» USB Anti Autorun

Новая версия USB AntiAutorun от AxeL
на Slil.ru USB Anti AutoRun
на freesoft.ru:
подмена файла autorun.inf на свой (или его убийство) дабы не запустился вирь, в момент подсоединения флэхи

Полное описание на http://askett.hoter.ru/file/1568_Общие/4676_USB_Anti_Autorun.7z

Если есть необходимость выключить (Остановить) скрипт, нужно выключить процесс ''wscript.exe'', через который и запускается этот скрипт.

Обсуждалось на форуме, возможно, в теме по USB Disk Security
Цитата:

В корень флешки кидаем:
- пустую папку autorun.inf
- пустой файл RECYCLER без расширения
- пустой файл RESTORE без расширения

Без коррекции строк, доходчиво, просто и надежно.

shadow_member
Это упоминалось в теме по KIS, но не обсуждалось...
Да, это спасет от НЕКОТОРЫХ, авторанов, но не от всех. Сейчас автораны умеют переименовывать/удалять папки autorun.inf и файлы Recycler/Recycled...
Остается один вопрос: в чем НАДЕЖНОСТЬ данного способа?

el_verdugoТам, где вы показали- это не то место. Почитайте
http://forum.ru-board.com/topic.cgi?forum=35&topic=40569&start=40
http://forum.ru-board.com/topic.cgi?forum=55&topic=7965&start=20#14
Полезная информация, как раз по теме авторанов.
Пока успешно применяю те пустые папки\файлы + откл. в реестре + USB Disk Security
на десятке флешек и нескольких машинах. Свои флешки ни разу не заразились, с чужих с завидной регулярностью зверье фиксируется.
Антивирус, естественно, тоже стоит.

Цитата:

В корень флешки кидаем:
- пустую папку autorun.inf
- пустой файл RECYCLER без расширения
- пустой файл RESTORE без расширения

Да, этот способ и мне помогает, по работе много кочую с компьютера на компьютер.

Asket1982
Неужели вы думаете, что этот скриптик у вас будут за СМС-ки скачивать, если есть альтернатива бесплатная, и ИМХО более эффективная (здесь можно почитать):

AutoSTOP - для защиты от autorun-вирусов
http://mechanicuss.livejournal.com/195192.html

Загрузить AutoSTOP 2.4 (прямая ссылка)
http://www.geocities.com/serhiy.geo/autostop/autostop.2.4.zip

Пользуюсь им с первой версии, на все флэшки, которые ко мне попадают ставлю. Все довольны!

Labean_Hesv
А где вы увидели/прочитали, что скрипт скачивается за смски и/или что он платный?

Последняя версия AutoStop, насколько мне известно, 3.0...
Чтобы, узнать, появился ли вирус на флешке, защищенной AutoStop'ом, нужно зайти на флешку, а значит вирус запустится...
Более эффективная защита будет, если их скомбинировать (usb_anti_autorun и autostop)

PS обратите внмание на первую строчку первого поста...
PPS данная тема, скорее всего носит информационный характер в связи с появлением вопросов по сабжу - вирус это или нет...

Этот скрипт абсолютно бесплатен. Смотрите первый пост. Ссылки на "Slil.ru" и на "freesoft.ru".
Если есть вопросы по скрипту -> пишите мне или el_verdugo в ПМ или в комментариях на USB Anti AutoRun - описание
PS: Или здесь.



Добавлено:
Для того чтобы удалить скрипт нужно:
1 - Остановить его.
2 - Очистить ветку реестра "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover".
3 - Удалить папку "%ProgramFiles%\usb_anti_autorun".

Если где-то ошибся, прошу el_verdugo меня поправить.

Все правильно. Метод остановки - убить процесс wscript.exe.
Несколько строк скрипта, которые убивают конкретно USB_Anti_Autorun. Все, что нужно сделать - сохранить код в "имя файла.vbs" и запустить его.

