» Защита флэшки от вирусов

Неоднократно сталкивался с тем, что после втыкания флешки в зараженный комп, на нее записывались зараженные файлы. Всегда старался контролировать это, но вот на днях дал промашку - и пришлось собственный комп вычищать после подключения флешки с вирусом. Закончив этот процесс, задался вопросом - как можно предотвратить заражение флешки?

Как правило, заражение происходит следующим образом: на флешку записывается autorun.inf, в котором прописан запуск вредоносного файла, и соответственно сам вредоносный файл. Ход мыслей таков:

1. Записать на флешку свой autorun.inf, выставив ему атрибут read only. Когда флешка подключается к зараженному компу, вирус проверяет наличие на ней autorun.inf , и найдя его может посчитать что ничего делать не нужно.
Минусы: это применимо только к самым примитивным вирусам Т.к. на деле, вероятнее всего вирус просто тупо перезапишет находящийся на флешке autorun.inf для верности.

2. Развиваем мысль: записать на флешку свой autorun.inf, который бы запускал записанную также на флэшку программу (что-то типа консольных md5.exe или md5sum.exe, или еще лучше - что-то с графическим интерфейсом) для проверки контрольной суммы MD5 нашего файла autorun.inf.
Минусы: эта проверка будет выполняться сразу при подключении флэшки. А по наблюдениям (зависит конечно от типа вируса), заражение флэшки может происходить не моментально после подключения, а секунд через 5-10. В этом случае контрольная сумма нашего autorun.inf будет верна, но через несколько секунд этот самый autorun.inf будет заменен на вредоносный.
Как вариант, можно вручную запускать проверку контрольной суммы autorun.inf всякий раз перед отключением флэшки - но это не очень удобно.

3. Еще вариант: записать на флешку свой autorun.inf, который бы запускал записанный на флешку же какой-нибудь простенький тексовый редактор, открывающий наш autorun.inf на редактирование. Тем самым мы блокируем доступ к autorun.inf - его нельзя будет стереть или перезаписать.
Минусы: при попытке программного отключения флешки для корректного ее извлечения, мы неизменно получим сообщение что в данный момент устройство отключить нельзя. Нужно будет руками закрыть упомянутый редактор, и после этого отключить флэшку. Но в этом случае нет гарантии что за несколько секунд (после закрытия редактора перед отключением) вирус не перезапишет autorun.inf.

Пока других идей нет. А ведь если придумать хороший способ - штука будет очень полезная!

Идею я обозначил - поделитесь, плз, своими соображениями по этому вопросу.

Всё что ты написал - не поможет. Я сталкивался с несколькими разновидностями вирусов, которые активизируются через autorun.inf и нашёл единственный выход.
Надо отформатировать флешку в ntfs, создать файл autorun.inf либо пустого содержания, либо по желанию. Затем изменить права доступа этого файла: Запретить запись для всех. И всё. Больше проблем не будет.

Serhiy123
Отключить автозапуск сменных дисков в ненадежной винде перед тем как не поможет?

Гкхм... Это вы всё, конечно, интересно написали, но надо бы уж при выборе носителя сразу смотреть, есть ли на нём переключатель защиты от записи, благо не 1999-й год на дворе, выбор-то среди устройств довольно большой.

Цитата:

отформатировать флешку в ntfs, создать файл autorun.inf либо пустого содержания, либо по желанию. Затем изменить права доступа этого файла: Запретить запись для всех.

Отличная мысль, спасибо!


Добавлено:

Цитата:

Отключить автозапуск сменных дисков в ненадежной винде перед тем как не поможет?

Неправильная постановка вопроса: отключать автозапуск имеет смысл, скажем, на своем компе. А в ненадежной винде это не поможет, т.к. вирусу не будет до этого ровным счетом никакого дела. Он нацелен заразить флешку, и навряд-ли он будет вычитывать из реестра, разрешен ли в системе автозапуск.


Добавлено:

Цитата:

при выборе носителя сразу смотреть, есть ли на нём переключатель защиты от записи

Это срабатывает только в том случае, если вам нужно переписать данные с флешки на комп. А вот если нужно наоборот - с компа на флешку - сами же это переключатель отщелкнете, и через пару секунд зараженный autorun.inf сотоварищи уже на флешке.

Serhiy123, старею

запись для всех будет запрещена только на ТВОЕМ компе

tuskan

Цитата:

запись для всех будет запрещена только на ТВОЕМ компе

Блин, точно! А жалко - идея была хороша.

