» Защита флэшки от вирусов

Ksanderash


Цитата:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

Отключение MCN - это очень плохая идея.

А это моя ложечка
http://symbian.net.ua/2009/08/04/zashhita-fljeshki-ot-virusov.html#dfd

Ребята помогите по такому вопросу на моей флешке все время виден авторан но мой нод не видит вирусов а на других компах на флешке видны вирусы на другом компе форматирую вставляю к себе ничего потом снова на другой комп и все по новой проверил всю систему ничего не нашел выходит надо переустановить ос а где тогда форм флешку если в чистой ос она ее не заразит автоматом? И как избавиться от авторана раньше его у меня не было! Помогите пожалуйста! И вообще вирусы можно убить на флешке форматом из чистой системы?

jacknew88

Цитата:

мой нод не видит вирусов

сменить или настроить

Цитата:

как избавиться от авторана

отключить автозапуск

jacknew88

Цитата:

мой нод не видит вирусов

А антивирусеая защита включена? А базы обновлены?


Цитата:

И вообще вирусы можно убить на флешке форматом из чистой системы?

Вирусы на флешке можно убить, удалением autorun.inf и файла на который он ссылается.

помогите решить проблему!
У меня флэшка Transcend 1Gb JF V60
определил
Name: Mass Storage Device (USB2.0)

Logic Driver: I:\

VID&PID: Vid_058f&Pid_9380
Speed: high speed

VendorID: Generic
ProductID: USB Flash Disk
Product Revision: 7.76

Vendor Description: Alcor Micro
Product Description: Mass Storage Device
Serial Number:     

найти к ней утилиту не могу!!!!!

Туда http://forum.ru-board.com/topic.cgi?forum=84&bm=1&topic=2595&glp

Anti_Autorun

http://rapidshare.com/files/141551921/Anti_Autorun.zip

Black_Dandy

У меня с рапидой проблем.

В архиве reg фаил?

NskRonin
Экзешник.

Цитата:

Защищаем Windows от Conficker и прочей заразы. Скачайте исправления для Autorun и AutoPlay

Для предотвращения распостранения всего семейства вирусов Win32/Autorun мы выпустили исправления AutoPlay для Windows 7. Также были выпущены исправления для следующих систем:

Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Скачать исправления для Autorun можно вот тут http://support.microsoft.com/kb/971029

http://blogs.technet.com/abeshkov/archive/2009/09/20/3282154.aspx

Всем, кому нервная система не позволяет верить в рекомендации M$:


Цитата:

Ariad v0.0.0.2
http://blog.didierstevens.com/programs/ariad/
Описание:
When you try to access autorun.inf on USB sticks, you’ll get an access denied error. Hence the name Ariad (AutoRun.Inf Access Denied)

PS: И не такая потенциально ожидаемая для вирусописателей, как Panda.

d0r0fey 21:14 20-09-2009
Цитата:

Защищаем Windows от Conficker и прочей

Там, по ссылке - англ. версия.
А тут - русская
WindowsXP-KB971029-x86-RUS.exe
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=96ca61f6-8b16-4157-9635-8cfc0bbf4c35

Написал обзор программ Flash Drive Protector и Autorun Virus Remover , ссылки на которые были присланы мне читателями моего ЖЖ - http://mechanicuss.livejournal.com/239681.html

Добавлено:

Цитата:

Ariad v0.0.0.2
PS: И не такая потенциально ожидаемая для вирусописателей, как Panda.

Потестировал Ariad - сыроват еще (несколько раз систему в синий экран вываливал), но идея действительно очень интересна!

Цитата:

И совет на последок:
Если вы имеете свою флэшку, сделайте на нем иконку, прописав ее в AutoRun.inf:

[autorun]
icon=master.ico

Файл AutoRun.inf скопируйте на флэшку еще раз, в качестве резервной копии. Всем этим файлом поставьте атрибут "скрытый". И теперь вы всегда будете знать, что ваша флэшка заражена вирусом, если при включении иконка флэшки не отобразится.

