Вставь пендрайв где-нибудь в универе или интернет-кафе — и малварь не заставить себя ждать. К гадалке не ходи по поводу флешки подружки : вопрос тут только в том, сколько разновидностей малвари уживается в одном месте. Да что там говорить, — если даже у опытных пользователей на внешних носителях часто оседает случайно подцепленная зараза? Принцип действия настолько прост, что описывается буквально в двух словах.
Любой вирус, у которого в арсенале числится распространение через внешние носители, использует 2 файла - autorun.inf и бинарник с собственно телом вируса. Когда пользователь вставляет флешку, Винда считывает зловредный autorun.inf и, следуя указаниям, сразу запускает тело вируса или же исполняет его во время двойного клика по иконке накопителя. Ну а, обосновавшись в системе, ничего не стоит копировать эти файлы на все подключаемые в систему диски. Сегодня мы разберемся, во-первых, как обезопасить свою флешку, а во-вторых, как избавить систему от «вредных привычек».
Непробиваемая защита
Самая лучшая защита на флешке—запрет записи на хардварном уровне. Некоторое время назад у многих флешек такой переключатель был по умолчанию, но сейчас производители отошли от этой практики. Зато почти на всех карточках Secure Digital (SD) переключатели по-прежнему есть. Поэтому могу предложить непробиваемый вариант: купите такую карточку и компактный картридер, и в случае малейшего подозрения ставь переключатель в положение «read only». К тому же, картридер еще наверняка тебе пригодится .
Но вернёмся к обыкновенным флешкам :
NTFS — НАШЕ ВСЁ, ИЛИ СПОСОБ №1
Оставим изучение живности зоологам. Вместо того чтобы ежедневно отлавливать малварь, мы сделаем так, чтобы она попросту не появлялась. А для этого создадим флешке такие условия, чтобы живность там не могла существовать. Первый способ — очень легкий и, пожалуй, самый эффективный, (но увы, не лишенный недостатков). Суть в том. чтобы распрощаться с файловой системой FAT32, которая поголовно используется на внешних носителях по умолчанию, — и перевести флешку на NTFS, получив все ее преимущества.
Самый удачный вариант, перейти на NTFS.
Практика, показывает, что ничем не хуже других оказываются встроенные средства Винды. Поэтому можно просто выбрать в контекстном меню пункт «Отформатировать», после того, как в свойствах флешки выбрать на вкладке политика "Оптимизировать для быстрого выполнения" или даже банально воспользоваться консольной командой:
format f: /FS:NTFS
Если есть необходимость сохранить данные на флешке, используй встроенную утилиту для преобразования файловой системы на выбранном разделе:
convert f: /FS:NTFS(предпочтительнее)
Преимущества NTFS в её надёжности и возможности записать файлы более 4 гб. Однако скорость доступа к файлам на несколько процентов ниже, чем на FAT32.
Форматирование флешки в NTFS имеет смысл, если нужно записать на неё файл более 4 гб, или если хочется уберечься от вирусов. Лично для себя использую для того, чтобы записав на флешку антивирусную утилиту, для проверки заражённого компа, я не сомневался в её незаражённости, так как на флешке в NTFS гораздо проще поставить значение READ only на вкладе "Безопасность" в свойствах носителя. Там это будет выглядеть как снятие галочек с пунктов "Полный доступ" , "Запись", "Изменение" и т. д. , всё, что связано с записью на флешку.
Можно ещё сделать так.
Вспоминаем, что вирусу обязательно нужно создать свой autorun.inf в корне сменного носителя, чтобы обосноваться на USB-носителе. Поэтому следующий шаг — просто запретить создание каких-либо файлов в корне флешки.
Где же тогда хранить файл ? Очень просто — в специально созданной папке. Пусть она будет называться FILES, для которой по-прежнему будут разрешены операции чтения/записи/выполнения файлов. Для этого переходим в свойства безопасности каталога и нажимаем на кнопку «Дополнительно" В появившемся окошке надо сделать важную вещь — отключить наследование разрешений от родительского объекта, сняв соответствующую опцию.
Далее, в появившемся диалоге, жмем «Копировать» и выходим отсюда, дважды ответив «Ок», Теперь можно смело отключать запись в корневой каталог, не опасаясь, что новые политики будут унаследованы в нашей папке с файлами. Выбираем в колонке «Запретить» пункт «Запись», а в столбце «Разрешить» оставляем следующие права: «Чтение и выполнение». «Список содержимого папки». «Чтение».
