Panda USB and AutoRun Vaccine — лекарство от autorun-вирусов на флешке

    5 марта я написал свою статью о скрипте AUTOSTOP для защиты флешек от autorun-вирусов, получившую немалый отклик. И только я сегодня собрался писать новую статью об альтернативном (более надежном) методе, как на одном из ресурсов, в теме, посвященной обсуждению скрипта, мне подсказали программу Panda USB and AutoRun Vaccine, работающую именно по методу, который я хотел описать. Причем работающую просто блестяще! Файл autorun.inf, создаваемый ею на флешке (дабы предотвратить создание такого файла вирусом) невозможно ни удалить, ни переименовать (в чем была слабость моего скрипта), ни модифицировать, ни открыть.

    image

    Познакомимся с программой поближе, рассмотрим ее возможности и метод, на котором базируется принцип работы.


    МЕТОД


    Прежде всего расскажу о методе.

    Буквально через несколько дней после опубликования мною статьи, пользователь ЖЖ __x_tra
    отписался в моем ЖЖ об альтернативном способе защиты флешки от autorun-вирусов, который он придумал: на флешке создается файл или каталог с названием AUTORUN.INF, и с помощью WinHex этому файлу или каталогу выставляется недопустимый атрибут. Напомню, что согласно FAT32 File System Specification, более известной как FATGEN (мы здесь рассматриваем защиту флешек с FAT):

    File attributes:
    ATTR_READ_ONLY 0x01
    ATTR_HIDDEN 0x02
    ATTR_SYSTEM 0x04
    ATTR_VOLUME_ID 0x08
    ATTR_DIRECTORY 0x10
    ATTR_ARCHIVE 0x20
    ATTR_LONG_NAME ATTR_READ_ONLY | ATTR_HIDDEN | ATTR_SYSTEM | ATTR_VOLUME_ID
    The upper two bits of the attribute byte are reserved and should always be set to 0 when a file is created and never modified or looked at after that.


    В варианте же, придуманном __x_tra предлагалось поставить два верхних бита не в 0, а в 1. Байт атрибутов получался таким: 0xF7 (ATTR_ARCHIVE+ATTR_DIRECTORY+ATTR_SYSTEM+ATTR_HIDDEN+ATTR_READ_ONLY+два старших бита 11). Еще предлагались возможные варианты в виде 0xC7, 0xD7, 0xE7. Я протестировал метод — он оказался рабочим! AUTORUN.INF с присвоенным таким образом атрибутом, невозможно было открыть, переименовать и модифицировать. Меня лишь смущало 2 фактора:
    • Корректность такого способа: как он отразится на работоспособности файловой системы.
    • Повторяемость способа: каким образом объяснить простому пользователю что такое WinHex, и с чем его едят.


    ПРОГРАММА


    Вернемся теперь к программе Panda USB and AutoRun Vaccine.

    image

    Напомню что «Panda USB Vaccine currently only works on FAT & FAT32 USB drives». Маленький размер файла (всего 393Kb) и спартанский интерфейс — все продумано, ничего лишнего. Добавлю что программа бесплатная.

    Начну с кнопки «Vaccinate USB». Я специально создал заранее на флешке файл autorun.inf с атрибутами RAHS — это никоим образом не помешало программе, при нажатии на упомянутую кнопку, перезаписать его своим одноименным файлом, который, как я говорил в начале статьи «невозможно ни удалить, ни переименовать (в чем была слабость моего скрипта), ни модифицировать, ни открыть». Открываем флешку в WinHex, смотрим атрибут файла autorun.inf. И что же мы видим:

    image

    Мы видим что аналогично способу __x_tra, изменен атрибут файла: 0х40. В статье FAT12, FAT16 and FAT32 Windows File System находим расшифровку, которой нет в FATGEN:

    0x40 Device (internal use only, never found on disk)
    0x80 Unused


    Т.е. атрибут 0x40 не так уж «некорректен» — он «в рамках спецификаций». Чесно говоря, я очень рад, что ребята из Panda Software реализовали этот способ в крохотной программе, нажатием одной лишь кнопки — не заставляя пользователя прибегать к WinHex.

