» Защита флэшки от вирусов

Serhiy123
Вируса никакого нету. Разве выполнение комманды через консоль - не традиционный способ? Так он работает. А из командного файла - нет....
Например эта команда:

Код: REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f

Есть простой действующий способ.
Форматируем или конвертируем флэшку в NTFS. Создаем папочку или несколько папочек. Создаем свой autorun.inf (если есть необходимость). В корне для группы "ВСЕ" разрешаем только "Чтение и выполнение", "Список содержимого папки", "Чтение", остальные группы и пользователей если есть - удаляем . В папках группе "ВСЕ" разрешаем полный доступ.

Теперь ни один авторан не попадет на флэшку.

Lexandr22

Цитата:

Есть простой действующий способ

Да, действительно такой способ есть - был описан на Хабре - http://habrahabr.ru/blogs/infosecurity/47287/
Для NTFS он, на сегодняшний день, несомненно, лучший.

а Если флешка в FAT/FAT32, что тогда? нет у меня возможности сделать ее в NTFS

Еще как вариант можно набрать в Google: Portable Lock My Folder v1.20 RUS, скачать эту прожку, отфрматировать флэшку в NTFS, в корне флешки создать папку autorun.inf, с помощью скачанной Portable Lock My Folder v1.20 RUS, заблокировати папку autorun.inf, в результате ее нельзя будет ни удалить ни переименовать
ToTaLictikus

Цитата:

а Если флешка в FAT/FAT32, что тогда? нет у меня возможности сделать ее в NTFS

Набери в Google: HP USB Disk Storage Format Tool, с ее помощью будет возможность сделать флешку в NTFS (это как вариант, способов отфрматировать флэшку в NTFS много)

ToTaLictikus

Цитата:

а Если флешка в FAT/FAT32

Для FAT лучшая защита - Panda USB and AutoRun Vaccine 1.0.1.4. В качестве альтернативы - мой AUTOSTOP.

Уязвимость в Panda USB and AutoRun Vaccine 1.0.1.4

Panda USB and AutoRun Vaccine 1.0.1.4, которой я не так давно присвоил титул "лучшей на сегодняшний день программы для защиты флешек от autorun-вирусов", сегодня прокололась вот на каком моменте.

При вакцинации флешек созданием своего AUTORUN.INF с "некорректным атрибутом" 0x42, Панда, в случае существования на флешке "непандовского" (т.е. созданного не самой Пандой) файла autorun.inf, из гуманных соображений, бэкапит его с именем autorun_.inf.

Так вот - если создать на флешке 2 файла: autorun.inf и autorun_.inf, и дать им атрибуты, например RAHS, а потом натравить на эту флешку Панду, и сказать ей: вакцинируй, то Панда обломится. И выдаст сообщение о невозможности вакцинации, ввиду ошибки резервного копирования. Таким образом, простой пользователь навряд-ли поймет что нужно делать, и если файл autorun.inf на его флешке содержал ссылку на вирус - то он останется целым и невредимым.

Я более чем уверен, что ребята из Panda Research читают мой ЖЖ, поэтому будем надеяться, что эту дыру вскоре устранят (достаточно же переименовывать не четко в autorun_.inf, а, например в autorun[текущая_дата_и_время].inf).

Лично я сделал так.В win7 есть в свойствах файла права владельца,если их поставить на autorun.inf,то кроме тебя как пользователя(владельца) никто не может его ни удалить,ни изменить...даже учеткой из-под твоего компа с админ правами...

Добавлено:
да,забыл добавить -- флешка под NTFS!

Здравствуйте! подскажите, как вылечить заражённый компьютер? Если в него вставить флэшку, то создаётся файл autorun.inf и папка Recycler.

