И регулярно его обн овлять. Защищать компьютер дело привычное, установил антивирус, обновил базы и забыл про вирус на какое-то время до следующего обновления антивирусной базы или самого антивируса, но пора бы задуматься о защите вашей флешке.

Обычно авторы (вирус создатели ) вредоносных программ распространяют свои творения через всемирную паутину. Антивирус с обновлёнными базами в большинстве случаев отлично отбивает атаки с инфицированных сайтов. Есть и другие популярные способы распространения заразы, через карты памяти, флешки, съёмные диски и другие внешние носители хранения данных.

При заражении флешки вирусом, он создаёт на флешки файл Autorun.inf и когда пользователь открывает подсоединённую к компьютеру карту памяти, флешку мгновенно активируется автозапуск, если антивирус отсутствует червь поселяется в компьютер и начинает распространяться способом копирования и творит там свои тёмные дела, начиная от шпионажа и заканчивая уничтожением всех имеющихся файлов, данных пользователя.

11 марта 2009 в 22:00

Panda USB and AutoRun Vaccine - лекарство от autorun-вирусов на флешке

• Информационная безопасность

5 марта я написал свою статью о для защиты флешек от autorun-вирусов, получившую немалый отклик. И только я сегодня собрался писать новую статью об альтернативном (более надежном) методе, как на одном из ресурсов, в теме , посвященной обсуждению скрипта, мне подсказали программу Panda USB and AutoRun Vaccine , работающую именно по методу, который я хотел описать. Причем работающую просто блестяще ! Файл autorun.inf , создаваемый ею на флешке (дабы предотвратить создание такого файла вирусом) невозможно ни удалить, ни переименовать (в чем была слабость моего скрипта), ни модифицировать, ни открыть.

Познакомимся с программой поближе, рассмотрим ее возможности и метод, на котором базируется принцип работы.

МЕТОД

Прежде всего расскажу о методе.

Буквально через несколько дней после опубликования мною статьи, пользователь ЖЖ __x_tra
отписался в моем ЖЖ об альтернативном способе защиты флешки от autorun-вирусов, который он придумал: на флешке создается файл или каталог с названием AUTORUN.INF, и с помощью WinHex этому файлу или каталогу выставляется недопустимый атрибут. Напомню, что согласно FAT32 File System Specification , более известной как FATGEN (мы здесь рассматриваем защиту флешек с FAT):

File attributes:
ATTR_READ_ONLY 0x01
ATTR_HIDDEN 0x02
ATTR_SYSTEM 0x04
ATTR_VOLUME_ID 0x08
ATTR_DIRECTORY 0x10
ATTR_ARCHIVE 0x20
ATTR_LONG_NAME ATTR_READ_ONLY | ATTR_HIDDEN | ATTR_SYSTEM | ATTR_VOLUME_ID
The upper two bits of the attribute byte are reserved and should always be set to 0 when a file is created and never modified or looked at after that.

В варианте же, придуманном __x_tra предлагалось поставить два верхних бита не в 0, а в 1. Байт атрибутов получался таким: 0xF7 (ATTR_ARCHIVE+ATTR_DIRECTORY+ATTR_SYSTEM+ATTR_HIDDEN+ATTR_READ_ONLY+два старших бита 11). Еще предлагались возможные варианты в виде 0xC7, 0xD7, 0xE7. Я протестировал метод - он оказался рабочим! AUTORUN.INF с присвоенным таким образом атрибутом, невозможно было открыть, переименовать и модифицировать. Меня лишь смущало 2 фактора:

• Корректность такого способа: как он отразится на работоспособности файловой системы.
• Повторяемость способа: каким образом объяснить простому пользователю что такое WinHex, и с чем его едят.

ПРОГРАММА

Вернемся теперь к программе Panda USB and AutoRun Vaccine.

Напомню что «Panda USB Vaccine currently only works on FAT & FAT32 USB drives». Маленький размер файла (всего 393Kb) и спартанский интерфейс - все продумано, ничего лишнего. Добавлю что программа бесплатная.

Начну с кнопки «Vaccinate USB» . Я специально создал заранее на флешке файл autorun.inf с атрибутами RAHS - это никоим образом не помешало программе, при нажатии на упомянутую кнопку, перезаписать его своим одноименным файлом, который, как я говорил в начале статьи «невозможно ни удалить, ни переименовать (в чем была слабость моего скрипта), ни модифицировать, ни открыть». Открываем флешку в WinHex, смотрим атрибут файла autorun.inf. И что же мы видим:

Мы видим что аналогично способу __x_tra , изменен атрибут файла: 0х40 . В статье FAT12, FAT16 and FAT32 Windows File System находим расшифровку, которой нет в FATGEN:

0x40 Device (internal use only, never found on disk)
0x80 Unused

Т.е. атрибут 0x40 не так уж «некорректен» - он «в рамках спецификаций». Чесно говоря, я очень рад, что ребята из Panda Software реализовали этот способ в крохотной программе, нажатием одной лишь кнопки - не заставляя пользователя прибегать к WinHex.