    Замечу что средствами программы отменить вакцинацию флешки невозможно. Если уж появилась необходимость создать на флешке свой autorun.inf (например, чтобы сделать ее загрузочной) — то WinHex вам в помощь, или переформатирование (для этой цели, кстати, хорошо использовать HP USB Disk Storage Format Tool).

    Вторая кнопка программы «Vaccinate computer». Проверим что она делает:

    image

    Это знакомый мне (еще до создания скрипта AUTOSTOP, я использовал именно этот метод) придуманный Nick Brown способ:

    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"

    SYS:DoesNotExist говорит explorer'у чтобы он не читал параметры запуска из файла Autorun.inf, а читал их из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist, которая не существует. В итоге если внешний носитель содержит файл Autorun.inf — то при подключении носителя к компьютеру, Autorun.inf не запускается. Более того — не запускается он и при двойном клике по букве диска этого носителя в проводнике.

    Способ хорош (замечу, что в программе присутствует функция отмены этого действия, на тот случай если авторан пользователю все же понадобится, осуществляемая повторным нажатием на кнопку, надпись на которой будет «Remove vaccine»), но добавлю что для полного отключения автозапуска будет необходимо добавить еще 3 ключа реестра (в приведенном мной синтаксисе они добавлаются через bat-файл):

    • REG ADD «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files» /v "*.*" /d "" /f
      В CancelAutoplay\Files находятся текстовые параметры, содержащие имена файлов, отыскав которые на носителе встроенный AutoRun запускаться не станет и позволит запустить носитель через autorun.inf. Добавляем строковый параметр следующего содержания: *.* (все файлы).
    • REG ADD «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer» /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
      С помощью NoDriveAutoRun запрещается загрузка с определенных приводов по их буквенному обозначению, а NoDriveTypeAutoRun запрещает загрузку с определенных приводов по их типу. Поскольку нам авторан вообще не нужен, используем второе.
    • REG ADD «HKLM\SYSTEM\CurrentControlSet\Services\Cdrom» /v AutoRun /t REG_DWORD /d 0 /f
      Cdrom — полное отключение всякой поддержки автозапуска компакт-дисков (даже ручной).


    Из дополнительных возможностей программы отмечу следующее: если запустить программу с ключом (кроме этого ключа есть еще несколько — см. страницу программы)

    USBVaccine.exe /resident

    то она будет висеть резидентно, и при подключении новой флешки, будет предлагать вацинировать ее:

    image

    ВЫВОДЫ


    Из известных мне на сегодняшний день способов защиты флешек с FAT от autorun-вирусов это самый надежный. Понятно что раз такие вещи умеет делать программа от Panda Software, то рано или поздно вирусописатели тоже могут этому научиться — но это вопрос времени, а в данном случае время выиграно, и выигрыш в пользу защиты.

    * Интересно что программа Panda USB Vaccine 1.0.0.19 beta вышла 5 марта — в тот же день, когда была написана моя статья о скрипте AUTOSTOP. Возможно в будущем 5 марта назовут международным днем борьбы с autorun-вирусами :)

    — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —

    UPD:


    В комментариях высказывалась идея о том, что было бы логично сделать создаваемый «Panda USB and AutoRun Vaccine» защищенный файл autorun.inf скрытым (чтобы не попадался на глаза пользователю, и не провоцировал его переформатировать флешку, уничтожив защиту). И вот Inskin нашел изящное решение, которое, в общем-то лежало на поверхности: атрибуты файла — побитовые. Складываем 0x40 (01000000) + 0x01 (00000001) + 0x02 (00000010) + 0x04 (00000100), получаем 0x47 (01000111), и имеем защищенный файл с атрибутами RHS. На рисунке сверху фрагмент строки WinHex, под ней — часть окна FAR:



    Я списался с __x_tra, и он любезно согласился помочь.
    Модифицированная версия, выставляющая файлу атрибут 0x47 (используйте на свой страх и риск): USBVaccine_47.zip (USBVaccine_47.exe, size — 1 182 464 bytes, размер больше оригинальной версии, т.к. оригинальная сжата UPX, MD5: 5e3eb34bb09b1dda31dae0dfd8cd3521).
    Поделиться публикацией