Нод32 2008г. ничего не поймал. Я так понимаю есть резидентная прога или сервис, которые пишут вирус на флэшку. Как бы их определить?

ardkl
1. Обновить антивирус.
2. Воспользоваться бесплатными антивирусами, например CureIt!.

ardkl - попробуйте Malwarebytes' Anti-Malware, очень толковая бесплатная (если без резидентной части) утилита, справляется со многими вещами, которые антивирусы не могут выловить. Если с ходу не получится - тогда вам дорога на Virusinfo.

ardkl

Цитата:

Нод32

Я бы также на Вашем месте более щепетильно подошёл бы к выбору антивируса. НОД - далеко не самый лучший выбор, скорее даже наоборот...

Сегодня выложил новую версию 2.5 своего скрипта AUTOSTOP для:

отключения автозапуска на компьютере
защиты флешки от autorun-вирусов
программной защиты флешки от записи


Changelog версии 2.5:

скорректирован синтаксис команды del.
ускорена работа скрипта при переходе между пунктами меню.
изменено название метода защиты флешки от записи новых файлов на метод программной защиты флешки от записи.
исключен сторонний внешний модуль для воспроизведения звука через системный динамик, применяющийся для звуковой индикации этапов отработки программной защиты флешки от записи. Теперь вывод звука на системный динамик осуществляется конструкцией "@echo ^G", что позволило отказаться от внешних модулей и повысить целостность скрипта, реализовав его только средствами CMD


Забирать здесь - http://rghost.ru/1011124, зеркало - http://filestore.com.ua/?d=B5FA461B9
autostop.2.5.exe, MD5: ee4ef9ee6bffe460e8c24b9bf545c235

Цитата:

вот очень хорошая программка USB Disk Security

infinitysys, согласен, здесь о ней писал.

iamm - по поводу USB Disk Security мой вердикт таков: я тестировал версию 5.2.0.10. Программа платная ($55). Ранние версии умели защищать флешку путем создания каталога AUTORUN.INF, содержащего файл с некорректным именем "zhengbo." - в новой версии эта функция отсутствует (толку от нее все равно немного). При подключении флешки, программа выдает сообщение об опасности при наличии файла autorun.inf и исполняемых файлов с атрибутами Read-only и Hidden, и умеет удалять их, сохраняя копии в карантин. Помимо этого программа содержит весьма сомнительный модуль MemoryShield, функции Repair System (в нее входят простейшее восстановление реестра + очистка временных файлов, недавних документов и корзины) и вывод неполного списка автозагрузки в разделе Autostart с возможностью удаления элементов. Бесплатные AutorunCleaner (автор - учасник этого форума ALLIGATORone) и USB_Tool делают все то же самое в намного более продвинутой и удобной форме. Как говаривал почтальон Печкин: "Бывают же некоторые до чужих денег жадные"

Serhiy123, тогда уж Panda Research USB Vaccine нужно юзать

Serhiy123

Цитата:

Ранние версии умели защищать флешку путем создания каталога AUTORUN.INF, содержащего файл с некорректным именем "zhengbo." - в новой версии эта функция отсутствует

Брехня - присутствует эта функция и в новой версии.
К стати, что касается Panda USB and AutoRun Vaccine, так у этой проги тоже очень приличные проблемы касательно данной функции. На моей "чистой" домашней машине она конечно же без проблем создала на всех дисках файлы autorun.inf, а вот на двух рабочих, одна из которых "полеченная" XP и вторая "чистая" Windows 7, она лишь сообщает, что вакцинация успешно проведена, но вот соответствующих файлов ни на одном из дисков найти не удалось.

Serhiy123
Не отображается иконка по пути с кавычками.
Вот так отрабатывает IconFile=..\AUTORUN.INF\red.ico

iamm - про Панду я писал статью на Хабре - способ, применяемый в ней действительно интересный и действенный. А не так давно я обнаружил в ней уязвимость, которой легко могут воспользоваться вирусописатели. Ребята из Panda Research не спешат ее устранить, хотя я более чем уверен что они читают мой ЖЖ.

BakLAN - я тестировал версию 5.2.0.10, взятую с офсайта, там этой функции не было. Возможно в более поздних снова ввели. Все равно в такой реализации эта функция погоды не делает. Насчет "осечек" Панды - см. упомянутую мной выше уязвимость - возможно дело именно в этом.

dimbat - спасибо за информацию! В спецификации действительно указано без кавычек, я по привычке с кавычками писал. А на какой ОС не отображается? На 2000 (En и Ru) и на XP SP3 (En и Ru) все ок.

