Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 115
Ну разве не проще отключить службу «Определение оборудования оболочки» (Shell Hardware Detection)? Если она отключена, никакой autorun.inf никогда не будет выполнен (именна эта служба его запускает). Я таким образом решил проблему раз и навсегда на всех своих подконтрольных компах.
Ну а если я воткну свою флешку в один зараженный комп, а потом в другой комп, где никаких служб не отключено?
Ну можно перед этим сделать доброе дело и отключить :)
Вообще это проблема Windows XP — что по-умолчанию пользователь работает с правами администратора. Это же рай для вирусов. В Vista хоть UAC спасает от такого…
Но службу всё же проще отключить, чем заставить пользователя привыкать к новой системе прав. :)
Вообще это проблема Windows XP — что по-умолчанию пользователь работает с правами администратора. Это же рай для вирусов. В Vista хоть UAC спасает от такого…
Но службу всё же проще отключить, чем заставить пользователя привыкать к новой системе прав. :)
По информации автора замечательной программы Flash Guard: Можно полностью отключить Autorun, запретив службу «Shell Hardware Detection», но в этом случае у вас будут проблемы с подключением фото и видеокамер, сканеров и т.д.
Это такие весьма условные проблемы :) Просто автоматически не отобразится окно с предложением импортировать снимки с камеры. Это же не значит, что они работать не будут. А то окно можно открыть вручную.
Меня вообще автозапуск раздражает, в любом виде. И я уверен, что не только меня :)
Меня вообще автозапуск раздражает, в любом виде. И я уверен, что не только меня :)
Ну штатные же есть средства для отключения авторана, зачем сразу службу гасить-то?
Я все же предпочитаю способ отключения автозапуска через реестр, способом описанным в статье — таким образом обеспечивается большая гибкость и ясность.
Меня вообще автозапуск раздражает, в любом виде. — ну прям таки в любом. А при установке операционной системы, когда грузитесь с диска или с флешки? :)
Службы вообше полезно отключать, безопасность можно значительно повысить без всяких фаерволлов.
Shell Hardware Detection не только для автозапуска полезна.
Более правильный способ — отключение именно автозапуска через групповую политику.
Более правильный способ — отключение именно автозапуска через групповую политику.
Я вот что то не пойму, а антивирусы давно отменили?
Антивирус не панацея, вирусы имеют свойство в базах появляться с задержкой.
Я уже пару раз вылавливал у себя на ноуте вирусню, пришедшую с флешки.
Я уже пару раз вылавливал у себя на ноуте вирусню, пришедшую с флешки.
Если антивирус умеет ловить конкретный вирус — это замечательно. А если в его вирусной базе нет этой вирусной сигнатуры?
а зачем они нужны, если вирусов нет? мою операционку не нужно притормаживать, т.к. я вполне успеваю за ее скоростью работы.
Ммм, что мешает вирусу отредактировать FAT и убрать установленные атрибуты?
Например, отсутствие прав.
Я писал об этом в конце статьи в выводах.
Ну вот, подали идею народу, да теперь еще и фиг «вылечишь» такую флэшку :)
Не стоит беспокоиться, файл стандартными средствами не откроется, поэтому его содержимое не прочитается. Поэтому для вирусов этот метод как раз не подходит.
А вирусы работают стандартными средствами? Мне казалось, как раз наоборот, ну, разве что, админские права потребоваться могут (в висте с этим сложнее, чем в ХР)
А почему бы и не стандартными? CreateFile он везде один :) Естественно, не исключаются и нестандартные.
Однако я говорил не о вирусах, а о том, что Autorun.inf должен быть прочтен операционной системой для автозапуска вредоносного исполняемого файла. Если вирус (теоретически, после прочтения этой статьи вирусописателем) использует способ смены скрытых атрибутов, чтобы «запретить» переименовать и удалять собственный autorun.inf, то это приведет к невозможности чтения его операционной системой и, как следствие, незапуском вредоносного кода — полной бесполезности autorun.inf.
Вот я и говорил, что для вирусов такой вариант «защиты» не подходит, и за «фиг вылечишь такую флешку» (с)alexxxst беспокоиться не стоит.