    Похожие публикации

    Комментарии 115
      +5
      Ну разве не проще отключить службу «Определение оборудования оболочки» (Shell Hardware Detection)? Если она отключена, никакой autorun.inf никогда не будет выполнен (именна эта служба его запускает). Я таким образом решил проблему раз и навсегда на всех своих подконтрольных компах.
        +2
        Ну а если я воткну свою флешку в один зараженный комп, а потом в другой комп, где никаких служб не отключено?
          0
          Ну можно перед этим сделать доброе дело и отключить :)

          Вообще это проблема Windows XP — что по-умолчанию пользователь работает с правами администратора. Это же рай для вирусов. В Vista хоть UAC спасает от такого…

          Но службу всё же проще отключить, чем заставить пользователя привыкать к новой системе прав. :)
          • НЛО прилетело и опубликовало эту надпись здесь
              0
              Да, в ВУЗ-ах это, похоже, вечная проблема.
              Когда я учился — дискетами вирусы разносили, сейчас флешками.
          0
          По информации автора замечательной программы Flash Guard: Можно полностью отключить Autorun, запретив службу «Shell Hardware Detection», но в этом случае у вас будут проблемы с подключением фото и видеокамер, сканеров и т.д.
            +4
            Это такие весьма условные проблемы :) Просто автоматически не отобразится окно с предложением импортировать снимки с камеры. Это же не значит, что они работать не будут. А то окно можно открыть вручную.

            Меня вообще автозапуск раздражает, в любом виде. И я уверен, что не только меня :)
              0
              Ну штатные же есть средства для отключения авторана, зачем сразу службу гасить-то?
                +1
                Отключить субъективно раздражающую службу — более штатное средство отключение авторана, чем пользование WinHex или даже вакцины от Panda, по-моему.
                  0
                  Под штатными средствами я вообще подразумевал панель управления и групповые политики.
                0
                Я все же предпочитаю способ отключения автозапуска через реестр, способом описанным в статье — таким образом обеспечивается большая гибкость и ясность.
                  –2
                  Меня вообще автозапуск раздражает, в любом виде. — ну прям таки в любом. А при установке операционной системы, когда грузитесь с диска или с флешки? :)
                0
                Службы вообше полезно отключать, безопасность можно значительно повысить без всяких фаерволлов.
                  +1
                  Shell Hardware Detection не только для автозапуска полезна.

                  Более правильный способ — отключение именно автозапуска через групповую политику.
                  –2
                  Я вот что то не пойму, а антивирусы давно отменили?
                    0
                    Антивирус не панацея, вирусы имеют свойство в базах появляться с задержкой.

                    Я уже пару раз вылавливал у себя на ноуте вирусню, пришедшую с флешки.
                      +1
                      Если антивирус умеет ловить конкретный вирус — это замечательно. А если в его вирусной базе нет этой вирусной сигнатуры?
                        –2
                        Тогда срочно выдергивайте Lan шнурок.
                          +1
                          Хорош метод…
                          Если болит нога — её тоже нужно срочно отрезать?
                            0
                            И не включайте компьютер :)
                          0
                          а зачем они нужны, если вирусов нет? мою операционку не нужно притормаживать, т.к. я вполне успеваю за ее скоростью работы.
                          +6
                          Ммм, что мешает вирусу отредактировать FAT и убрать установленные атрибуты?
                            +2
                            Например, отсутствие прав.
                              +3
                              Или искусственного интеллекта.
                              0
                              Я писал об этом в конце статьи в выводах.
                                +1
                                Ну вот, подали идею народу, да теперь еще и фиг «вылечишь» такую флэшку :)
                                  +1
                                  Не стоит беспокоиться, файл стандартными средствами не откроется, поэтому его содержимое не прочитается. Поэтому для вирусов этот метод как раз не подходит.
                                    0
                                    А вирусы работают стандартными средствами? Мне казалось, как раз наоборот, ну, разве что, админские права потребоваться могут (в висте с этим сложнее, чем в ХР)
                                      +2
                                      А почему бы и не стандартными? CreateFile он везде один :) Естественно, не исключаются и нестандартные.

                                      Однако я говорил не о вирусах, а о том, что Autorun.inf должен быть прочтен операционной системой для автозапуска вредоносного исполняемого файла. Если вирус (теоретически, после прочтения этой статьи вирусописателем) использует способ смены скрытых атрибутов, чтобы «запретить» переименовать и удалять собственный autorun.inf, то это приведет к невозможности чтения его операционной системой и, как следствие, незапуском вредоносного кода — полной бесполезности autorun.inf.

