отримуємо файл без розширення з ім'ям «RECYCLER», який неможливо видалити засобами Windows.
Як вже говорилося, багато вірусів воліють маскувати свої файли в папці саме з цим ім'ям, тому що прихована папка з ім'ям «RECYCLER» присутній на всіх жорстких дисках ПК і є системною папкою кошика (в ОС Windows 7 аналогічна папка іменуються «$ RECYCLE.BIN», тому, про всяк випадок, можете створити таким же методом і файл з ім'ям «$ RECYCLE.BIN »). Але при видаленні файлів з флешок вони не поміщаються в корзину і така папка не створюється (на відміну від USB жорстких дисків).
До речі, в експерименті проведеному автором, відомий вірус Conficker (Net-Worm.Win32.Kido, Win32.HLLW.Shadow.based, Downadup) не зміг проникнути на флешку, що має захищену папку autorun.inf і захищений файл RECYCLER. Але із задоволенням оселився на незахищеною флешці, використовуючи саме файл autorun.inf і приховану папку RECYCLER, де і був згодом ідентифікований антивірусом Dr.Web як вірус Win32.HLLW.Shadow.based.
Хотілося б звернути вашу увагу на ту обставину, що відображення в провіднику Windows прихованих файлів і папок, а також розширень для зареєстрованих типів файлів, дозволяє неозброєним поглядом виявити ознаки зараження флешки. Корисним могла б стати звичка у користувача, при підключенні будь-якого змінного носія, утримувати клавішу «Shift» для запобігання автозапуску.
Деякі ознаки інфікування флешки вірусом.
Даний перелік не є вичерпним і буде згодом доповнюватися в міру накопичення необхідної інформації.
- Комп'ютер «не віддає» флешку
- Наявність на флешці прихованих файлів і папок (якщо ви, звичайно, самі не зробили їх такими).
- Наявність на флешці ярликів. (Якщо затримати курсор на ярлику, то спливе підказка, в якій буде вказано шлях до запускається файлу).
- Кожна папка на флешці відкривається в новому вікні.
- Наявність на флешці папок з іменами «RECYCLER», «TEMP», «TMP» та інших підозрілих об'єктів. Наприклад, такі папки Temporary files, Common files, Users, $ RECYCLE.BIN, ProgramData, а тим більше файли pagefile.sys, boot.ini і ін. Розташовуються тільки на системному розділі і не можуть розташовуватися на флешці, це явна ознака маскування вірусу. Якщо ви виявите щось подібне на вашій флешці, то негайно проскануйте її антивірусом, а потім видаліть їх з флешки. Будьте уважні, не видалите однойменні системні об'єкти на жорсткому диску Вашого ПК.
- Поряд зі своїми папками, які раптом стали прихованими, ви бачите однойменні ярлики або виконувані файли з розширенням «exe»
- Наявність на флешці тимчасових файлів виду «~ wtr4132.tmp» або інших з розширенням «tmp».
- Наявність в кореневому каталозі флешки файлу «autorun.inf».
Факт наявності цих ознак, сам по собі, ще не обов'язково свідчить про те, що ваша флешка заражена, а тільки вимагає вашого підвищеної уваги і необхідності перевірки флешки надійним антивірусним програмним забезпеченням.
- * -
У міру накопичення необхідної інформації, вимог часу, вдосконалення вірусного і антивірусного програмного забезпечення дана стаття буде оновлюватися і поповнюватися. Якщо у Вас є будь-які зауваження та доповнення, то автор буде радий отримати їх від Вас через форму зворотнього зв'язку на цьому сайті.
І нехай прибуде з Вами сила антивірусного програмного забезпечення, Вашої пильності і здорового скепсису.
З повагою, Ваш Костянтин Макарич.