Замечу что средствами программы отменить вакцинацию флешки невозможно. Если уж появилась необходимость создать на флешке свой autorun.inf (например, чтобы сделать ее загрузочной) - то WinHex вам в помощь, или переформатирование (для этой цели, кстати, хорошо использовать HP USB Disk Storage Format Tool).

Вторая кнопка программы «Vaccinate computer» . Проверим что она делает:

Это знакомый мне (еще до создания скрипта AUTOSTOP, я использовал именно этот метод) придуманный Nick Brown способ :

REGEDIT4
@="@SYS:DoesNotExist"

USBVaccine.exe /resident

То она будет висеть резидентно, и при подключении новой флешки, будет предлагать вацинировать ее:

ВЫВОДЫ

Из известных мне на сегодняшний день способов защиты флешек с FAT от autorun-вирусов это самый надежный. Понятно что раз такие вещи умеет делать программа от Panda Software, то рано или поздно вирусописатели тоже могут этому научиться - но это вопрос времени, а в данном случае время выиграно, и выигрыш в пользу защиты.

* Интересно что программа Panda USB Vaccine 1.0.0.19 beta вышла 5 марта - в тот же день, когда была написана моя статья о скрипте AUTOSTOP. Возможно в будущем 5 марта назовут международным днем борьбы с autorun-вирусами:)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

UPD:

В комментариях высказывалась идея о том, что было бы логично сделать создаваемый «Panda USB and AutoRun Vaccine» защищенный файл autorun.inf скрытым (чтобы не попадался на глаза пользователю, и не провоцировал его переформатировать флешку, уничтожив защиту). И вот

Здравствуйте! Многие из нас пользуются USB накопителями. Флешки очень популярны и удобны. Сейчас они являются основными посредниками для переноса информации с одного компьютера на другой. Но не многие знают, что эти компактные переносные устройства могут нести в себе угрозу для нашего компьютера.

Флешка, побывавшая в зараженном компьютере, сама становится носителем вируса. И в последующем, через нее вредоносные программы могут попасть в здоровый компьютер. Распространение вируса происходит автоматически через файл autorun.inf . На самом деле этот файл совершенно безвредный и служит для автозапуска программ с внешних носителей. Т.е. при установке флешки на компьютер, система Windows распознает тип программ и сразу их запускает. Но также через файл autorun.inf в авторежиме запускается и вредоносное ПО, имеющееся на носителе.

Антивирусная утилита Panda USB Vaccine отключает функцию автозапуска файлов с подключенного внешнего устройства, а также с самого компьютера. Происходит своеобразная вакцинация устройств, для обезвреживания autorun-вирусов. От других типов вирусов должен защищать установленный на компьютере антивирус. Другими словами, если Вы сами запустите на внешнем носителе файл, содержащий вирус, не относящийся к авторан, то блокировать его должна антивирусная программа компьютера.
Для скачивания бесплатной программы Panda USB Vaccine, переходим на официальный сайт разработчика www.pandasecurity.com .

В окне “Configuration settings” переведем основные пункты настроек:

Run Panda USB automaticity computer boots — запуск утилиты при загрузке системы компьютера.

Hide tray icon when /resident mode is active — иконка программы будет невидимой в трее, программа будет работать.

Automatically vaccinate any new resident USB Key — автоматически вакцинировать любой новый подключенный USB накопитель.

Enable NTFS file system support — включить поддержку файловой системы NTFS.

Я думаю, иконку лучше оставить видимой в трее и не включать функцию автоматического вакцинирования новых накопителей.

На этом установка программы завершается. Переходим непосредственно к вакцинированию. Вызвать утилиту Panda USB Vaccine можно кликнув два раза на иконку в виде шприца в трее.

В главном окне программы есть два основных раздела: “Computer Vaccination” и “USB driver Vaccination”.

В первом разделе если нажать на кнопку “Vaccinate computer”, то будет отключен автозапуск на компьютере. Оранжевая запись говорит, что компьютер не вакцинирован.

Второй раздел предназначен для отключения автозапуска USB накопителей.

Обратную процедуру включения автозапуска Autorun компьютера, можно сделать данной утилитой, что нельзя сказать про вакцинированные флешки. Чтобы вернуть автозапуск внешним накопителям, нужно будет их форматировать или искать сторонние утилиты.

На этом обзор утилиты Panda USB Vaccine окончен.