                                      Вот я и говорил, что для вирусов такой вариант «защиты» не подходит, и за «фиг вылечишь такую флешку» (с)alexxxst беспокоиться не стоит.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  0
                                  У меня примерно такая же печальная статистика.
                                  Тем более востребована описанная мной здесь программа.
                                  0
                                  Отличное решение, а то у нас в универ нельзя флешку принести, почти на каждом компе по этому autorun вирусу :/
                                    0
                                    Как правило, в «общественных» компьютерных местах еще есть куча EXE-спутинковых (для каждой папки создается EXE с иконкой папки) вирусов, которые указанным методом не предотвращаются.
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        0
                                        Само собой… еще предотвращается альтернативным файлменеджером. Однако процентов 75 пользователей (по собственному опыту, особенно те кто особо не противостоят вирусам) все же пользуют проводник со стандартными настройками, и успешно запускают такое.

                                        А еще есть веб-вид папок в виде ХТМЛей со вредоносными скриптами. Что, собственно, тоже решается альтернативным менеджером или отключением, ну то есть проблемы те же, что и с вышеуказанным случаем.
                                          0
                                          Вирусами это обходится вот таким путем:
                                          ПАПКА(много пробелов).exe
                                      +1
                                      Я еще когда делал курсак с программой типа chkdsk, думал использовать ATTR_VOLUME_ID для защиты от удаления, но винда просто не видела этих файлов.
                                      А тут вот как получилося.

                                      Скоро вирусописатели будуть форматировать флешки и перезаписывать на них информацию с нужным autorun'ом :)
                                        0
                                        сплюньте — такие разновидности вирусов нам не нужны (:
                                        опасно остаться без важной информации, которая могла бы храниться в это время на флешке…
                                        0
                                        Интересный способ, хотя я autorun в реестре отключаю.
                                          +1
                                          Я ставлю акцент в этой статье на защиту флэшки, а не компьютера.

                                          Для компьютера есть немало способов «хороших и разных», как то: отключение автозапуска через реестр, остановка сервиса Shell Hardware Detection как предлагается в комментариях выше, антивирусы, специализированные программы (некторые из них перечислены у меня в разделе «Ссылки по теме».

                                          Для флешек же способов значитально меньше, в то время как защита самой флешки — это борьба с причиной, а не со следствием.
                                            0
                                            Полностью согласен! Защиту компа можно оставить в покое, с ней все ясно. Защита флэшки — тема!!! Помочь балбесам друзьям не нахватать авторанов в публичных местах — good.

                                            Mechanicus за работу в данном направлении жму ладонь!

                                            А чем плох батник:
                                            mkdir %~d0\AUTORUN.INF
                                            mkdir "\\?\%~d0\AUTORUN.INF\.."
                                            attrib +s +h %~d0\AUTORUN.INF

                                            Тестил на большом кол-ве зараженных машин, autorun.inf не пишется!
                                              +1
                                              Спасибо!