Цитата:

Сообщаю что метод

[autorun]
icon=master.ico

не сработал - сегодня специально нашел зараженный комп и проверил на нем. Т.е. вначале конечно своя иконка отображается, но после того как вирус стирает мой autorun.inf и записывает вместо него свой, в проводнике продолжает отображаться моя иконка, даже после того как нажмешь F5.

Скажу пару слов в защиту этого метода. Да, действительно иконка будет продолжать отображаться и после перезаписи авторана, но давайте подумаем: нас ведь интересует вовсе не то, _заражен ли_ компьютер, а то, _заразит ли_ флешка компьютер.
То есть, рассмотрим все варианты:
здоровую флешку в здоровый комп - иконка отображается
здоровую флешку в больной комп - иконка отображается, флешка заражается
больную флешку в любой комп (напр. здоровый) - иконка не отображается, заражение предотвращено на корню.

DySprozin

Цитата:

Если вы имеете свою флэшку, сделайте на нем иконку, прописав ее в AutoRun.inf:
[autorun]
icon=master.ico

Цитата:

Скажу пару слов в защиту этого метода.

Этот метод не стоит защищать - он безперспективный и небезопасный.
Это был один из первых методов для защиты флешки, до которого я додумался самостоятельно еще пару лет тому назад, и от которого отказался на первый же день тестирования на зараженном компьютере.

А дело в следующем: некоторые вирусы, найдя на флешке пользовательский файл autorun.inf, не затирают его, заменяя полностью своим, а поступают хитрее: оставляют безобидное


Код: icon=master.ico

Serhiy123
статистика - вещь упрямая (; о чем это я? а о том, что вирусы, которые действуют по твоему методу встречаются крайне редко (лично мне _ни разу_ такой не попадался).

Твой метод действительно идеален(?), но лишь в том случае, если ты со своей флешкой не расстаешься. Однако, рассмотрим другой случай: если ты часто даешь ее кому-то. Объяснить, что надо посмотреть на иконку папки ты (в большинстве случаев) не можешь (по понятным причинам - юзеры).

И вот тут и всплывает недостаток твоего метода: узнать о вирусном заражении можно только постфактум заражения _твоего_ компьютера (когда ты увидишь покореженную папку, комп уже будет при зверинце).

Достоинство метода

Цитата:

Если вы имеете свою флэшку, сделайте на нем иконку, прописав ее в AutoRun.inf:
[autorun]
icon=master.ico

состоит в том, что появляется возможность определить о вирусе _до_ заражения компьютера.

Цитата:

Объяснить, что надо посмотреть на иконку папки ты (в большинстве случаев) не можешь (по понятным причинам - юзеры).

Зачем её смотреть, если ниодин вирус не может удалить эту папку.

Цитата:

Достоинство метода

Все достоинства этого метода перечеркиваются одним недостатком - файл перезапишет любой вирус.

DySprozin

Цитата:

статистика - вещь упрямая

Ложь бывает 4-х видов: обыкновенная, грубая, статистика и цитировние.


Цитата:

вирусы, которые действуют по твоему методу встречаются крайне редко

Имхо, не имеет смысла писать защиту от некоторых вирусов.


Цитата:

лично мне _ни разу_ такой не попадался

А вы работаете в крупной вирусной лаборатории?


Цитата:

Твой метод действительно идеален(?), но лишь в том случае, если ты со своей флешкой не расстаешься.

Во первых - идеала вообще нет. Во вторых - давайте все же на вы.


Цитата:

Однако, рассмотрим другой случай: если ты часто даешь ее кому-то. Объяснить, что надо посмотреть на иконку папки ты (в большинстве случаев) не можешь (по понятным причинам - юзеры)

В этом случае лучше защитить флешку с помощью Panda USB and AutoRun Vaccine или
методом изменения прав в NTFS.


Цитата:

И вот тут и всплывает недостаток твоего метода: узнать о вирусном заражении можно только постфактум заражения _твоего_ компьютера (когда ты увидишь покореженную папку, комп уже будет при зверинце).

Нет. При умном подходе узнать о заражении флешки можно еще до извлечения ее из зараженного компьютера. Более того - у меня на компьютере отключен автозапуск, что и вам советую сделать.


