Боремся с вирусами
22.03.2009, 12:27
Боремся с вирусами: отключение автозапуска дисков(Autorun)

Автозапуск - раздолье для вирусов
        В последнее время на общедоступных компьютерах (в университете) развелось такое количество вирусов, что нельзя вставить флешку и не подцепить один-другой вирус.

Почему так происходит?
        Система Windows при появлении в системе нового устройства хранения данных, кроме дискет, проверяет в корне диске файл autorun.inf, который содержит имя файла автоматически запускаемой программы и имя файла иконки для этого диска.
        Этим и пользуются вирусописатели. Какой умник первым запустил у себя эти вирусы, история умалчивает.
         Но факт, что он однажды притащил флешку в универ, и windows спокойненько их запустила.
         Последние вирусы, которые я наблюдал у себя на флешке, пойманные, в основном, в одной из аудиторий, делали следующее:
          1) писались на флешку, устанавливались в автозапуск.
         Жили:
                    а) прямо в корне,
                    б) в папке Recycler / Recycled.
                    в) заменяли собой разные папки
           2) автоматически запускались на всех windows, на которых не отключен автозапуск, и заражали систему.
            В системе - писались в автозапуск.

Как бороться?

            А) установить рабочий антивирус.
Проблема: платные ломать нехорошо, бесплатные могут и не поймать.
Факт, что пробная версия антивируса Касперского отлично с этим справляется.
Может быть, другие тоже могут.
             Б) Отключить автозапуск в своей системе.
             В) Не использовать windows
             Г) Запретить запись в корень флешки

             Вообще, я собирался рассмотреть вариант Б =), как самый простой. Это можно сделать несколькими способами:
             - Самый простой: при вставлении флешки нажать shift и не отпускать, пока не убедитесь, что автозапуск не сработал (диск появился, но ничего не вылезло)
              Замечательная фишка, если приходится использовать зараженные или ненадёжные флешки.
              - Вариант - выключить автозапуск:
                        запустить редактор групповой политики:
                        пуск-выполнить - gpedit.msc, там найти
               Административные шаблоны - Система - Turn off Autoplay.
               Необходимо задать значение "включен".
               - Через редактор реестра:
1) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
2) Создать новый раздел, переименовать созданный раздел в Explorer (если нет такого)
3) В этом разделе создать ключ NoDriveTypeAutoRun
Допустимые значения ключа:
0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков.
Можно отключить несколько типов устройств, сложив эти числа.
Можно отключить автозапуск для дисков с определёнными буквами:
Раздел: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Ключ: NoDriveAutoRun
Допустимые значения: 0x0–0x3FFFFFF
Значение представляет "битовую карту" в двоичном виде для отключаемых дисков: самая правая 1, вторая
справа - B, третья - С, и так далее. Придумайте, какие диски выключить, запустите калькулятор,
выберите двоичный режим, забейте в него эту карту, и переключитесь на шестнадцатеричный.
Полученное значение можно установить значением ключа.

Не хотите лезть в редактор реестра?

           Откройте блокнот, скопируйте в него следующие строчки:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
            Сохраните файл с расширением reg, и запустите его.
           Полезная штука - показ скрытых/системных файлов. Последний пойманный вирус прятал некоторые папки, и записывался и их именами на флешку. Что замечательно, очень легко разоблачить такой вирус по имени замененной папки - если включен показ расширений для всех файлов, то будет видно расширение exe.
            Вирусописатели делают вирусу иконку, похожую на одну из виндовских иконок, чтоб не вызывать подозрений.
Чаще всего - это вид иконки папки.

Источник: http://delphifaq.info/index.php?newsid=5920
Категорія: Смерть вирусам! | Додав: us0kf
Переглядів: 1744 | Завантажень: 0
Додавати коментарі можуть лише зареєстровані користувачі.
[ Реєстрація | Вхід ]