Зізнайтеся, ви часто користуєтеся флешками? Напевно часто, адже сьогодні це самий популярний носій інформації – а все завдяки крихітним розмірами і значному обьему. Незважаючи на всі зручності, флешки мають одну дуже погану властивість: варто увіткнути флешку в “не свій” комп’ютер, як на ній відразу з’являються віруси. І було б не так страшно, якби це були звичайні віруси, що розпізнаються антивірусними програмами…

Але давайте про все по порядку. Тиждень тому я забрав свою флешку в одного знайомого, який є досить досвідченим користувачем ПК, теоретично його комп’ютер не повинен містити вірусів (ліцензійний і регулярно оновлюваний dr.Web і таке інше). Не буду стверджувати що dr.Web є поганим антивірусом, оскільки флешку визнали “чистою” і Zillya! у мене вдома і Nod32 у мене на роботі, і Касперський у сусіда. Я б теж не запідозрив недобре, коли б не змінилася іконка флеш-накопичувача. Про всяк випадок глянув які процеси запущені і ось що виявив:

Подивіться як виглядає prowise manager в той момент коли вставляється флешка – з’являється “зайвий” процес okitab.exe, який буквально через секунду зникає. Флешка при цьому працює як звичайно, тобто вірус себе ніяк не проявляє. Хіба що з’являється файл autorun.inf, якого раніше не було:

І не просто з’являвся, його вміст натякає на файл okitab.exe який повинен знаходитися в каталозі mirk… Але ні каталогу, ні файла на флешці не було видно. Навіть при встановлених атрибутах “показувати приховані та системні папки”. На допомогу прийшов старий добрий FAR:

Не тільки показав, але і видалив (хто забув, у FAR-і це робиться через F8). У принципі можна скористатися будь-яким менеджером, який не звертає уваги на параметри реєстру/налаштунки windows і робить все по-своєму (Dos Navigator або Norton Commander підійде, а ось Total Commander – ні).

Гаразд, нашу проблему із загадковим і незрозумілим файлом ми вирішили. Але як бути далі? Чи можна зробити так, щоб в подальшому вона не повторювалася?
Дозвольте спочатку трохи нудної теорії:

В даний час файл autorun.inf широко використовується для розповсюдження комп’ютерних вірусів через flash-накопичувачі і мережеві диски. Для цього автори вірусів прописують ім’я виконуваного файлу зі шкідливим кодом в параметр open. При підключенні зараженого flash-накопичувача Windows запускає записаний в параметрі «open» файл на виконання, в результаті чого відбувається зараження комп’ютера.

Вірус що знаходиться в оперативній пам’яті зараженого комп’ютера періодично сканує систему з метою пошуку нових дисків, і при їх виявленні (при підключенні іншого flash-накопичувача або мережного диска) створює на них autorun.inf з посиланням на копію свого виконання файлу, забезпечуючи таким чином свій подальший поширення.

У деяких випадках у autorun.inf записується не шлях до виконуваного файлу, вірус повністю замінює файл своїм кодом не в текстовому вигляді і не вимагає додаткових файлів.

Потім давайте розіб’ємо нашу велику проблему на дві маленькі проблемки.
Що ми маємо?
1. Нашу флешку, яку окрім нашого комп’ютера ми можемо вставити в не наш потенційно заражений комп’ютер (кажучи по-науковому, флешка буде інфікована).
2. Наш комп’ютер, у який ми можемо вставити не нашу потенційно заражену (по-науковому інфіковану) флешку.

Що ми хочемо?
1. Щоб на нашій флешці ніколи не спрацьовував автозапуск, незалежно від того на якому комп’ютері вона використовується
2. Щоб на нашому комп’ютері ніколи не спрацьовував автозапуск, незалежно від того яка флешка використовується

Першу проблему вирішуємо, не виходячи з FAR-а – просто створимо папку з ім’ям autorun.inf. Для цього натискаємо F7 і в поле що з’явилося пишемо autorun.inf, після чого можемо “заховати” дану папку. Для того щоб заховати, натискаємо Ctrl + A і вибираємо атрибути “прихований” і “системний”. Все, тепер наша флешка надійно захищена – ні одна погань через автозапуск на неї не перебереться. Це пов’язано з тим, що Windows не дозволить створити файл з ім’ям, яке вже існує на даному диску.

Тепер заборонимо автозапуск для всіх носіїв. Це збереже наш комп’ютер від вірусів, які можливо (!) Знаходяться на чужих флешках, яка вставляються в наш комп’ютер. Запускаємо regedit, йдемо в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer і створюємо параметр
“NoDriveTypeAutoRun” зі значенням dword: 000000ff. Потім йдемо в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer і створюємо ще один параметр “NoDriveTypeAutoRun” зі значенням dword: 000000ff.

P.S.
Якщо каталог autorun.inf “раптом” став видимим після того, як флешку вставили в інший комп’ютер – значить вона інфікована. Вірус намагався записати файл autorun.inf, для чого змінив атрибути нашого прихованого каталогу. Будьте уважні і обов’язково перевірте даний комп’ютер!

Popularity: 9%

Схожі статті:

• Як видалити вірус-троян csrcs.exe
• Боремося з pop-up&pop-under. Частина 2.
• Кілька IE на одному комп’ютері
• Плагіни для Сафарі під Windows
• Блокування pop-up своїми силами

Залишити коментар