В таком случае я пока склоняюсь к усовершенствованному способу под номером 2.
Суть его заключается в следующем:


Код:
записать на флешку свой autorun.inf и утилиту для верификации контрольной суммы md5. Создать каталог (обозвать его, например Autorun_backup), куда поместить копию autorun.inf. Создать .bat-файл со следующим сценарием, который будем запускать с флешки руками перед тем как соберемся ее отключать:

проверка контрольной суммы md5 файла autorun.inf
если сумма совпадает - goto ОТКЛЮЧЕНИЕ
если сумма не совпадает - сообщить об этом в окне большим шрифтом. Можно еще системным динамиком пискнуть. Перезаписать левый autorun.inf резервной копией из каталога Autorun_backup, и затем goto ОТКЛЮЧЕНИЕ
ОТКЛЮЧЕНИЕ - отключить флешку из коммандной строки

Ну еще конечно удерживать нажатым Shift при подключении флешки (не могу сказать что это очень удобно, особенно при подключении флешки в ЮСБ-шный удлинитель).

Сообщаю что метод

[autorun]
icon=master.ico

не сработал - сегодня специально нашел зараженный комп и проверил на нем. Т.е. вначале конечно своя иконка отображается, но после того как вирус стирает мой autorun.inf и записывает вместо него свой, в проводнике продолжает отображаться моя иконка, даже после того как нажмешь F5.

Нужно искать другие варианты.

Вариант с прописыванием в autorun.inf антивируса типа от Microsoft или Stinger Mcafee не проверяли ? Ну и регулярно обновлять версии конечно.

tuskan

Цитата:

запись для всех будет запрещена только на ТВОЕМ компе

Зачем говоришь, если не знаешь! Запись будет запрещена на всех компах! Потому что права доступа прописываются в mft таблице именно на флешке!!! Мы же её в ntfs форматируем!

Это единственный способ защитить флеху от некоторых вирусов!

Но есть модификации вирусов, которые не только в autorun.inf прописываются, но и к тому же изменяют все *.exe файлы на флешке, прописывая в них свой код. В этом случае Касперский только может вылечить эти файлы.
Есть такие, что все папки на флехе делают скрытыми и создают *.exe с названием папки и иконкой папки. При запуске этого файла открывается нужная папка, да вирь прописывается в системе.


Цитата:

Вариант с прописыванием в autorun.inf антивируса типа от Microsoft или Stinger Mcafee не проверяли ? Ну и регулярно обновлять версии конечно.

Что за бред? Если вставить флешку в заражённый компьютер, то вирус первым делом переписывает autorun.inf и всё!!!



Цитата:

Гкхм... Это вы всё, конечно, интересно написали, но надо бы уж при выборе носителя сразу смотреть, есть ли на нём переключатель защиты от записи, благо не 1999-й год на дворе, выбор-то среди устройств довольно большой.

Я тоже раньше так думал. Пошёл в магазин покупать такую флеху и оказалось, что нету! Года 2 назад Trancend выпускала такие флехи, но сейчас почему-то они решили забить на это дело. Как выход можно купить карту памяти и кард ридер. На карте памяти есть переключатель защиты от записи.

постоянно пользуюсь TC. Там стоит отображение файлов сеткой с колонкой даты.
Создал autorun.inf на флэшке. Прописал ему дату и время создания, чтобы в глаза бросалось и теперь он все время на виду.
в него-же и воткнул автозапуск Тотала.

Mitkasik

Цитата:

Создал autorun.inf на флэшке. Прописал ему дату и время создания,

Что мешает вирусу сохранить дату и время создания
Тут уж скорей надо контролировать размер файла

Я думаю надо разместить на флешке прогу которая стирает autorun.inf или восстанавливает его если надо и затем отключает флешку тогда в конце работы на ненадежном компе запускаешь ее и конечно на своем отключить автозапуск и включить проверку
так какkolunya правильно сказал не autorun.inf единым заражается

Народ посоветуйте.
На флешку записался autorun.inf и Explorer.exe после этого нельзя не удалить не записать файлы на флешку. Отформатировать не возможно если с командной строки Format g: то пишет что 0 дорожка испорчена. И из под DOS такаяже бодяга. Как её можно форматнуть?

Создайте папку с именем autorun.inf
Вирус сильно обломится. Потому что одноименный файл не сможет создаться.

Strange

Цитата:

Создайте папку с именем autorun.inf
Вирус сильно обломится. Потому что одноименный файл не сможет создаться.

Ага, а удалить папку или переименовать вирус не догадается

Так и папку создать не могу. Нод и Др.Веб его находят (только на флешке, а где остальное тело вот вопрос) вроде удаляют но стоит вынуть и вставить флешку как все файлы включая и вирус наместе. Народ а что это ноль дорожка на флешке и чем её можно исправить. А на тему создать папку так мне нужно выличить флешку а не зарожать дальше машины.

Sergey8624
выше
Serhiy123

говорил


Цитата:

Добавлено:
Нашел чрезвычайно изящное решение
Взято с http://minilabmaster.com/2/39_1.shtml

ты туда ходил

Sergey8624

Цитата:

А на тему создать папку так мне нужно выличить флешку а не зарожать дальше машины.