Однако я говорил не о вирусах, а о том, что Autorun.inf должен быть прочтен операционной системой для автозапуска вредоносного исполняемого файла. Если вирус (теоретически, после прочтения этой статьи вирусописателем) использует способ смены скрытых атрибутов, чтобы «запретить» переименовать и удалять собственный autorun.inf, то это приведет к невозможности чтения его операционной системой и, как следствие, незапуском вредоносного кода — полной бесполезности autorun.inf.
Вот я и говорил, что для вирусов такой вариант «защиты» не подходит, и за «фиг вылечишь такую флешку» (с)alexxxst беспокоиться не стоит.
Отличное решение, а то у нас в универ нельзя флешку принести, почти на каждом компе по этому autorun вирусу :/
Как правило, в «общественных» компьютерных местах еще есть куча EXE-спутинковых (для каждой папки создается EXE с иконкой папки) вирусов, которые указанным методом не предотвращаются.
Само собой… еще предотвращается альтернативным файлменеджером. Однако процентов 75 пользователей (по собственному опыту, особенно те кто особо не противостоят вирусам) все же пользуют проводник со стандартными настройками, и успешно запускают такое.
А еще есть веб-вид папок в виде ХТМЛей со вредоносными скриптами. Что, собственно, тоже решается альтернативным менеджером или отключением, ну то есть проблемы те же, что и с вышеуказанным случаем.
А еще есть веб-вид папок в виде ХТМЛей со вредоносными скриптами. Что, собственно, тоже решается альтернативным менеджером или отключением, ну то есть проблемы те же, что и с вышеуказанным случаем.
Вирусами это обходится вот таким путем:
ПАПКА(много пробелов).exe
ПАПКА(много пробелов).exe
Я еще когда делал курсак с программой типа chkdsk, думал использовать ATTR_VOLUME_ID для защиты от удаления, но винда просто не видела этих файлов.
А тут вот как получилося.
Скоро вирусописатели будуть форматировать флешки и перезаписывать на них информацию с нужным autorun'ом :)
А тут вот как получилося.
Скоро вирусописатели будуть форматировать флешки и перезаписывать на них информацию с нужным autorun'ом :)
Интересный способ, хотя я autorun в реестре отключаю.
Я ставлю акцент в этой статье на защиту флэшки, а не компьютера.
Для компьютера есть немало способов «хороших и разных», как то: отключение автозапуска через реестр, остановка сервиса Shell Hardware Detection как предлагается в комментариях выше, антивирусы, специализированные программы (некторые из них перечислены у меня в разделе «Ссылки по теме».
Для флешек же способов значитально меньше, в то время как защита самой флешки — это борьба с причиной, а не со следствием.
Для компьютера есть немало способов «хороших и разных», как то: отключение автозапуска через реестр, остановка сервиса Shell Hardware Detection как предлагается в комментариях выше, антивирусы, специализированные программы (некторые из них перечислены у меня в разделе «Ссылки по теме».
Для флешек же способов значитально меньше, в то время как защита самой флешки — это борьба с причиной, а не со следствием.
Полностью согласен! Защиту компа можно оставить в покое, с ней все ясно. Защита флэшки — тема!!! Помочь балбесам друзьям не нахватать авторанов в публичных местах — good.
Mechanicus за работу в данном направлении жму ладонь!
А чем плох батник:
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.."
attrib +s +h %~d0\AUTORUN.INF
Тестил на большом кол-ве зараженных машин, autorun.inf не пишется!
Mechanicus за работу в данном направлении жму ладонь!
А чем плох батник:
mkdir %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTORUN.INF\.."
attrib +s +h %~d0\AUTORUN.INF
Тестил на большом кол-ве зараженных машин, autorun.inf не пишется!
Спасибо!
Вы будете смеяться, но этот батник — это версия 1.2 моего скрипта AUTOSTOP. А плох он тем что удалить каталог AUTORUN.INF с вложенным подкаталогом ".." весьма затруднительно. А вот переименовать — очень просто. А вирусы, которые умеют переименовывать уже существуют — например Win32.HLLW.Autoruner.1018. В версиях 2.x скрипта этот недостаток устранен — там используется другой принцип. Но даже по сравнению с новой версией 2.1 скрипта, программа Panda USB and AutoRun Vaccine действует по более надежному методу.