Цитата:

Достоинство метода
Если вы имеете свою флэшку, сделайте на нем иконку, прописав ее в AutoRun.inf:
[autorun]
icon=master.ico
состоит в том, что появляется возможность определить о вирусе _до_ заражения компьютера.

Нет и еще раз нет. И вы сами это поймете, если немного подумаете.


Цитата:

больную флешку в любой комп (напр. здоровый) - иконка не отображается, заражение предотвращено на корню.

Воздержусь от комментариев.

Цитата:

Во вторых - давайте все же на вы.

оу, простите (;


Цитата:

Ложь бывает 4-х видов: обыкновенная, грубая, статистика и цитировние.

Хорошая _цитата_


Цитата:

Имхо, не имеет смысла писать защиту от некоторых вирусов.

Защиты от _всех_ вирусов не существует


Цитата:

А вы работаете в крупной вирусной лаборатории?

нет(;


Цитата:

Во первых - идеала вообще нет.

опять цитирование (;


Цитата:

Нет. При умном подходе узнать о заражении флешки можно еще до извлечения ее из зараженного компьютера.

_Вы_ меня не слушаете: предполагается _ваше_ отсутствие на момент извлечения флешки из компьютера.


Цитата:

Нет и еще раз нет. И вы сами это поймете, если немного подумаете.

_Вы_ о чем? (; А то пока для убедительности к 2-м "нет" не достает только 3-х восклицательных знаков (;


Цитата:

Воздержусь от комментариев.

_Ваше_ право (; Впрочем, у меня нет желания продолжать перепалку. На достоинство метода я указал, здравой критики _достоинства_ (а не самого метода) я не получил (;

DySprozin


Цитата:

Защиты от _всех_ вирусов не существует

В данном контексте речь идет о защите от известных вирусов. Поскольку, как я говорил выше, некоторые из них умеют дописывать в файл autorun.inf запуск своего лоадера, оставляя icon=master.ico, то следует предусмотреть защиту и от них - ведь это вполне реально.


Цитата:

На достоинство метода я указал, здравой критики _достоинства_ (а не самого метода) я не получил (;

Это не достоинство - это ущербность метода.

Подумайте сами (рассматриваем случай, когда автозапуск на компьютере включен):

Цитата:

больную флешку в любой комп (напр. здоровый) - иконка не отображается, заражение предотвращено на корню

1. Если autorun.inf перезаписан вирусом полностью - иконка не отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.
2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.

Цитата:

1. Если autorun.inf перезаписан вирусом полностью - иконка не отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.

При автозапуске предлагается выбор действий (открыть, воспроизвести и т.д.) и пока выбор не сделан, авторан не может причинить никакого вреда, даже ваш же пример:


Цитата:

[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

Зато видна иконка (или ее не видно - в случае заражения). Кстати, Ваш авторан сработает даже при отключенном автозапуске, проверьте (;


Цитата:

2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.

да, и это большая опасность. В данном случае опасность в том, что, не заглянув в авторан, владелец флешки находится в неведении. Как понимаю, именно это вы и подразумеваете под "ущербностью". Что ж, в этом есть своя логика, спорить не буду, нет смысла...

DySprozin

Цитата:

При автозапуске предлагается выбор действий (открыть, воспроизвести и т.д.)

Если быть последовательным, то по вашим словам - "(по понятным причинам - юзеры)" - пользователь вполне способен сделать наиболее опасный выбор, не глядя ни на наличие иконки, ни на ее отсутствие.


Цитата:

и пока выбор не сделан, авторан не может причинить никакого вреда, даже ваш же пример
...
Кстати, Ваш авторан сработает даже при отключенном автозапуске, проверьте (;

Вы уж определитесь - сработает этот авторан или не стаботает, а потом рассуждайте - а то сами себе противоречите. У меня автозапуск выключен надежно - даже этот авторан не срабатывает.


Цитата:

2. Если autorun.inf перезаписан вирусом частично - иконка отображается, autorun.inf срабатывает, запускает лоадер вируса - компьютер заражен.