Код:     Set oWmi = GetObject("WinMgmts:{impersonationLevel=impersonate}!//./root/cimv2")
    Set oSelQ = oWmi.ExecQuery("SELECT * FROM Win32_Process")

    For Each oItem In oSelQ
        If LCase(RTrim(oItem.CommandLine)) = LCase(Chr(34) & Root & "\System32\wscript.exe" & Chr(34) & " " & Chr(34) & InstDir & "\usb.wsf" & Chr(34) & " //Job:Work") _
        Then oItem.Terminate
    Next

Коллега ManHunter предлагает своё решение-http://www.manhunter.ru/releases/192_flash_drive_protector_1_0.html

Ммм..а не проще просто поставить антивирус?

Skipper
Время от времени попадаются "больные" флешки, на которые имеющийся антивирус до поры до времени не реагирует.

Привет. А вот что ж сделать, у меня в сети USB Anti Autorun появился сравнительно недавно, на компах подключены сетевые диски сервера, стоит ХР - все работает нормально, настраиваю вот Висту Ноум на ноуте, доступ к серву дал, все ок, вот только возникает при двойном клике на сетевом диске сообщение "Не удается найти файл сценария"I:\usb.wsf". В ХР такого нет. Понимаю, что при открытии срабатывает авторан, созданный утилитой на подключенном диске, и не находит его на компе с вистой. Как от такого избавиться?

Или убить его на сервере, или обновить до версии 1.2...

На серве самой этой утилиты не стоит, просто утилка, стоящая на компах, создает файлы autorun и usb.wsf на подключенных сетевых дисках, то есть убиваю эти файлы, клиенты лезут на сетевые диски и утилка опять там создает свое файло. Короче, или нужно автоматом рубить эти файлы на сетевых дисках серва, или чистить отовсюду эту утилку на компах, но толку ноль, флэху воткнут и снова она на компе... чо делать то?

DNK0382
Вариантов несколько:
1. Рубить на серваке ее по хешу... хотя до конца не уверен сработает ли, т.к. сам по хешу только запуск прог рубил...
2. Если антивирь стоит, то определить вручную ее ка вирь - чтобы рубил при попытке записи...
3. В добровольно-принудительном порядке обновить до версии 1.2, после можно почистить сетевые диски (в версии 1.2 определяются только флешки и жесткие диски, подключаемые как переносные)...
4. В доменной политике запретить запуск по хешу на клиентах или запретить запуск с флешек авторанов (один знакомый именно так и сделал после того, как появился usb_anti_autorun в сети)
5. Если не ломит копаться со скриптом и WMI, то его можно видоизменить, чтобы он выполнял несколько иную задачу - следил за определенной директорией и убивал в случае чего ненужные файлики...

создаем хх.bat с таким содержанием

md %1:\AUTORUN.INF
echo.>"\\?\%1:\AUTORUN.INF\.."
attrib +s +h %1:\AUTORUN.INF

md %1:\RESTORE
echo.>"\\?\%1:\RESTORE\.."
attrib +s +h %1:\RESTORE

md %1:\RECYCLER
echo.>"\\?\%1:\RECYCLER\.."
attrib +s +h %1:\RECYCLER

Запускаем xx. bat f (имя диска без слеша и последующего двоеточия)

Я перечислил методы защиты флешки вот тут - Вакцинация флешки. Постарался все по полочкам разложить

Цитата:

Я перечислил методы защиты флешки вот тут - Вакцинация флешки. Постарался все по полочкам разложить

Имхо статья написана не самым грамотным образом... Она написана скорее для новичков, и практически ничего в статье не сделано, чтобы поднять их на ранг выше. Поверхностная информация.

Цитата:

вирусы маскируются под важные процессы: services.exe, lsass.exe и т. п

да, чаще под svchost.exe. Здесь стоило сказать КАК они маскируются. А именно методом замены латинских букв на кириллицу. svchost и svсhоst на вид одинаковы(заменены буквы c и o). Методом изменения пути запуска, то есть вместо %systemroot%\system32 происходит запуск из папки %Temp% или еще откуда нибудь... Кстати, файлов svchost должно быть 5 (если пользователь не настраивал службы под свои потребности).
Самый удобный инструмент в данном случае WMIC(В XP Home отсутствует). Пуск-Выполнить-WMIC. набираем process get caption, commandline ENTER и перед нами список всех процессов в порядке их запуска вместе с путями...