Вы будете смеяться, но этот батник — это версия 1.2 моего скрипта AUTOSTOP. А плох он тем что удалить каталог AUTORUN.INF с вложенным подкаталогом ".." весьма затруднительно. А вот переименовать — очень просто. А вирусы, которые умеют переименовывать уже существуют — например Win32.HLLW.Autoruner.1018. В версиях 2.x скрипта этот недостаток устранен — там используется другой принцип. Но даже по сравнению с новой версией 2.1 скрипта, программа Panda USB and AutoRun Vaccine действует по более надежному методу.
Если на компе установлен антивирус то итак все понятно. А если нет, то что мешает вирусу заразить кучу файлов на этой флехе вне зависимости от того сможет он перезаписать авторан или нет.
Спасибо, мне весьма актуально. Для сведения — неубиваемость файла присутствует только под windows, в убунту файл удалился без вопросов (еще один способ девакцинации).
спасибо большое. наконец то! теперь осталось установить на все компьютеры в универе — главном рассаднике вирусов. пропиарил вас немного в своем блоге.
Простите, не подскажете что кроме платного WinHex может сделать тоже самое?(Мне надо оставить свой авторан)
Я конечно сейчас погуглю, но может кто сразу знает ответ?
Я конечно сейчас погуглю, но может кто сразу знает ответ?
Первое что вспомнилось — DMDE.
PSPad
хм… с переходом на Linux я забыл о вирусах, но ету утилитку надо таки поставить на свою флешку во избежание недарозумений при контатке ее с win-компьютерами…
Вот никогда не доверял панде )))
Почему файл создается не скрытый?!?! Простой пользователь увидев незнакомый файл или удаляя все файлы столкнется с ошибкой и форматнет ее начисто. Ну нельзя объяснять бухам(не всем) про автораны — это не благодарное занятие!!!
Почему файл создается не скрытый?!?! Простой пользователь увидев незнакомый файл или удаляя все файлы столкнется с ошибкой и форматнет ее начисто. Ну нельзя объяснять бухам(не всем) про автораны — это не благодарное занятие!!!
Совершенно согласен с вами. Но те бухи, которым нельзя объяснять про автораны, скорее всего и про форматирование флешки вряд ли слышали.
Видите ли, файл создается с некорректным атрибутом — именно по этой причине невозможно выставить атрибут «скрытый», и Panda или любой другой разработчик здесь совершенно ни при чем.
Ну нельзя объяснять бухам(не всем) про автораны — это не благодарное занятие!!!
Небезызвестный oldmann пишет: «Как и всякий хороший админ, я умею решать технические проблемы административными методами». Берите с него пример.
Либо используйте метод изменения прав в NTFS.
Небезызвестный oldmann пишет: «Как и всякий хороший админ, я умею решать технические проблемы административными методами». Берите с него пример.
Либо используйте метод изменения прав в NTFS.
Не не…
Добры нужно говорить добрее!!! Тыкать не it-шнику в его неграмотности, можно прослыть снобом. Кесареву кесарево…
Флуд
Самоудаляюсь
Добры нужно говорить добрее!!! Тыкать не it-шнику в его неграмотности, можно прослыть снобом. Кесареву кесарево…
Флуд
Самоудаляюсь
Первым делом что попытался сделать это скрыть файлик… ))) просто чтобы глаз не резал.
У меня была вот какая мысль: программа создает файл с именем в верхнем регистре — AUTORUN.INF — и потому он больше бросается в глаза, чем файл autorun.inf с именем в дефолтном нижнем регистре (даже в тексте этого комментария это наглядно видно).
Учитывая этот фактор, можно руками создать autorun.inf и в WinHex присвоить ему атрибут 0x40.
Учитывая этот фактор, можно руками создать autorun.inf и в WinHex присвоить ему атрибут 0x40.
Имхо это просто пандовцы недодумали. Надо послать им заявку, чтобы добавили чекбокс «Сделать папку невидимой» — глядишь, в новых версиях появится.
рано или поздно вирусописатели тоже могут этому научиться — но это вопрос времени, а в данном случае время выиграно, и выигрыш в пользу защиты.
Никакого выигрыша по времени нет. Аттрибуты файлов уже давным-давно (и даже раньше) не представляют для вирусов совершенно никакой сложности.
Никакого выигрыша по времени нет. Аттрибуты файлов уже давным-давно (и даже раньше) не представляют для вирусов совершенно никакой сложности.
Я тоже считаю, что вирусы-авторанеры, которые не проверяли этот атрибут, а пытались внаглую перезаписаться, теперь просто начнут «выпускать» с проверкой на корректность атрибута и дальнейшей заменой с удалением файла
Не буду пытаться вас переубедить — я высказал свое мнение.
Предыдущая версия моего скрипта AUТOSTOP 1.х, базирующаяся на создании каталога AUTORUN.INF, с последующей защитой каталога от удаления была придумана мной (потом я узнал что не я один придумал такой способ) летом 2008 (опубликована в ноябре), и продержалась до февраля 2009 (в феврале мне стало известно что появились новые вирусы, умеющие переименовывать каталог). Не знаю, существует ли «вечная» защита, но то, что версия 1.х скрипта продержалась несколько месяцев, я считаю неплохим результатом. Также и здесь в случае Panda USB and AutoRun Vaccine.
Предыдущая версия моего скрипта AUТOSTOP 1.х, базирующаяся на создании каталога AUTORUN.INF, с последующей защитой каталога от удаления была придумана мной (потом я узнал что не я один придумал такой способ) летом 2008 (опубликована в ноябре), и продержалась до февраля 2009 (в феврале мне стало известно что появились новые вирусы, умеющие переименовывать каталог). Не знаю, существует ли «вечная» защита, но то, что версия 1.х скрипта продержалась несколько месяцев, я считаю неплохим результатом. Также и здесь в случае Panda USB and AutoRun Vaccine.
Хахаха, ну не идиотизм ли: создатели ОС внедряют кучу способов авторана, а пользователи и сторонние разработчики так же дружно пытаются его отключить. Чушь какая то.
Команды кстати, на будущее все же сохранил))
p.s. стоило бы добавить команды для борьбы с файлами desktop.ini ;)
Команды кстати, на будущее все же сохранил))
p.s. стоило бы добавить команды для борьбы с файлами desktop.ini ;)
Сколько проблем существует у пользователей Windows. Предлагаю простое решение для среднестатистического юзера — разместить наконец рубильник на рабочем столе — вкл/выкл автозагрузку авторана. Предотвратит просто кучу эпидемий.
P.s. Гм, а нельзя ли эти методы применить для защиты например вируса или трояна от удаления антивирусом (в том числе и через перезагрузку)?
да чую скоро вирусы начаться этому
К сожалению, можно и так применить их; особенно если антивирус не сильно разумен и оттого не способен такой метод предвидеть загодя.
Типичная борьба меча и щита, собственно.
(Хочу подчеркнуть, что непосредственно для защиты autorun-файлов вирусы не могут применять вышеописанный способ, ведь тогда файл не будет найден не только антивирусом, но также и системою, которая должна его запустить. Однако эдак можно скрывать основной код вируса от антивирусного анализатора сигнатур, например. То есть обоюдоострое средство получилося.)
Типичная борьба меча и щита, собственно.
(Хочу подчеркнуть, что непосредственно для защиты autorun-файлов вирусы не могут применять вышеописанный способ, ведь тогда файл не будет найден не только антивирусом, но также и системою, которая должна его запустить. Однако эдак можно скрывать основной код вируса от антивирусного анализатора сигнатур, например. То есть обоюдоострое средство получилося.)
это никоим образом не помешало программе, при нажатии на упомянутую кнопку, перезаписать его своим одноименным файломА вот удалить созданную мной папку AUTORUN.INF оно не смогло.
Не встречал еще autorun-вирусов, создающих папку AUTORUN.INF — им это незачем: для них это тупиковый ход, они не смогут так размножаться.
С другой стороны, кроме моего скрипта AUTOSTOP, такую папку создает, например, программа USB Disk Security — возможно по этой причине ребята из Panda Sowtware не захотели переходить дорогу коллегам. О возможности существования такой папки они наверняка знают — не исключено что решили добавить этот функционал в следующих версиях (как видно на скриншоте, в программе есть возможность проверки обновлений, что подразумевает выход новых версий).
С другой стороны, кроме моего скрипта AUTOSTOP, такую папку создает, например, программа USB Disk Security — возможно по этой причине ребята из Panda Sowtware не захотели переходить дорогу коллегам. О возможности существования такой папки они наверняка знают — не исключено что решили добавить этот функционал в следующих версиях (как видно на скриншоте, в программе есть возможность проверки обновлений, что подразумевает выход новых версий).
У меня то же самое. Папку с lpt файликом внутри удалить не смогла.
Подтверждает, что это всё же не лекарство, а именно прививка. Зато хорошая же прививка!
Подтверждает, что это всё же не лекарство, а именно прививка. Зато хорошая же прививка!
Из всех способов мне больше понравилось форматирование в NTFS, просто настроить права — чище и логичнее, а для предотвращения разблокировки на «подконтрольных» компах не давать работать с админскими привилегиями. Остаётся быть аккуратными при извлечении =)
Конечно, для флешек в мобилах, телефонах и т.п. NTFS не подходит, но там превентивный autorun.inf с будет мешать гораздо меньше. Спасибо за статью =)
Конечно, для флешек в мобилах, телефонах и т.п. NTFS не подходит, но там превентивный autorun.inf с будет мешать гораздо меньше. Спасибо за статью =)
хм… у мну вообще эта панда виснет при «вакцинации» флешки))
все оказалось еще круче))) это оказыввается она минут 20 вакцинировало мою флешку :laugh:\
Попробуйте отформатировать флешку с помощью HP USB Disk Storage Format Tool и повторить процедуру.
Ещё один способ в копилку автора!
Если ты на своем или чужом компьютере вставляешь флешку, диск, и т.д. нужно просто зажать Shift на клавиатуре и тогда autorun не запустится (даже если включен)!
Если ты на своем или чужом компьютере вставляешь флешку, диск, и т.д. нужно просто зажать Shift на клавиатуре и тогда autorun не запустится (даже если включен)!
Помню, в те времена, когда не знали как отключать авторан через реестр, приходилось пользоваться этим методом. Особенно неудобно было, если USB-порты только в задней части системного блока: один человек удерживает нажатым Shift на клавиатуре, другой подключает флешку.
Просто к сведению: в последних виндах авторан сильно переделан и Shift уже не блокирует его.
Q: Why can't I override AutoPlay by pressing the Shift key as I could in Windows XP?
A: AutoPlay has been redesigned. Now, holding down the Shift key opens AutoPlay regardless of the default setting.
Уже года полтора как создал на своих флешках папку autorun.inf с атрибутами «рид-онли» и «скрытый», ни один вирус еще не додумался их удалить. У кого-то есть другой опыт?
Да, есть. На сегодняшний день существуют вирусы, которые пытаются удалить каталог AUTORUN.INF (а в вашем случае простой конструкции rd /s /q AUTORUN.INF вполне достаточно)
Более того — существует вирус Win32.HLLW.Autoruner.1018 (подробнее здесь), который умеет переименовывать каталог AUTORUN.INF.
Я в своем скрипте AUTOSTOP ver.2.1 учел оба этих момента, но программа Panda USB and AutoRun Vaccine все равно справляется с этой задачей лучше.
Более того — существует вирус Win32.HLLW.Autoruner.1018 (подробнее здесь), который умеет переименовывать каталог AUTORUN.INF.
Я в своем скрипте AUTOSTOP ver.2.1 учел оба этих момента, но программа Panda USB and AutoRun Vaccine все равно справляется с этой задачей лучше.
Значит «перемирие» на этом фронте окончено :)
Интересно, что предложете когда вирусы обойдут фокус с 0xF7? Менять прошивку контроллера флешки, чтобы сделать область с автораном ридонли? :)
Есть такая идея:
На весь объем флешки минус объем truecrypt.exe или аналога создаем файл с образом диска (шифрованного или нет — по вкусу), монтируемого автоматически. В таком случае на физическом диске вирусу просто не хватит места чтобы разместить себя, а с виртуальным логическим уже можно что-то придумать, вплоть до изменения кода, т.к. open source. Не для массого применения, к сожалению.
Интересно, что предложете когда вирусы обойдут фокус с 0xF7? Менять прошивку контроллера флешки, чтобы сделать область с автораном ридонли? :)
Есть такая идея:
На весь объем флешки минус объем truecrypt.exe или аналога создаем файл с образом диска (шифрованного или нет — по вкусу), монтируемого автоматически. В таком случае на физическом диске вирусу просто не хватит места чтобы разместить себя, а с виртуальным логическим уже можно что-то придумать, вплоть до изменения кода, т.к. open source. Не для массого применения, к сожалению.
Эта штука недоделана! Она должна сама копировать себя на комп, в который вставили флешку, прописывать себя в автозагрузку и расселяться на все позже вставленные носители! Вот тогда будет победа.
Ещё по всем найденным на «вакцинированном» компьютере адресам должна автоматически рассылаться :)
Полное название версии «Panda USB Vaccine 1.0.0.19 beta» — возможно в будущих версиях сделают и такой функционал. Но главное что со своей задачей программа отлично справляется. А запустить программу с ключем, имхо, не проблема. Более того — есть немало программ, которые реагируют на подключение флешек — можно в какую-то из них назначить в качестве действия, выполняемого при подключении флешки, запуск Panda USB Vaccine.
Я так гляжу, атрибуты файла — побитовые. Тогда что нам мешает сложить 0x40 (10000000) + 0x01 (00000001) + 0x02 (00000010) + 0x04 (00000100), получить 0x47 (10000111), присвоить этот атрибут папке, и наслаждаться невидимостью, реадонлиостью, системностью, и нестираемостью одновременно? Под рукой дискедитора нет — может, проверит кто-нибудь?
Конгениально!
Проверил с атрибутом 0x42 (защита + невидимость) — работает.
Сейчас подготовлю скриншот и добавлю дополнение к статье.
Проверил с атрибутом 0x42 (защита + невидимость) — работает.
Сейчас подготовлю скриншот и добавлю дополнение к статье.
Рад, что смог чем-то помочь :) Вспомнил просто молодость — когда мы в пятом досе нортоновским diskedit'ом fat'ы лопатили :)
Ох, это я при набивании поста обшибся на один разряд, вместо 40 написав 80 в двоичной системе? Прошу прощения, глаз, видимо, был замылен. Спасибо что заметили и исправили в апдейте к посту.
Это даже не я — это __x_tra заметил.
еси на флешке есть папка autorun.inf то сия чудная прога вакцинировать её не умеет 8(
Не умеет, да. Но наличие папки AUTORUN.INF — это уже защита.
По такому принципу, например, работает мой скрипт AUTOSTOP. Он создает такую папку AUTORUN.INF что ее попробуй удали.
Еще по такому же принципу работает, например, программа USB Disk Security. Скорее всего ребята из Panda Software просто не захотели переходить дорогу коллегам.
По такому принципу, например, работает мой скрипт AUTOSTOP. Он создает такую папку AUTORUN.INF что ее попробуй удали.
Еще по такому же принципу работает, например, программа USB Disk Security. Скорее всего ребята из Panda Software просто не захотели переходить дорогу коллегам.
Когда монтирую защищённую таким образом флэшку в линукс, то что-то происходит и защита снимается. У кого-нибудь есть идеи как это обойти?
а как же быть с NTFS??? Как в ntfs запретить запись AUTORUN.INF???
Методом изменения прав NTFS
Far manager удаляет папку AUTORUN.INF вместе с zhengbo. и LPT3
Команда уничтожить (ALT+DEL) дествительно все сносит.
Есть мысли?
Команда уничтожить (ALT+DEL) дествительно все сносит.
Есть мысли?
На самом деле не сносит, а перенименовывает в каталог вида FTM???.tmp (FAR version 2.0 alpha 1 build 687), или FTMP????.tmp (FAR version 1.70 build 2087) внутри которого преспокойно лежит неудаленный каталог LPT3.
Ничего страшного в этом нет: с таким же успехом вы и сами руками можете переименовать каталог AUTORUN.INF с лежащим внутри него подкаталогом с «некорректным» именем типа LPT3 или AUX и т.п. Мой AUTOSTOP 2.4 реагирует на это исчезновением иконки, предупреждая пользователя об отсутствии защиты флешки. А autorun.inf (с некорректным атрибутом), созданный с помощью Панды, вообще не обращает внимания на комбинацию ALT+DEL в FAR. Так что как минимум два варианта защиты справляются с ALT+DEL.
Ничего страшного в этом нет: с таким же успехом вы и сами руками можете переименовать каталог AUTORUN.INF с лежащим внутри него подкаталогом с «некорректным» именем типа LPT3 или AUX и т.п. Мой AUTOSTOP 2.4 реагирует на это исчезновением иконки, предупреждая пользователя об отсутствии защиты флешки. А autorun.inf (с некорректным атрибутом), созданный с помощью Панды, вообще не обращает внимания на комбинацию ALT+DEL в FAR. Так что как минимум два варианта защиты справляются с ALT+DEL.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Panda USB and AutoRun Vaccine — лекарство от autorun-вирусов на флешке