                                              Вы будете смеяться, но этот батник — это версия 1.2 моего скрипта AUTOSTOP. А плох он тем что удалить каталог AUTORUN.INF с вложенным подкаталогом ".." весьма затруднительно. А вот переименовать — очень просто. А вирусы, которые умеют переименовывать уже существуют — например Win32.HLLW.Autoruner.1018. В версиях 2.x скрипта этот недостаток устранен — там используется другой принцип. Но даже по сравнению с новой версией 2.1 скрипта, программа Panda USB and AutoRun Vaccine действует по более надежному методу.
                                                0
                                                Понял слабость.
                                                AUTOSTOP не изучал, ведь задача состоит в простоте использования. Один раз флэшку вакцинировал и простой «парикмахер» пошел улыбаясь в фотосалон или куда там они флэшки суют, где ему уже не наталкают в нагрузку домой грязи.
                                                С уважением…
                                                  0
                                                  Да, простота и удобство использования здесь не последний фактор.
                                              0
                                              Если на компе установлен антивирус то итак все понятно. А если нет, то что мешает вирусу заразить кучу файлов на этой флехе вне зависимости от того сможет он перезаписать авторан или нет.
                                                0
                                                Дело в том, что «куча файлов на этой флэхе» не несут такой опасности при подключении флешки, как autorun.inf со ссылками на эти файлы.
                                            +5
                                            Спасибо, мне весьма актуально. Для сведения — неубиваемость файла присутствует только под windows, в убунту файл удалился без вопросов (еще один способ девакцинации).
                                              0
                                              в убунту файл удалился без вопросов — спасибо за важное дополнение.
                                              0
                                              спасибо большое. наконец то! теперь осталось установить на все компьютеры в универе — главном рассаднике вирусов. пропиарил вас немного в своем блоге.
                                                +1
                                                Простите, не подскажете что кроме платного WinHex может сделать тоже самое?(Мне надо оставить свой авторан)
                                                Я конечно сейчас погуглю, но может кто сразу знает ответ?
                                                  0
                                                  Первое что вспомнилось — DMDE.
                                                    0
                                                    PSPad
                                                      0
                                                      Не нашел в его features работу с разделами файловой системы.
                                                    0
                                                    хм… с переходом на Linux я забыл о вирусах, но ету утилитку надо таки поставить на свою флешку во избежание недарозумений при контатке ее с win-компьютерами…
                                                      +1
                                                      Вот никогда не доверял панде )))
                                                      Почему файл создается не скрытый?!?! Простой пользователь увидев незнакомый файл или удаляя все файлы столкнется с ошибкой и форматнет ее начисто. Ну нельзя объяснять бухам(не всем) про автораны — это не благодарное занятие!!!
                                                        +1
                                                        Совершенно согласен с вами. Но те бухи, которым нельзя объяснять про автораны, скорее всего и про форматирование флешки вряд ли слышали.
                                                          +3
                                                          Видите ли, файл создается с некорректным атрибутом — именно по этой причине невозможно выставить атрибут «скрытый», и Panda или любой другой разработчик здесь совершенно ни при чем.
                                                            0
                                                            Ну нельзя объяснять бухам(не всем) про автораны — это не благодарное занятие!!!

                                                            Небезызвестный oldmann пишет: «Как и всякий хороший админ, я умею решать технические проблемы административными методами». Берите с него пример.

                                                            Либо используйте метод изменения прав в NTFS.
                                                              0
                                                              Не не…
                                                              Добры нужно говорить добрее!!! Тыкать не it-шнику в его неграмотности, можно прослыть снобом. Кесареву кесарево…
                                                              Флуд
                                                              Самоудаляюсь
                                                                +1
                                                                Сорри — и не думал заниматься подобными вещами, просто отвечал на ваши вопросы.

                                                                Я прекрасно понимаю, что вы, как не айтишник, намного лучше меня разбираетесь в своей области — и преклоняюсь перед этим.

                                                                Мне нравится следующее определение: «Образованный человек знает все о чем-то, и что-то обо всем».
                                                                  0
                                                                  )) Видимо поздно и мысли не прально выражаю. Я имел ввиду что я не буду тыкать людям не грамотным в IT. Яяя отвлекся от темы.
                                                                  Первый раз за год написал на хабре и тут же сказали — не айтишник ))))
                                                                    0
                                                                    Вывод: пишите почаще, и услышите обратное :)
                                                              0
                                                              Первым делом что попытался сделать это скрыть файлик… ))) просто чтобы глаз не резал.
                                                                0
                                                                У меня была вот какая мысль: программа создает файл с именем в верхнем регистре — AUTORUN.INF — и потому он больше бросается в глаза, чем файл autorun.inf с именем в дефолтном нижнем регистре (даже в тексте этого комментария это наглядно видно).

                                                                Учитывая этот фактор, можно руками создать autorun.inf и в WinHex присвоить ему атрибут 0x40.
                                                                0
                                                                Имхо это просто пандовцы недодумали. Надо послать им заявку, чтобы добавили чекбокс «Сделать папку невидимой» — глядишь, в новых версиях появится.
                                                                  0
                                                                  Мысль — попробую написать.
                                                                    0
                                                                    Да, я извиняюсь, что всё время про папку говорю — имею ввиду файл, конечно. Просто запало из предыдущих статей, что была попытка папку создавать, вот и лезет мне эта папка в голову :) Так что — «сделать файл невидимым».
                                                                0
                                                                рано или поздно вирусописатели тоже могут этому научиться — но это вопрос времени, а в данном случае время выиграно, и выигрыш в пользу защиты.

