Признайтесь, вы часто пользуетесь флеш-накопителями? Наверняка часто, ведь сегодня это самый популярный носитель информации – а все благодаря крохотным размерам и внушительному обьему. Несмотря на все удобства, флеш-накопитель (или просто флешка) обладает одним очень нехорошим свойством: стоит воткнуть флешку в «не свой» компьютер, как на ней тут же появляются вируса. И было бы не так страшно, если бы это были обычные вируса, которые распознаются антивирусными программами…

Но давайте обо всем по порядку. Неделю назад я забрал свою флешку у одного знакомого, который является достаточно опытным пользователем ПК, теоретически его компьютер не должен содержать вирусов (лицензионный и регулярно обновляемый dr.Web и все такое). Не стану утверждать что dr.Web является плохим антивирусом, поскольку флешку сочли «чистой» и Zillya! у меня дома и Nod32 у меня на работе, и Касперский у соседа. Я бы тоже не заподозрил неладного, если бы не изменившаяся иконка флеш-накопителя. На всякий случай глянул какие процессы запущены и вот что обнаружил:

Посмотрите как выглядит prowise manager в тот момент когда вставляется флешка – появляется «лишний» процесс okitab.exe, который буквально через секунду исчезает. Флешка при этом работает как обычно, т.е. вирус себя никак не проявляет. Разве что появляется файл autorun.inf, которого раньше не было:

Ладно бы просто появлялся, так его содержимое намекает на файл okitab.exe который должен находиться в папке mirk… А подобной папки на флешке не было видно даже при установленных атрибутах «показывать скрытые и системные папки». На помощь пришел старый добрый FAR:

Не только показал, но и удалил (кто забыл, в FAR-е это делается через F8). В принципе можно воспользоваться любым менеджером, который не обращает внимания на параметры реестра/настройки windows и делает все по-своему (Dos Navigator или Norton Commander подойдет, а вот Total Commander – нет).

Отлично, нашу проблему с загадочным и непонятным файлом мы решили. Но как быть далее? Можно ли сделать так, чтобы в дальнейшем она не повторялась?

Позвольте вначале немного скушной теории:

В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.

Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.

В некоторых случаях в autorun.inf записывается не путь к исполняемому файлу, вирус полностью заменяет файл своим кодом не в текстовом виде и не требует дополнительных файлов.

Затем давайте разобьем нашу большую проблему на две маленькие проблемки.
Что мы имеем?
1. Нашу флешку, которую кроме нашего компьютера мы можем вставить в не наш потенциально зараженный компьютер (говоря по-научному, флешка будет инфицирована).
2. Наш компьютер, в который мы можем вставить не нашу потенциально зараженную (по-научному инфицированную) флешку.

Что мы хотим?
1. Чтобы на нашей флешке никогда не срабатывал автозапуск, независимо от того на каком компьютере она используется
2. Чтобы на нашем компьютере никогда не срабатывал автозапуск, независимо от того какая флешка используется

Первую проблему решаем, не выходя из FAR-а – просто создадим папку с именем autorun.inf. Для этого нажимаем  F7 и в появившемся поле пишем autorun.inf, после чего можем «спрятать» данную папку. Для того чтобы спрятать, нажимаем Ctrl+A и выбираем атрибуты «скрытый» и «системный». Все, теперь наша флешка надежно защищена – ни одна дрянь через автозапуск на нее не переберется. Это связано с тем, что Windows не разрешит создать файл с именем, которое уже существует на данном диске.

Теперь запретим автозапуск для всех носителей. Это сбережет наш компьютер от вирусов, которые возможно (!) находятся на чужих флешках, которая вставляются в наш компьютер. Запускаем regedit, идем в
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer и создаем параметр
«NoDriveTypeAutoRun» со значением dword:000000ff. Затем идем в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer и создаем еще один параметр «NoDriveTypeAutoRun» со значением dword:000000ff.

P.S.
Если папка autorun.inf «вдруг» стала видимой после того как флешку вставили в другой компьютер – значит он инфицирован. Вирус пытался записать файл autorun.inf, для чего сменил атрибуты папки. Будьте внимательны и обязательно проверте данный компьютер!

Popularity: 37%

Похожие статьи:

• Как удалить вирус csrcs.exe
• Избавляемся от pop-up&pop-under. Часть 2.
• Старый новый блог
• Несколько IE на одном компьютере
• Плагины для Safari под Windows
• Блокировка pop-up своими силами