Вирус на флэшку сам по себе не попадёт. Ты свою машину проверял антивирусом (желательно, AVZ)?

вот тут может быть чёто полезное
добавлено:
и тут

А вот такое решение работоспособно?
_http://www.3dnews.ru/storage/usb-flash-iocell-netdisk/
_http://www.iocellnetworks.com/solutions/castella.htm
То есть, я так понял, можно получить рид онли флешку.

была беда с флэшками....
от запуска виря при вставке флэхи помогает отключение автозапуска на Всех дисках в gpedit.msc (в политике компа и политике узера), тч афтар страдает фигнёй изголяясь над autorun.inf.
жаль, что при этом способе не блокируется запуск с сетевых дисков...
но работники продолжали таскать вири на флэхах как одноимённые .ехе файлы (узеру-то по%$#, что у картинки расширение ехе) и инфецированные игрухи. пришлось отключить всем флэхи и оставить только один комп на отдел с флэхами. На него поставили антивирь.
вот это реально помогло.
ЗЫ "а почему на всех компах антивири не стоят???!!!"
денег дайте - поставим.
PPS ех,.. купить бы z-lock было бы повеселей...

Цитата:

Ага, а удалить папку или переименовать вирус не догадается

ktotama
неа, в программировании для этого юзаются разные методы, а писать вирь под все случаи ох как ленива...

вот очень хорошая программка USB Disk Security
http://forum.ru-board.com/topic.cgi?forum=35&topic=40569#1
мне помогает

Защита от заражения флешки - ИМХО - использовать модели с переключателем Read-only


Более правильно защищать СВОЙ комп:
цитата http://virusinfo.info/showthread.php?t=20291
Цитата:

Автозапуск часто не причина заражения, а один из мощных способов через которых зловред выживает, так как ему регистрироваться в системе не надо через 'классические' ключи в реестре. Так как у большинство юзеров автозапуск включён (удобно же), успех - гарантирован. Как отключить этот механизм?

1 + 2 - классический подход - отключить через политики Windows.
3, 4, 5 - закрытие дыр в 1+2.

1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom
Установить значение параметра AutoRun равным 0 и перезагрузиться.

2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.

3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру (типа REG_SZ) со значением (не названием!)
Код:
@SYS:DoesNotExist
Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

[P.S.:
@ = Данный символ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре.
SYS: = Данный префикс обозначает раздел 'HKEY_LOCAL_MACHINE\Software', текст после этого префикса соответствует данному ключу.]

4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files
Создать строковый параметр типа REG_SZ с названием
Код:
*.*
(так как здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').

5) Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей. Как с этим бороться? Полностью удалить ВСЕ ключи MountPoints2 которые вы находите в реестре (там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает). Перезагрузить компьютер. Ключи заново создаются, но уже чистыми. Задать вашему монитору реестра, чтобы он следил за новыми, чистыми ключами MountPoints2, которые будут в результате, и желательно, чтобы он БЛОКИРОВАЛ бы доступ туда по умолчанию. Также стоит мониторить все другие вышеназванные ключи - это очень серьёзный проактивный подход к данной проблеме.

Paul

Цитата:

Создайте папку с именем autorun.inf
Вирус сильно обломится. Потому что одноименный файл не сможет создаться.
Ага, а удалить папку или переименовать вирус не догадается

Попробуйте удалить папку, которую создаст Flash Disinfector
_хттp://www.spyware-ru.com/flash_disinfector/

Цитата:

Защита от заражения флешки - ИМХО - использовать модели с переключателем Read-only

+1. Очень правильный вариант.
Даже если у вас обычная флешка - что тут такого? Мне иногда флешки с вирусняком приносят и что? autorun.inf - идет лесом, ибо запуск его на компе запрещен. Антивирь в фоне работает - говорит что за дрянь принесли. Я же не больной запускать что то с флешки без проверки антивирем. В чем собственно повод для паники?

Вопрос в том, чтобы не пустить вирус на флешку. Т.е. вы со своей флешкой обходите несколько чужих компьютеров (незнакомых клиентов). Нужно не допустить распространения вируса на их машинах через вашу флешку. Переключатель рид онли лучший выход, но решение от iocell программное, я так понял. Неужели никто не пользовал, ну хотя бы по статье, какое ваше о ней мнение?

Когда надоело на домашнем компе чистить флешку от вирусов, создал в корне флешки autorun.inf и папку Recycler и убрал доступ к ним
дешево и сердито

2 aequit. Это конечно прикольно, папка не удаляется (ессно из-за наличия в ней файла с системным именем lpt3). Зато переименовывается. Что вирусописатели и делают, причем весьма успешно. получается, самый верняк - форматить флэху в ntfs и поигратсья с правами доступа. но вот здесь _ttp://www.siteguard.ru/p26.html написано, что ntfs не есть хорошо для флэшки.