                                                                Никакого выигрыша по времени нет. Аттрибуты файлов уже давным-давно (и даже раньше) не представляют для вирусов совершенно никакой сложности.
                                                                  0
                                                                  Я тоже считаю, что вирусы-авторанеры, которые не проверяли этот атрибут, а пытались внаглую перезаписаться, теперь просто начнут «выпускать» с проверкой на корректность атрибута и дальнейшей заменой с удалением файла
                                                                    0
                                                                    Не буду пытаться вас переубедить — я высказал свое мнение.

                                                                    Предыдущая версия моего скрипта AUТOSTOP 1.х, базирующаяся на создании каталога AUTORUN.INF, с последующей защитой каталога от удаления была придумана мной (потом я узнал что не я один придумал такой способ) летом 2008 (опубликована в ноябре), и продержалась до февраля 2009 (в феврале мне стало известно что появились новые вирусы, умеющие переименовывать каталог). Не знаю, существует ли «вечная» защита, но то, что версия 1.х скрипта продержалась несколько месяцев, я считаю неплохим результатом. Также и здесь в случае Panda USB and AutoRun Vaccine.
                                                                    0
                                                                    Хахаха, ну не идиотизм ли: создатели ОС внедряют кучу способов авторана, а пользователи и сторонние разработчики так же дружно пытаются его отключить. Чушь какая то.

                                                                    Команды кстати, на будущее все же сохранил))

                                                                    p.s. стоило бы добавить команды для борьбы с файлами desktop.ini ;)
                                                                      0
                                                                      Сколько проблем существует у пользователей Windows. Предлагаю простое решение для среднестатистического юзера — разместить наконец рубильник на рабочем столе — вкл/выкл автозагрузку авторана. Предотвратит просто кучу эпидемий.
                                                                        +1
                                                                        P.s. Гм, а нельзя ли эти методы применить для защиты например вируса или трояна от удаления антивирусом (в том числе и через перезагрузку)?
                                                                          0
                                                                          да чую скоро вирусы начаться этому
                                                                            0
                                                                            К сожалению, можно и так применить их; особенно если антивирус не сильно разумен и оттого не способен такой метод предвидеть загодя.

                                                                            Типичная борьба меча и щита, собственно.

                                                                            (Хочу подчеркнуть, что непосредственно для защиты autorun-файлов вирусы не могут применять вышеописанный способ, ведь тогда файл не будет найден не только антивирусом, но также и системою, которая должна его запустить. Однако эдак можно скрывать основной код вируса от антивирусного анализатора сигнатур, например. То есть обоюдоострое средство получилося.)
                                                                            +2
                                                                            это никоим образом не помешало программе, при нажатии на упомянутую кнопку, перезаписать его своим одноименным файлом
                                                                            А вот удалить созданную мной папку AUTORUN.INF оно не смогло.
                                                                              0
                                                                              Не встречал еще autorun-вирусов, создающих папку AUTORUN.INF — им это незачем: для них это тупиковый ход, они не смогут так размножаться.

                                                                              С другой стороны, кроме моего скрипта AUTOSTOP, такую папку создает, например, программа USB Disk Security — возможно по этой причине ребята из Panda Sowtware не захотели переходить дорогу коллегам. О возможности существования такой папки они наверняка знают — не исключено что решили добавить этот функционал в следующих версиях (как видно на скриншоте, в программе есть возможность проверки обновлений, что подразумевает выход новых версий).
                                                                                0
                                                                                У меня то же самое. Папку с lpt файликом внутри удалить не смогла.
                                                                                Подтверждает, что это всё же не лекарство, а именно прививка. Зато хорошая же прививка!
                                                                                  0
                                                                                  И, главное, удобная. :)
                                                                                    0
                                                                                    Именно поэтому я и опубликовал этот пост — потому что классный удобный инструмент, а главное эффективный.
                                                                                0
                                                                                Из всех способов мне больше понравилось форматирование в NTFS, просто настроить права — чище и логичнее, а для предотвращения разблокировки на «подконтрольных» компах не давать работать с админскими привилегиями. Остаётся быть аккуратными при извлечении =)