да, и это большая опасность. В данном случае опасность в том, что, не заглянув в авторан, владелец флешки находится в неведении. Как понимаю, именно это вы и подразумеваете под "ущербностью".

Насколько часто типичный пользователь "заглядывает в авторан"? Вы сами часто "заглядываете в авторан"?

Я делаю это только в одном случае - одна из моих флешек является загрузочной. И после подключения ее к чужому компьютеру, я всегда проверяю сохранность моего файла autorun.inf. Во всех остальных случаях я не "заглядываю в авторан", но тем не менее нельзя сказать что я "нахожусь в неведении": на моих компьютерах отключен автозапуск, установлена либо Панда, либо AutorunCleaner, а флешки защищены с помощью AUTOSTOP либо Панды.

Но под ущербностью я подразумеваю совсем не это. Позвольте мне в третий раз сказать вам (возможно на сей раз я буду услышан и понят), что ущербность данного метода в том, что существуют вирусы, которые умеют дописывать в файл autorun.inf запуск своего лоадера, оставляя нетронутым icon=master.ico



Цитата:

Что ж, в этом есть своя логика, спорить не буду, нет смысла...

Давайте назовем вещи своими именами - вы не станете спорить не потому что "нет смысла", а потому что у вас нет аргументов. Коль так - умейте признать свою неправоту.

Я в свое время всячески пробовал отключить автозапуск, скриптами и утилитами, но в итоге решил просто отключить флешки на рабочих станциях и все
Может кого устроит такой вариант:
www.flashkin.ru/2007/05/11/otkljuchit_ispolzovanie_usbustrojjstv_khranenija_dannykh.html

Народ, помогите пожалуйста со следующей проблемой. Создал рег-файл:

Код: Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
;Подмена autorun.inf файла
@="@SYS:DoesNotExist"

Народ, а кто о таком методе слышал? http://www.siteguard.ru/p26.html

ToTaLictikus

Цитата:

кто о таком методе слышал? http://www.siteguard.ru/p26.html

Один в один слизано с ранних версий моего AUTOSTOP.


Добавлено:
Evg8000

Цитата:

итоге решил просто отключить флешки на рабочих станциях

Ну это конечно крайние меры, хотя определенные плюсы есть. Я некоторым особо ярым юзерам тоже отключал с помощью


Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

Цитата:

Попробуйте таким bat-файлом:

Я уже пробовал. Но проблема в том, что коммандный файл выполняется вроде до конца, а данные в реестре не добавляются. Если же вставляю эту команду в командную строку и нажимаю Enter, данные добавляются. Странно как-то... В чём разница?

заражение флешки можно предотвратить только джеком-read only

BakLAN

Цитата:

коммандный файл выполняется вроде до конца, а данные в реестре не добавляются

Такое ощущение что у вас вирусис сидит, и правку реестра традиционными способами запрещает.


Добавлено:
oler2

Цитата:

заражение флешки можно предотвратить только джеком-read only

Не факт. Процитирую свой же ответ на Хабре:
--
Все относительно, как Вы понимаете. В данном случае «непробиваемый» = наиболее надежный из существующих.

Меня в плане оносительности заставил в свое время очень сильно задуматься вот какой случай. Принято считать что самая-пресамая надежная защита для флешки, которая не обходится — это флешка с переключателем, блокирующим запись, или кард-ридер с картой памяти, на которой тоже есть такой перключатель. Как бы не так!

В фотоаппарате жены (Canon А610) нет возможности показа индикатора заряда батареи. Нашел альтернативную прошивку, имеющую такую функцию. Записал ее на карту памяти. В инструкции к прошивке говорися, что для того, чтобы она грузилась автоматом (а не руками запускалась после включения фотоаппарата), необходимо переключатель на карте памяти перевести в положение «Заблокировано». Я несколько раз перечитал этот пункт — уж не ошибся ли. Нет — так и написано русским по белому. Ставлю переключатель на «Lock», заряжаю карту в фотоаппарат, предчувствуя что сейчас он выругается о невозможности записи, и… И ничего такого не происходит — все снятые кадры прекрасно сохраняются на карту памяти, а неудачные кадры без проблем можно удалить. Вот тут-то я прозрел.