Як захистити флешку від вірусів

Методи захисту флешки від вірусів.

1) перешкоджаючи записи вірусами себе в автозапуск.

Метод заснований на заміні файлу autorun.inf однойменної папкою і захистом її з використанням відомої помилки Windows.

Необхідно створити bat-файл (наприклад, з ім'ям flashprotect.bat) або скачати іммунізатори flashprotect.bat

Зміст bat-файлу:

Тут застосований спосіб доступу до файлів, що полягає у використанні локальних UNC-шляхів і стандартних консольних команд, при якому можна створювати файли навіть із забороненими файлової системою іменами.

Даний bat-файл необхідно скопіювати на захищає флешку і запустити (обов'язково! На флешці). В результаті на флеш-накопичувачі буде створена папка з ім'ям «autorun.inf», яку неможливо видалити засобами операційної системи. Внаслідок наявності папки з таким ім'ям вірус не зможе створити аналогічний файл або видалити цю папку (у всякому разі, поки вони цього не вміють).

Підкреслимо, що даний метод захищає тільки від мимовільного виконання шкідливого коду, а не від проникнення вірусу на флешку, і тільки від вірусів, що використовують автозапуск за допомогою autorun.inf. Але і це вже суттєвий бар'єр для проникнення вірусу. Саме тіло вже «беззубого» вірусу можна видалити, просканувавши флешку антивірусною програмою.

Щоб перешкоджати проникненню самого тіла вірусу на флешку, необхідно використовувати переваги файлової системи NTFS. У тому випадку, якщо вам дозволяють обставини, адже не всі пристрої підтримують файлову систему NTFS (див. Документацію до вашого пристрою).

Використання особливостей файлової системи NTFS.

Звертаємо вашу увагу на те, що через особливості файлової системи NTFS, використання її на флеш-накопичувачах веде до їх збільшеному зносу, несумісності їх з різними пристроями і до зниження їх продуктивності. У нас немає даних про те, наскільки змінюються вищевказані показники, тому вам самим доведеться зробити вибір щодо використання NTFS, виходячи зі своїх пріоритетів. Див. Як конвертувати або відформатувати флешку в NTFS .

2) Тотальний метод захисту флешки від вірусів.

Метод заснований на тому, щоб заборонити створення і зміна будь-яких об'єктів на флешці, крім певного користувачем каталогу, за допомогою використання прав користувачів Windows.

Створюємо на флешці папку, наприклад «KEYDATA». У цій папці, і тільки в ній, в подальшому ми будемо зберігати всі наші файли. Потім натискаємо на значку флешки правою кнопкою миші і в контекстному меню вибираємо пункт «Властивості». Переходимо на вкладку «Безпека».

Що робити, якщо вкладка «Безпека» у вас не відображається:

У провіднику Windows вибираємо пункт меню «Сервис → Властивості папки ...», далі переходимо на вкладку «Вид»:

Прибираємо прапорець з пункту «Використовувати простий спільний доступ до файлів (рекомендовано)». В результаті цієї операції вкладка «Безпека» буде відображатися. Повертаємося до вкладки «Безпека» у властивостях флешки.

У списку «Групи та користувачі» знаходимо групу «Все». Якщо такої групи немає, то створюємо її. Для цього натискаємо кнопку «Додати»:

У вікні натискаємо кнопку «Додатково»: Потім кнопку «Пошук»: У списку вибираємо групу «Все» [1] і натискаємо «OK» [2]. У наступному вікні в списку «Введіть імена вибраних об'єктів (приклади):" бачимо, що з'явилася групу «Все» і також натискаємо «OK». Далі в списку «Групи та користувачі» видаляємо послідовно всі групи користувачів [1] за винятком групи «Всі» [2], натискаючи кнопку «Видалити» [3]: Для групи користувачів «Все» залишаємо тільки наступні дозволи: «Список вмісту папки »і« Читання »[1] і натискаємо« ОК »:

Тепер переходимо від налаштувань прав доступу флешки до налаштувань папки KEYDATA, створеної нами раніше. Кількома на значку папки правою кнопкою миші і переходимо до вкладки «Безпека». Для групи користувачів «Все» [1] встановлюємо максимальні дозволу, виставивши прапорець у списку дозволів в пункті «Повний доступ» (в результаті все прапорці в поле «Дозволити» повинні бути встановлені):

Тепер давайте перевіримо, що у нас вийшло. Якщо всі дії були виконані нами правильно, то ми повинні отримати наступні результати. При спробі створення або копіювання будь-якого файлу в кореневу папку диска повинна виникати помилка:

При перейменування папки KEYDATA також повинна виникати помилка:

Навпаки, всередині папки KEYDATA ми повинні мати можливість створювати, видаляти або копіювати туди будь-які об'єкти.

В результаті ми отримуємо флешку, на яку ні ми, ні віруси нічого не зможуть записати, крім як в обрану нами папку KEYDATA. З недоліків даного методу можна вказати те, що меню «Надіслати» провідника Windows працювати не буде і те, що всі свої файли ми змушені будемо зберігати тільки в межах однієї папки на флешці.