Serhiy123

Цитата:

А на какой ОС не отображается?

Se7en x64

Serhiy123

Цитата:

я тестировал версию 5.2.0.10, взятую с офсайта, там этой функции не было.

Я тоже её юзал. Она есть. Просто там нет явной кнопочки для этого. Но если воспользоваться контекстным меню значка из трея, то как раз пишутся autorun.inf-файлы.

Цитата:

Насчет "осечек" Панды - см. упомянутую мной выше уязвимость

А я читал. Но в моём случае дело не в описанной уязвимости. В чём именно я так и не смог определить. Начисто проставленная Windows 7. Жму Vaccinate - отвечает Saccesfully, а autorun.inf не появляются.

dimbat - спасибо, проверю на 7-ке.

BakLAN - а используете последнюю версию Панды - 1.0.1.4 ?

Serhiy123

Цитата:

а используете последнюю версию Панды - 1.0.1.4 ?

Определённо.

dimbat

Цитата:

Не отображается иконка по пути с кавычками.
Вот так отрабатывает IconFile=..\AUTORUN.INF\red.ico

Спасибо вам большое! Именно в ошибке в синтаксисе (ненужные кавычки) было все дело.
Выложил новую версию AUTOSTOP 2.6, главная фича которой - совместимость с Windows 7. В readme.txt, распространяемом с программой, добавил благодарность вам.



Добавлено:
BakLAN - а не пробовали заново отформатировать флешки (причем желательно HP USB Disk Storage Format Tool), и потом напустить на них Панду?

Serhiy123

Цитата:

а не пробовали заново отформатировать флешки (причем желательно HP USB Disk Storage Format Tool), и потом напустить на них Панду?

Так с флешками проблем нет - вакцинация происходит и файлы появляются, а вот на ЖД, хоть и сообщает об успешной вакцинации, файлы папки autorun.inf не появляются.

BakLAN

Цитата:

а вот на ЖД, хоть и сообщает об успешной вакцинации, файлы папки autorun.inf не появляются

Мы говорим о внешних USB-шных ЖД?

Serhiy123

Цитата:

Мы говорим о внешних USB-шных ЖД?

Нет, обычный SATA HDD.

BakLAN

Цитата:

Нет, обычный SATA HDD.

Я так и думал. Панда не предназначена для таких операций: "The free Panda USB Vaccine also can be used on individual USB drives to disable its AUTORUN.INF file in order to prevent malware infections from spreading automatically. "

В ней даже пункта такого нету в выпадающем меню. Чтобы вакцинировать таким образом ЖД, вы наверняка из коммандной строки запускаете ее с параметрами.

В принципе конечно все равно что вакцинировать таким образом - флешку, или ЖД, но дело в том, что Панда использует некорректный атрибут файловой системы, и видимо ребята из Panda Research считают что если сбойнет флешка с измененной таким образом файловой системой - это полбеды, а если раздел ЖД - пользователь будет разъярен. Заметьте, что "The free Panda USB Vaccine... - утилита бесплатная. Хотя пандовский антивирус, например, платный. Вполне возможно что они не берут денег именно по этой причине - чтобы перестраховаться.

Можно и руками выставить некорректный атрибут с помощью WinHex (это описано в моей статье на Хабре) - но я бы, например, не стал этого делать на ЖД. Используйте , например, AUTOSTOP если уж хотите защитить ЖД.

А кто нибудь юзал omega которая тоже при подключении flash создает свой файл autorun.inf и соотвественно дрянь туда прописаться не может?

setwolk - с офсайта удалось скачать Omega 1.2.0.25 (хотя в ReadMe.txt говорится что это версия 1.2.0.23). DrWeb выругался о возможном вирусе. Проверил Omega на Virustotal - результат 10 из 41. Нужно ставить виртуальную машину и на ней пробовать.