Боремся с вирусами
| 22.03.2009, 12:27 | |
Автозапуск - раздолье для вирусов В последнее время на общедоступных компьютерах (в университете) развелось такое количество вирусов, что нельзя вставить флешку и не подцепить один-другой вирус. Почему так происходит? Система Windows при появлении в системе нового устройства хранения данных, кроме дискет, проверяет в корне диске файл autorun.inf, который содержит имя файла автоматически запускаемой программы и имя файла иконки для этого диска. Этим и пользуются вирусописатели. Какой умник первым запустил у себя эти вирусы, история умалчивает. Но факт, что он однажды притащил флешку в универ, и windows спокойненько их запустила. Последние вирусы, которые я наблюдал у себя на флешке, пойманные, в основном, в одной из аудиторий, делали следующее: 1) писались на флешку, устанавливались в автозапуск. Жили: а) прямо в корне, б) в папке Recycler / Recycled. в) заменяли собой разные папки 2) автоматически запускались на всех windows, на которых не отключен автозапуск, и заражали систему. В системе - писались в автозапуск. Как бороться? А) установить рабочий антивирус. Проблема: платные ломать нехорошо, бесплатные могут и не поймать. Факт, что пробная версия антивируса Касперского отлично с этим справляется. Может быть, другие тоже могут. Б) Отключить автозапуск в своей системе. В) Не использовать windows Г) Запретить запись в корень флешки Вообще, я собирался рассмотреть вариант Б =), как самый простой. Это можно сделать несколькими способами: - Самый простой: при вставлении флешки нажать shift и не отпускать, пока не убедитесь, что автозапуск не сработал (диск появился, но ничего не вылезло) Замечательная фишка, если приходится использовать зараженные или ненадёжные флешки. - Вариант - выключить автозапуск: запустить редактор групповой политики: пуск-выполнить - gpedit.msc, там найти Административные шаблоны - Система - Turn off Autoplay. Необходимо задать значение "включен". - Через редактор реестра: 1) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 2) Создать новый раздел, переименовать созданный раздел в Explorer (если нет такого) 3) В этом разделе создать ключ NoDriveTypeAutoRun Допустимые значения ключа: 0x1 - отключить автозапуск на приводах неизвестных типов 0x4 - отключить автозапуск сьемных устройств 0x8 - отключить автозапуск НЕсьемных устройств 0x10 - отключить автозапуск сетевых дисков 0x20 - отключить автозапуск CD-приводов 0x40 - отключить автозапуск RAM-дисков 0x80 - отключить автозапуск на приводах неизвестных типов 0xFF - отключить автозапуск вообще всех дисков. Можно отключить несколько типов устройств, сложив эти числа. Можно отключить автозапуск для дисков с определёнными буквами: Раздел: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer Ключ: NoDriveAutoRun Допустимые значения: 0x0–0x3FFFFFF Значение представляет "битовую карту" в двоичном виде для отключаемых дисков: самая правая 1, вторая справа - B, третья - С, и так далее. Придумайте, какие диски выключить, запустите калькулятор, выберите двоичный режим, забейте в него эту карту, и переключитесь на шестнадцатеричный. Полученное значение можно установить значением ключа. Не хотите лезть в редактор реестра? Откройте блокнот, скопируйте в него следующие строчки: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff Сохраните файл с расширением reg, и запустите его. Полезная штука - показ скрытых/системных файлов. Последний пойманный вирус прятал некоторые папки, и записывался и их именами на флешку. Что замечательно, очень легко разоблачить такой вирус по имени замененной папки - если включен показ расширений для всех файлов, то будет видно расширение exe. Вирусописатели делают вирусу иконку, похожую на одну из виндовских иконок, чтоб не вызывать подозрений. Чаще всего - это вид иконки папки. Источник: http://delphifaq.info/index.php?newsid=5920 | |
| Категорія: Смерть вирусам! | | |
| Переглядів: 1721 | Завантажень: 0 | |