Цитата:

Наверное, первым в списке программ было бы логично указать какой-нибудь популярный и эффективный антивирус, например, NOD32

Тестировал несколько антивирей на небольшой базе вирей - ~38000(в их числе было несколько программ-шуток) шт. Нод32 2.х и 3.х версии ~22300 и ~24500 вирей всего нашли. Поэтому об его эффективности говорить просто смешно. Касперский (версии 6 и 7) нашел больше 38000 - параноик, рекомендуется для новичков и тех, кто не хочет иметь вирей у себя. McAfee 8.5 нашел ~37200 - можно порекомендовать тем, кто умеет "на глаз" выявлять вири и убивать их...
В качестве мобильной тяжелой артиллерии стоило упомянуть avz...

Цитата:

Сейчас это редкость, но на некоторых flash-устройствах производители помещают кнопку защиты от записи файлов. Если вы копируете информацию с флешки на компьютер (а не наоборот), было бы не лишним переключиться в данный режим.

Только в том случае, если информация передается кому-то и флешка еще не заражена. Если у себя дома/на работе - то данная фишка бесполезна

Цитата:

Если зажать Shift на 10 секунд при подключении съемного носителя, автозапуск не сработает, даже если данная функция на компьютере активирована.

Иной раз при зажатии клавиши Shift более 5 секунд успеет включиться фильтрация, заблокировав "блокировку автозапуска".

Цитата:

Используйте при работе Total Сommander или другие файловые менеджеры.

На крайний случай пойдет и командная строка DIR буква диска: /a:h ENTER покажет все скрытые файлы на определенном диске

Цитата:

По возможности, никому не давайте свой флеш-брелок в личное пользование. Тем самым вы обезопасите себя от autorun-вирусов.

Могут и со своим прийти с вагоном вирей

Цитата:

У Panda USB Vaccine есть один недостаток: программа работает только с устройствами, отформатированными в файловой системе FAT и FAT32

Уже работает с NTFS...

Спасибо, что так внимательно прошлись по статье. Все верно подмечено.

Новые скрипты:
MiniAntiAutorun:
В меню диска появляется строка "Установить Anti AutoRun защиту". Удаляет файл autorun.inf, создает одноименный файл, также удаляет папки Recycler и Recycled, создавая при этом одноименные файлы
Usb_Anti_Autorun_v_2:
Делает то же, что и MiniAntiAutorun, только автоматически при подключении флешки

пароль на оба архива здесь#:

Цитата:

MiniAntiAutorun:
В меню диска появляется строка "Установить Anti AutoRun защиту". Удаляет файл autorun.inf, создает одноименный файл, также удаляет папки Recycler и Recycled, создавая при этом одноименные файлы

el_verdugo
Это не срабатывает, файлы Recycler и Recycled удаляются вирусом и создаются файлы "папка".ехе размер 1,44 МВ
Комп был загажен кучей вирей. AVZ + Cureit + KIS Resue disk + Live USB для чистки следов.
Может быть удалил не все.

Добавлено:
Есть ли возможность как-нибудь защитить загрузочную флешку (Live-USB) от вирей?
В частности от разряда autorun'ов.

Asket1982
А что происходит в этот момент с папкой autorun.inf? Создание папок Recycler и Recycled - это небольшой довесок к скрипту, который может убить вири, которые любят располагаться в данных папках...
PS При особом желании можно выводить список "подозрительных" файлов при подключении флешки (считая подозрительными скрытые файлы, только как поступить со скрытыми папками в таком случае?)...

Папка autorun.inf также была удалена. Запуск вируса был прописан в одноимненном файле.
Вопрос по Live-USB остается открытым.

Добавлено:
Заполнить флешку до полного отсутствия свободного места не предлагать. Иногда нужно свободное места для работы.

Добавлено:
На флешке стоит Win XP sp3

Asket1982

Цитата:

Папка autorun.inf также была удалена

1 В какой момент была удалена папка autorun.inf и был ли установлен usb2.wsf???
2 Для этого существует файл maa.wsf...
Если вирус успевает(?) переписать автоматически созданные папки/файлы, просто делаешь клик правой кнопкой мыши и выбираешь "Установить Anti AutoRun защиту". Вряд ли вирус следит за КАЖДЫМ изменением файла autorun.inf, скорее всего только за появлением флешки, как и usb_anti_autorun'ы.