В итоге, мы получаем флешку, на которую не сможет записаться Autorun (ради чего собственно все и затеяли). Для удобства можно создать защищенный от записи autorun.inf, который будет открывать ту самую папку FILES.
Панацея ? К сожалению, нет. Если малварь запущена с правами администратора, то ничто не помешает ей поменять ACL-разрешения. как вздумается. Правда, на практике, малвари, готовой к подобной ситуации, пока немного.
А вот со следующей проблемой я столкнулся лично. — когда вставил вакцинированную флешку в свою магнитолу и, естественно, обломался. Большинство бытовых девайсов знать не знают о существовании NTFS и работают только с флешками на FAT32. Многие люди используют в качестве флешки РSР или МРЗ-плеер — и их вообще никак не получится отформатировать в NTFS. Ну и напоследок: флешки с NTFS становятся Read only на маках и на многих Linuxax.
Внимание — важный нюанс! Отформатированную в NTFS флешку обязательно нужно вытаскивать через «Безопасное отключение устройства». Если в случае с FAT32 на это можно было смело забивать, то с NTFS все данные проходят через кэш, и вероятность того, что часть данных, не успев полностью скопироваться из кэша, пропадет при отключении, крайне велика.
СЛАВНЫЕ ОСОБЕННОСТИ FAT32, ИЛИ СПОСОБ №2
Как я уже сказал, вариант с NTFS прокатывает далеко не всегда. Но есть возможность оставить носитель на родной файловой системе FAT32 и, более того — использовать для защиты ее специфику. Задача опять же та же — запретить вирусу создавать на флешке файл autorun.inf. Когда-то было достаточно просто создать каталог с именем AUTORUN. INF, выставив ему атрибуты «Read оnlу» и «Hidden». Так мы препятствовали созданию файла с тем же именем. Сейчас это, понятно, не вариант. Зато есть чуть модифицированный трик, который большинство малвари обходить пока не научилось. Обьясняю идею.
Создаем каталог AUTORUN. INF. Если каталог не пустой, удалить его можно, лишь расправившись со всем содержимым. Это очень просто, — но только не в случае, когда в каталоге есть файлы с
некорректными для FAT32 именами! Именно этот принцип защиты лежит в основе программы USB Disk Security ( www zbshareware.com), которая создает на флешке AUTORUN. INF и в нем файл «zhengbo.» (да-да, с точкой на конце — что, естественно, некорректно). И знаешь: большинство малвари остается не у дел. За свое «ноу-хау» разработчики просят $50, но нам ничего не стоит сделать то же самое вручную.
Для этого вспоминаем старый трик, заключающийся в использовании локальных UNC-путей. Напомню, что UNC — это формат для записи пути к файлу, расположенному на удаленном компьютере. Он имеет вид \\server\share\path , где server — это название удаленного хоста. Такой способ доступа к файлам можно использовать и для локальной машины, — только тогда вместо server нужно подставлять «?» или «.», а путь к файлу указывать вместе с буквой диска. Например, так: \\?\С: \ folder \file.txt. Фишка в том, что при использовании UNC-путей и стандартных консольных команд можно создавать файлы даже с запрещенными файловой системой именами.
Создадим несложный ВАТ-файл со следующим содержанием:
mkdir ”\\?\J:\AUTORUN.INF\LPT3”
После запуска получим каталоге некорректным именем LPT3, находящийся в папке AUTORUN.INF — обычным способом ее уже не удалить, а значит, малварь не сможет создать файл autorun.inf, оставшись не у дел!
Недостатков хватает и у этого способа. Во-первых, разработчики новой малвари могут использовать хинт от обратного и воспользоваться UNC-путями для удаления файлов/папок
с некорректным именем: \ \ ?\J: \ AUTORUN. INP\LPT3. Директорию можно вообще не удалять — а беспрепятственно переименовать: к примеру, в AUTORUN.INF1.
Другой вопрос, что такой малвари пока, опять же, немного. И раз мы заговорили о создании ВАТ-файла, то накидаем универсальный скриптик, который, помимо всего прочего, будет:
• удалять папку, замаскированную под корзину (на флешке ее быть не должно), где располагают свои тела многие черви (в том числе. Downadup),а также папку с файлами восстановления системы;
• создавать системную папку AUTORUN.INF с директорией СОМ1.