                                                                                Конечно, для флешек в мобилах, телефонах и т.п. NTFS не подходит, но там превентивный autorun.inf с будет мешать гораздо меньше. Спасибо за статью =)
                                                                                  0
                                                                                  хм… у мну вообще эта панда виснет при «вакцинации» флешки))
                                                                                    0
                                                                                    все оказалось еще круче))) это оказыввается она минут 20 вакцинировало мою флешку :laugh:\
                                                                                      0
                                                                                      Попробуйте отформатировать флешку с помощью HP USB Disk Storage Format Tool и повторить процедуру.
                                                                                        0
                                                                                        да все норм… просто почем то она очень долго тупила…
                                                                                        вообще рабочий комп у меня какой то сильно странный) сафари вообще с искажениями вего чего токо можно идет))))
                                                                                          0
                                                                                          Это вирусы, точно, да, они виноваты.
                                                                                      +1
                                                                                      Ещё один способ в копилку автора!

                                                                                      Если ты на своем или чужом компьютере вставляешь флешку, диск, и т.д. нужно просто зажать Shift на клавиатуре и тогда autorun не запустится (даже если включен)!
                                                                                        0
                                                                                        Помню, в те времена, когда не знали как отключать авторан через реестр, приходилось пользоваться этим методом. Особенно неудобно было, если USB-порты только в задней части системного блока: один человек удерживает нажатым Shift на клавиатуре, другой подключает флешку.
                                                                                          +1
                                                                                          Просто к сведению: в последних виндах авторан сильно переделан и Shift уже не блокирует его.
                                                                                          Q: Why can't I override AutoPlay by pressing the Shift key as I could in Windows XP?
                                                                                          A: AutoPlay has been redesigned. Now, holding down the Shift key opens AutoPlay regardless of the default setting.
                                                                                          –2
                                                                                          Уже года полтора как создал на своих флешках папку autorun.inf с атрибутами «рид-онли» и «скрытый», ни один вирус еще не додумался их удалить. У кого-то есть другой опыт?
                                                                                            0
                                                                                            Да, есть. На сегодняшний день существуют вирусы, которые пытаются удалить каталог AUTORUN.INF (а в вашем случае простой конструкции rd /s /q AUTORUN.INF вполне достаточно)

                                                                                            Более того — существует вирус Win32.HLLW.Autoruner.1018 (подробнее здесь), который умеет переименовывать каталог AUTORUN.INF.

                                                                                            Я в своем скрипте AUTOSTOP ver.2.1 учел оба этих момента, но программа Panda USB and AutoRun Vaccine все равно справляется с этой задачей лучше.
                                                                                              0
                                                                                              Значит «перемирие» на этом фронте окончено :)

                                                                                              Интересно, что предложете когда вирусы обойдут фокус с 0xF7? Менять прошивку контроллера флешки, чтобы сделать область с автораном ридонли? :)