Цитата:

Есть ли возможность как-нибудь защитить загрузочную флешку (Live-USB) от вирей?

Есть вариант
Большинство производителей флешек предлагают всевозможные "Security" утилиты...
Суть таких утилит форматирование флешки специальным образом с разбиванием по разделам
1-й раздел - общий
2-й раздел - закрытый паролем, для доступа используется утилита
После форматирования в общем разделе появляется утилита, которую надо установить на компьютере, с которого необходимо получить доступ к скрытому разделу...

Как второй вариант - поискать утилиту/написать самому, которая сможет создать контейнер на все свободное пространство и при этом не будет требовать установки...

Как третий вариант
написать скрипт (который будешь запускать с флешки), который будет высчитывать свободное место на флешке и создавать пустой файл заданного размера
fsutil file createnew "путь к файлу" "размер файла в байтах"
fsutil работает Только с правами Админа

Накидал скрипт, который создает файл "AvaiLableSpace.container" на все свободное место... Чем больше объем флешки (и медленнее система, где запускается скрипт) тем дольше будет создаваться файл...
Скрипт должен запускаться с флешки.

Код: Option Explicit

Dim fso, Drive, Free, Path
Dim sh

On Error Resume Next

Set fso = WScript.CreateObject("Scripting.FileSystemObject")
Path = Left(WScript.ScriptFullName, 3) & "AvaiLableSpace.container"

If WScript.Arguments.Count > 0 Then
    If fso.FileExists(Path) Then fso.DeleteFile Path, True
    WScript.Quit
End If

Set Drive = fso.GetDrive(Left(WScript.ScriptFullName, 2))


Free = Drive.AvaiLableSpace

If fso.FileExists(Path) Then fso.DeleteFile Path, True

Set sh = WScript.CreateObject("WScript.Shell")

sh.Exec "fsutil file createnew " & Path & " " & Free

Set Exec = Nothing
Set sh = Nothing
Set fso = Nothing

Здравствуйте! Порылся по форумах с целью обезопасить себя от всякой автозагрузочной дряни и составил для себя такой алгоритм действий:

1) вырубить через групповую политику автозапуск на всех дисководах

2) внести изменения в реестр

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection]
"Start"=dword:00000004

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
"HonorAutoRunSetting"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

3) Запустить с корня флэшки хитрый скрипт
(лежит тут http://angel2s2.blogspot.com/2009/01/20.html)

У меня вопрос к знающим людям: я во втором пункте (реестр) ничего лишнего не написал? Или наоборот, может чем посоветуете дополнить?

После отключения этого

Цитата:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

или этого (точно не помню)

Цитата:

"NoDriveAutoRun"=dword:000000ff

параметра может случиться прикол: вставил диск - просмотрел, вставил следующий - ПЕРЕЗАГРУЗИЛСЯ, и только после этого можно будет просмотреть содержимое... т.е. систему переклинивает на первом прочитанном диске и следующие она НЕ дает просмотреть...
На счет запуска "хитрого" скрипта:
ИМХО в данном скрипте слишком много мусора.
1. Эпицентр распространения вирусов - файл AUTORUN.INF, создание вместо него папки достаточно для блокирования распространения СТАРЫХ вирусов.
2. Такая папка "на ура" сносится скриптом из 3(ТРЕХ) строк (создание объекта, удаление папки, уничтожение объекта), и новые вирусы это уже демонстрируют
3. Защита должна быть комплексной. Наличие какого - нибудь антивиря обязательна...

SLKuL

Цитата:

3) Запустить с корня флэшки хитрый скрипт
(лежит тут http://angel2s2.blogspot.com/2009/01/20.html)

Что за хитрый скрипт? хотелось бы посмотреть. Ссылка ведет на несуществующую страницу.

el_verdugo
Спасибо, будем пробовать.

Цитата:

Цитата:3) Запустить с корня флэшки хитрый скрипт
(лежит тут http://angel2s2.blogspot.com/2009/01/20.html)


Что за хитрый скрипт? хотелось бы посмотреть. Ссылка ведет на несуществующую страницу.

Из ссылки убери ")" и будет существующая страница...
Принцип скрипта - создание дополнительных папок/файлов для защиты от КОНКРЕТНЫХ вирусов.