• с удалением такого файла будут трудности даже под NTFS:
• удалять и защищать desktop.ini, который также часто используется малварью.
rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
rd /s /q ‘’%~d0\System Volume Information’’
del /f /q %~d0\autorun.*
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h %~d0\autorun.inf
del /f /q %~d0\desktop.ini
mkdir ’’\\?\%~d0\deskcop.ini\coml"
attrib +s +h %~d0\desktop.ini
Достаточно сохранить это на флешке с именем, например, autorun.bat и запустить
Работать в системе с правами Администратора - последнее дело, но. увы. распространенная практика. Если малварь будет запущена из-под такого аккаунта. то никакие наши меры не подействуют. Грамодный вирус беспрепятственно вернет все на свои места и не поперхнется Мораль: не сиди под рутом !
СОВЛАДАТЬ С АВТОЗАГРУЗКОЙ
Одно дело — разобраться со своей собственной флешкой, и совсем другое — не подцепить заразу с чужих. Для того чтобы малварь не перекочевала на твой комп, продолжив свое победоносное шествие, необходимо, во-первых, грамотно отключить автозагрузку и, во-вторых, взять на вооружение пару полезных утилит.
Начнем с первого. Казалось бы: что может быть проще, чем отключение автозапуска? Но на деле все не так прозрачно! Даже если поставить запрет через локальные политики Windows, в системе все равно остаются дырки, позволяющие заюзать малварь. Это легко проверить! Сначала отключаем автозапуск через стандартные политики Windows и убеждаемся, что автозапуск вроде как не работает. А теперь проведем эксперимент, создав на флешке autorun. inf со следующим содержанием:
[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell \Open\Default=l
shell \Explore\Command=calc. exe
shell \Autoplay\Command=calc. exe
Во время монтирования девайса, действительно, ничего не запускается, но попробуем дважды щелкнуть по иконке носителя. Что мы видим ? Винда открывает калькулятор! Думаю, не надо объяснять, что вместо него там могло оказаться, что угодно. Вместо этого приведу подробную инструкцию, как правильно и окончательно отключить автозапуск системы:
1. Первым делом правим ключ реестра, который отвечает за запуск с СD. Переходим в ветку
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
находим параметр AutoRun и устанавливаем его равным нулю.
2. Далее переходим в раздел
НKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\policies\Explorer
Здесь создаем новый ключ NoDriveTypeAutoRun типа dword и задаем значение ff в шестнадцатеричной системе. Для верности можно повторить те же действии в ветке HKEY_CURRENT_USER, но они все равно будут игнорироваться.
3. Другой интересный хинт заключается в редактировании ключа
HKEY_ L0CAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ IniFileMapping\Autorun.inf
которому нужно присвоить значение (типа REG_SZ) — @SYS: DoesNotExist
Так мы заставляем Windows думать, что autorun.in является конфигурационным файлом древних программ, разработанных для ОС. более ранних чем Windows 95!
Не имея в распоряжении реестра, они использовали INI-файлы для хранения своей конфигурации. Создав подобный параметр, мы говорим, чтобы система никогда не использовала значения из файла autorun.inf. а искала альтернативные «настройки» по адресу HKEY_LOCAL_MACHINE\ SOFTWARE\DoesNotExist (естественно, он не существует). Таким образом, autorun.inf вообще игнорируется системой, что нам и нужно. Используемый в значении параметра символ @ блокирует чтение файла .INI, если запрашиваемые данные не найдены в системном реестре, а SYS является псевдонимом для краткого обозначения раздела HKEY_ LOCAL_MACHINE\Software.
4. Нелишним будет обновить параметры файлов, которые не должны автозапускаться, добавив туда маску
*.*
В разделе HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ AutoplayHandlers\CancelAutoplay\Files
создаем строковой параметр типа REG_SZ с названием *.*
5. В реестре Винды есть замечательный раздел MountPoints2, который обновляется, как только в компьютер вставляется USB-носитель. Собственно, именно это и позволяет провернуть трюк, который я описал вначале. Бороться с подобным положением вещей можно.
Сначала необходимо удалить все ключи Mount Points2, которые ты сможешь найти поиском в реестре, после чего перегрузиться.
Далее находим HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2 и в политике доступа запрещаем редактирование ключа всем пользователям, включая админов.
Не помешает установить монитор реестра, который следил бы за появлением новых ключей MouncPoints2 и блокировал к ним доступ.