                                                                                              Есть такая идея:
                                                                                              На весь объем флешки минус объем truecrypt.exe или аналога создаем файл с образом диска (шифрованного или нет — по вкусу), монтируемого автоматически. В таком случае на физическом диске вирусу просто не хватит места чтобы разместить себя, а с виртуальным логическим уже можно что-то придумать, вплоть до изменения кода, т.к. open source. Не для массого применения, к сожалению.
                                                                                                0
                                                                                                Да, идея интересна, но в плане применения массовым пользователем проблематична.
                                                                                            +2
                                                                                            Эта штука недоделана! Она должна сама копировать себя на комп, в который вставили флешку, прописывать себя в автозагрузку и расселяться на все позже вставленные носители! Вот тогда будет победа.
                                                                                              0
                                                                                              Ещё по всем найденным на «вакцинированном» компьютере адресам должна автоматически рассылаться :)
                                                                                                0
                                                                                                Полное название версии «Panda USB Vaccine 1.0.0.19 beta» — возможно в будущих версиях сделают и такой функционал. Но главное что со своей задачей программа отлично справляется. А запустить программу с ключем, имхо, не проблема. Более того — есть немало программ, которые реагируют на подключение флешек — можно в какую-то из них назначить в качестве действия, выполняемого при подключении флешки, запуск Panda USB Vaccine.
                                                                                                0
                                                                                                действительно=)
                                                                                                Бороться с вирусами их же методами, пишем ПО которая распространяться через autorun, и «заражая» компьютер запускает скрипт который косит autorun'ы отличные от данного и «заражает» эту флешку своим автозапуском и телом программы, а так же блокирует автораны с флеш насителей.
                                                                                                Если антивирусы умышленно не будут определять эту прожку как вирус, то, в результате такой «эпидемии», смотришь и с данным типом распространения вирусов можно будет и покончить)))
                                                                                                  +1
                                                                                                  Я так гляжу, атрибуты файла — побитовые. Тогда что нам мешает сложить 0x40 (10000000) + 0x01 (00000001) + 0x02 (00000010) + 0x04 (00000100), получить 0x47 (10000111), присвоить этот атрибут папке, и наслаждаться невидимостью, реадонлиостью, системностью, и нестираемостью одновременно? Под рукой дискедитора нет — может, проверит кто-нибудь?
                                                                                                    0
                                                                                                    Конгениально!
                                                                                                    Проверил с атрибутом 0x42 (защита + невидимость) — работает.
                                                                                                    Сейчас подготовлю скриншот и добавлю дополнение к статье.
                                                                                                      0
                                                                                                      Рад, что смог чем-то помочь :) Вспомнил просто молодость — когда мы в пятом досе нортоновским diskedit'ом fat'ы лопатили :)
                                                                                                        0
                                                                                                        Ох, это я при набивании поста обшибся на один разряд, вместо 40 написав 80 в двоичной системе? Прошу прощения, глаз, видимо, был замылен. Спасибо что заметили и исправили в апдейте к посту.
                                                                                                          0
                                                                                                          Это даже не я — это __x_tra заметил.
                                                                                                            0
                                                                                                            Спасибо за проделанную работу! Благодаря Вам, грязи станет меньше!!!
                                                                                                      0
                                                                                                      еси на флешке есть папка autorun.inf то сия чудная прога вакцинировать её не умеет 8(
                                                                                                        0
                                                                                                        Не умеет, да. Но наличие папки AUTORUN.INF — это уже защита.
                                                                                                        По такому принципу, например, работает мой скрипт AUTOSTOP. Он создает такую папку AUTORUN.INF что ее попробуй удали.
                                                                                                        Еще по такому же принципу работает, например, программа USB Disk Security. Скорее всего ребята из Panda Software просто не захотели переходить дорогу коллегам.
                                                                                                        0
                                                                                                        Когда монтирую защищённую таким образом флэшку в линукс, то что-то происходит и защита снимается. У кого-нибудь есть идеи как это обойти?
                                                                                                          0
                                                                                                          а как же быть с NTFS??? Как в ntfs запретить запись AUTORUN.INF???
                                                                                                          0
                                                                                                          На плеере не получилось создать. Странно, не понял в чем причина.
                                                                                                            0
                                                                                                            А каталога AUTORUN.INF нет ли там?
                                                                                                              0
                                                                                                              Неа, чистая фс, пробовал сразу после форматирования.
                                                                                                            0
                                                                                                            Far manager удаляет папку AUTORUN.INF вместе с zhengbo. и LPT3
                                                                                                            Команда уничтожить (ALT+DEL) дествительно все сносит.
                                                                                                            Есть мысли?
                                                                                                              0
                                                                                                              На самом деле не сносит, а перенименовывает в каталог вида FTM???.tmp (FAR version 2.0 alpha 1 build 687), или FTMP????.tmp (FAR version 1.70 build 2087) внутри которого преспокойно лежит неудаленный каталог LPT3.

                                                                                                              Ничего страшного в этом нет: с таким же успехом вы и сами руками можете переименовать каталог AUTORUN.INF с лежащим внутри него подкаталогом с «некорректным» именем типа LPT3 или AUX и т.п. Мой AUTOSTOP 2.4 реагирует на это исчезновением иконки, предупреждая пользователя об отсутствии защиты флешки. А autorun.inf (с некорректным атрибутом), созданный с помощью Панды, вообще не обращает внимания на комбинацию ALT+DEL в FAR. Так что как минимум два варианта защиты справляются с ALT+DEL.

                                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                            Самое читаемое