Для повної параноїдальності (хоч це і надлишково) ми можемо додати на флешку папку autorun.inf (див. П.1) і на додаток видалити у папки autorun.inf всі дозволи для всіх користувачів методом, зазначеним вище. Тільки додавання папки autorun.inf необхідно виробляти до зміни дозволів для флешки.

3) Створення захищеної папки RECYCLER.

Метод заснований на заміні папки, всередині якої дуже часто віруси маскують своє тіло, на захищений файл з тим же ім'ям.

Створюємо на флешці текстовий документ. Потім змінюємо його ім'я на «RECYCLER» (без розширення). На запит системи про зміну розширення відповідаємо позитивно. Далі присвоюємо файлу атрибут «Тільки читання»:

Далі по правому кліку миші вибираємо «Властивості → Безпека» і видаляємо всі групи користувачів. Якщо при спробі видалення групи користувачів видається повідомлення про помилку, то необхідно видалити успадкування прав користувача від батьківського об'єкта. Для цього натискаємо кнопку «Додатково»:

і, у вікні прибираємо прапорець з пункту «Успадковувати від батьківського об'єкта застосовні до дочірніх об'єктів дозволу, додаючи їх до явно заданих в цьому вікні»: у вікні вибираємо «Видалити»: В результаті отримуємо файл без розширення з ім'ям «RECYCLER», який неможливо видалити засобами Windows.

Як вже говорилося, багато вірусів воліють маскувати свої файли в папці саме з цим ім'ям, тому що прихована папка з ім'ям «RECYCLER» присутній на всіх жорстких дисках ПК і є системною папкою кошика (в ОС Windows 7 аналогічна папка іменуються «$ RECYCLE.BIN», тому, про всяк випадок, можете створити таким же методом і файл з ім'ям «$ RECYCLE.BIN »). Але при видаленні файлів з флешок вони не поміщаються в корзину і така папка не створюється (на відміну від USB жорстких дисків).

До речі, в експерименті проведеному автором, відомий вірус Conficker (Net-Worm.Win32.Kido, Win32.HLLW.Shadow.based, Downadup) не зміг проникнути на флешку, що має захищену папку autorun.inf і захищений файл RECYCLER. Але із задоволенням оселився на незахищеною флешці, використовуючи саме файл autorun.inf і приховану папку RECYCLER, де і був згодом ідентифікований антивірусом Dr.Web як вірус Win32.HLLW.Shadow.based.

Хотілося б звернути вашу увагу на ту обставину, що відображення в провіднику Windows прихованих файлів і папок, а також розширень для зареєстрованих типів файлів, дозволяє неозброєним поглядом виявити ознаки зараження флешки. Корисним могла б стати звичка у користувача, при підключенні будь-якого змінного носія, утримувати клавішу «Shift» для запобігання автозапуску.

Деякі ознаки інфікування флешки вірусом.

Даний перелік не є вичерпним і буде згодом доповнюватися в міру накопичення необхідної інформації.

1. Комп'ютер «не віддає» флешку
2. Наявність на флешці прихованих файлів і папок (якщо ви, звичайно, самі не зробили їх такими).
3. Наявність на флешці ярликів. (Якщо затримати курсор на ярлику, то спливе підказка, в якій буде вказано шлях до запускається файлу).
4. Кожна папка на флешці відкривається в новому вікні.
5. Наявність на флешці папок з іменами «RECYCLER», «TEMP», «TMP» та інших підозрілих об'єктів. Наприклад, такі папки Temporary files, Common files, Users, $ RECYCLE.BIN, ProgramData, а тим більше файли pagefile.sys, boot.ini і ін. Розташовуються тільки на системному розділі і не можуть розташовуватися на флешці, це явна ознака маскування вірусу. Якщо ви виявите щось подібне на вашій флешці, то негайно проскануйте її антивірусом, а потім видаліть їх з флешки. Будьте уважні, не видалите однойменні системні об'єкти на жорсткому диску Вашого ПК.
6. Поряд зі своїми папками, які раптом стали прихованими, ви бачите однойменні ярлики або виконувані файли з розширенням «exe»
7. Наявність на флешці тимчасових файлів виду «~ wtr4132.tmp» або інших з розширенням «tmp».
8. Наявність в кореневому каталозі флешки файлу «autorun.inf».

Факт наявності цих ознак, сам по собі, ще не обов'язково свідчить про те, що ваша флешка заражена, а тільки вимагає вашого підвищеної уваги і необхідності перевірки флешки надійним антивірусним програмним забезпеченням.

- * -

У міру накопичення необхідної інформації, вимог часу, вдосконалення вірусного і антивірусного програмного забезпечення дана стаття буде оновлюватися і поповнюватися. Якщо у Вас є будь-які зауваження та доповнення, то автор буде радий отримати їх від Вас через форму зворотнього зв'язку на цьому сайті.

І нехай прибуде з Вами сила антивірусного програмного забезпечення, Вашої пильності і здорового скепсису.

З повагою, Ваш Костянтин Макарич.