Только после этого можно быть уверенным, что автозапуск в системе работать не будет. Кто бы мог подумать, что все так сложно?
Есть ещё такой способ для FAT32, сложный, но действенный.
Защита Flash-ки от записи новых файлов.
Защита флешки от записи новых файлов осуществляется путем определения свободного пространства на ней, с последующим полным его заполнением, используя утилиту fsutil. Такой метод отлично подходит, например, для защиты загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF.
Fsutil является служебной программой командной строки. Для использования программы fsutil необходимо войти в систему с помощью учетной записи администратор или члена группы администраторов.
можно вывести Help:
fsutil /?
Такой способ, как выяснилось в результате тестирования, имеет 1 минус:
Создание больших файлов занимает несколько минут времени. А если понадобилось удалить защитный файл, дописать что-то на флешку, а потом снова выставить защиту? Снова теряется время на создание большого файла
Создаём файл VirusKaput.cmd:
@echo off
setlocal enabledelayedexpansion
set /a sizofile=1024 * 1024 * 1024
for /l %%K in (1,1,256) do (
for /f "tokens=3" %%J in ('dir %~d0 /-C') do (set freespace=%%J)
if !freespace! EQU 0 goto ready
if !freespace! GTR !sizofile! (
call :getime
fsutil file createnew "%~d0\[ 1024 Mb ] !randtime!" !sizofile!
) else (
for /l %%K in (1,1,5) do (
for /f "tokens=3" %%J in ('dir %~d0 /-C') do (set freespace=%%J)
set /a sizofilemb=!sizofile! / 1024 /1024 / 2
set /a sizofile=!sizofile! / 2
if !freespace! GEQ 67108864 (
if !freespace! GEQ !sizofile! (
call :getime
fsutil file createnew "%~d0\[ !sizofilemb! Mb ] !randtime!" !sizofile!
)
) else (
if !freespace! EQU 0 goto ready
call :getime
fsutil file createnew "%~d0\[ 1-63 Mb ] !randtime!" !freespace!
goto :EOF
)
)
)
)
:getime
set randtime=!time:~-10!
set randtime=!randtime::=!
set randtime=!randtime:,=!
exit /b
Логика работы кода следующая:
определяется количество свободного пространства на флешке
если свободного пространства больше 1Gb — создаем файлы размером 1Gb до тех пор, пока это условие выполняется
Когда свободного пространства меньше 1 гигабайта — последовательно пытаемся создать файлы размером 512Mb, 256Mb, 128Mb, 64Mb и последний файл размером от 1 до 63Mb
В итоге на флешке создается примерно следующая структура файлов, заполняющая все свободное место (7-значный уникальный код в конце названия каждого файла необходим для избежания ошибки создания файлов с одинаковыми именами):
[ 1-63 Mb ] 7344296
[ 64 Mb ] 7343581
[ 256 Mb ] 6050959
[ 512 Mb ] 6043075
[ 1024 Mb ] 2341570
[ 1024 Mb ] 2353157
После установки на флешку такой защиты, нельзя ничего с нее удалять (включая и упомянутый bat-файл), иначе защита перестанет действовать. Для снятия защиты от записи новых файлов (например, при необходимости записать что-то на флешку), необходимо удалить один или несколько созданных таким образом файлов минимально необходимого размера, и записать свои данные. Восстановление защиты после этого займет минимальное время.
Строго говоря, такой метод нельзя считать полным аналогом аппаратного переключателя «read-only», имеющегося на некоторых видах флешек. Даже если флешка защищена от записи новых файлов описанным методом, вирус имеет возможность создать файл autorun.inf на флешке — но вот записать что-либо в этот файл уже не сможет.
Следует также заметить, что вирус имеет возможность поразить потенциально уязвимые файлы, уже содержащиеся на флешке, ввиду остатка свободного места (обусловленного кластерностью) выделенного для хранения файла. Но тенденции развития функционала вирусов позволяют говорить о том, что сегодня вирусы все меньше поражают отдельные файлы, а все больше используют уязвимости операционной системы Windows.
Таким образом, считать такой способ защитой от записи можно только в контексте невозможности создания на флешке непустых новых файлов. Что однако, как показывает практика, является серьезной мерой защиты от autorun-вирусов. Как говорилось выше, этот метод отлично подходит для защиты загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF, а также для флешек с личным набором необходимого программного обеспечения, подключаемого к чужим компьютерам.
Рейтинг:
