Вступление

Попался мне в руки файл формата pif. Это ярлык к программе MS-DOS, как описывает его сама Windows. Название он имел такое же, как и название папки, в которой лежал. Поскольку папка была получена через Яндекс.диск от знакомого (у него, как и у меня антивирус на системе не установлен), я, ничего не заподозрив, а точнее — не успев разглядеть как следует этот объект файловой системы, случайно запустил его. Когда понял, что запустил, было уже поздно. Я запаковал эту папку в zip-архив и отправил на сканирование на VirusTotal. Вот результат.

Всем привет!

Сегодня речь пойдёт о так называемых «иммунизаторах» и «вакцинаторах» флеш-носителей от автозапускаемых вирусов — о том, как они работают, нужны ли они вообще. Ну и конечно мы рассмотрим один из простых способов создания такой «вакцины».

Во вторник Microsoft начала распространять критический апдейт для Windows Server 2008 и более ранних версий Windows, который изменяет реакцию ОС на подключение флэшки или другого портативного носителя. До вчерашнего дня поведением по умолчанию был запуск файла autorun.inf без уведомления пользователя. Такие установки по дефолту привели к распространению ряда вирусов, в том числе Conficker.

Представители Microsoft сообщают, что могли бы выпустить патч и раньше, но встретили сопротивление со стороны некоторых своих партнёров, для которых эта фича была очень важна.

Корпорация Microsoft опубликовала интересные данные в блоге Microsoft Technet, которые показывают значительное снижение зараженных autorun-вирусами компьютеров. По данным экспертов Microsoft, снижение достаточно значительное, в мире стало на 1,3 миллиона зараженных этим типом зловредного ПО меньше. В статистике отображены данные с февраля по май этого года, а сравнивались ОС Windows Vista и XP.

     Доброго времени суток, уважаемый хабра–читатель. Я работаю в университете, в лаборатории вычислительной техники. Администрируем около сотни компьютеров. Перед нами встала проблема защиты от Autorun–вирусов на флэшках. Естественно у нас отключен автозапуск в Windows, однако нужно было защитить сами флэшки, чтобы работник дома, вставив рабочую флэшку, не заразил свой компьютер. Под катом решение проблемы.

Предлагаю свой вариант борьбы с autorun-вирусами на флешках, т.к. существующие на сегодняшний день решения не устраивают меня по нескольким причинам.

Основные существующие способы можно разделить на 3 категории:

• Установка на компьютере резидентного монитора, который при подключении флешки проверяет наличие файла autorun.inf, и при наличии такового принимает меры. Минус — привязка к конкретной машине
• Защита флешки методом прав NTFS — отличный железобетонный способ, но его преимущества являются одновременно и его недостатками — NTFS не всегда применима (скажем в случае Win9x, или конкретной модели автомагнитолы или DVD-плеера, читающих только FAT).
• Метод создания на флешке одноименного каталога AUTORUN.INF. Из минусов можно отметить то, что новые вирусы научились удалять этот каталог, или переименовывать в случае невозможности удаления

Именно третий метод был взят мной за основу, и доработан. Внешне все выглядит вот так:



Принцип работы скрипта заключается в следующем:

5 марта я написал свою статью о скрипте AUTOSTOP для защиты флешек от autorun-вирусов, получившую немалый отклик. И только я сегодня собрался писать новую статью об альтернативном (более надежном) методе, как на одном из ресурсов, в теме, посвященной обсуждению скрипта, мне подсказали программу Panda USB and AutoRun Vaccine, работающую именно по методу, который я хотел описать. Причем работающую просто блестяще! Файл autorun.inf, создаваемый ею на флешке (дабы предотвратить создание такого файла вирусом) невозможно ни удалить, ни переименовать (в чем была слабость моего скрипта), ни модифицировать, ни открыть.



Познакомимся с программой поближе, рассмотрим ее возможности и метод, на котором базируется принцип работы.

Продолжаю развивать тему о защите флешек от вирусов (ранее мною публиковались материалы AUTOSTOP — скрипт для защиты флешки от autorun-вирусов и Panda USB and AutoRun Vaccine — лекарство от autorun-вирусов на флешке — там главным образом речь шла о защите флешки от записи на нее вредоносного файла autorun.inf). Тема интересна тем, что зачистка вирусов на компьютере — это борьба со следствием, а предохранение флешки от вирусов — это меры, направленные на устранение причины.

Защита флешки от записи новых файлов осуществляется путем определения свободного пространства на ней, с последующим полным его заполнением, используя утилиту fsutil. Такой метод отлично подходит, например, для защиты загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF.


Далее следует описание метода, его анализ, и способ полной автоматизации.

Команда разработчиков Windows 7 в своем блоге выложила интересный пост, в котором рассказывается про проблему распространения malware путем автоматического запуска (autorun) со сменных носителей. Ниже представлена картина динамики заражений таким способом.

Для обеспечения безопасности, в Windows 7 подобный механизм, позволяющий вредоносному коду легко распространяться будет отключен для всех сменных носителей. В то же время механизм autoplay и все его компоненты останутся без изменений. Так же сообщается, что все это не каснется оптических дисков, с которыми autoplay/autorun будет работать по-старинке.

update: сообщается также, что данное ограничение будет так же введено в XP/Vista