[DmB89]

gabasov, забавный способ! Надо это дело оттестировать! К сожалению, несмотря на наличие тестовых вирусов, мой комп наотрез отказался заражаться, уж и не знаю, почему. Вылетает в BSOD. Завтра на работе проверю, вот там рассадник...

[Morpheya]

Кое-что по теме с других форумов:

Цитата:

Все вирусы (которые я видел), распространяющиеся через автозапуск, ловятся на старый досовский трюк: достаточно создать в корне папку autorun.inf и вирус не может создать файл с тем же именем

Цитата:

а зловреду не сильно и требуется создавать на диске файл autorun.inf, ему лишь бы запуститься в флешки и прописаться в систему (в автозагрузку напр.) можно ассоциирование с autorun.inf убрать по этой идее http://nick.brown.free.fr/blog/2007/...ick-worms.html Код: REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" ну ещё доп-но попробовать поставить запрет на запись в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Цитата:

Я про флешку, чтобы не заразилась. Если не будет на флешке файла autorun.inf то и вирус не запуститься когда вставим флешку в другой комп. Но рано или поздно про этот трюк будет известно автору (авторам) вирусов

Наверно это все же временное решение. Думаю вирусописателям не представит труда учесть это в последующих модификациях вирусов. Но пока самое то!

Кстати, переустановил систему и уже на чистой системе проверил

Цитата:

вероятность автоматического запуска файла существует только тогда, когда компьютер уже заражён

.

Скорее всего так.. Вот только я вставил флешку со своим AutoRun.inf.

Код:

[autorun]
label=Помни, это только цветочки!
icon=icq.ico
action=Запустить заразу..
open=setup.exe
shellexecute=setup.exe
shell=auto
shell\auto=&Автозапуск.. (зараза)
shell\auto\command=setup.exe
shell\open=&Открыть.. (зараза)
shell\open\command=setup.exe
shell\open\Default=1
shell\explore=Пр&оводник.. (зараза)
shell\explore\command=setup.exe
shell\find=&Поиск.. (зараза)
shell\find\command=setup.exe
shell\install=&Установка.. (зараза)
shell\install\command=setup.exe

Действием по умолчанию в самом вверху сейчас стоит "Запустить заразу..", а вот если допустим подредактировать AutoRun.inf, подобрать иконку как у Проводника, подписать как-нибудь "Открыть проводником.." и думаю ни о чем не подозревающий пользователь, все-таки сам щелкнет на ОК, тем самым.. Ну хотя может быть это только моя паранойя

[DmB89]

Протестировал два метода защиты USB флэш диска так сказать, в полевых условиях (то бишь на работе). Один комп нашёлся с вирусом, второй заразил сам. (для теста, потом откатил всё назад, естественно )
1-й метод - форматирование в NTFS и запрет доступа для всех. Не работает! Увы, это препятствие вирусы обходят легко!
2-й метод - создание в корне флэшки папки с именем Autorun.inf напротив, работает! Конечно, не исключено, что когда-нибудь вирусописатели найдут пути обхода этого метода, но пока его можно рекомендовать к применению для защиты USB-flash дисков, как часть комплекса мер защиты.

Цитата Morpheya:

а вот если допустим подредактировать AutoRun.inf, подобрать иконку как у Проводника, подписать как-нибудь "Открыть проводником.." »

Пожалуй, это всё же выходит за рамки темы, поскольку здесь применяются не столько технические, сколько социальные методы, типа: "А открой вот этот интересный файлик!" Вот к примеру, в Windows XP по умолчанию отключен показ расширения файлов, так многие вирусы иконку своего *.exe-файла делают как у папок проводника, да ещё и название генерируют похожее на уже имеющиеся файлы! Ну какой же пользователь не полезет посмотреть - "А что это у меня за новая папка Music2 !?" Но технических или программных средств защиты от этого нет... как там у Шиллера - "Против глупости сами боги........"

[AndryK]

Вот-вот как часть комплекса.
А вот в такой ситуации как быть: подоткнул флэху к ноуту что бы скопировать на ноут инсталяху NOD`a , приношу флэху на свой комп и вот результат:
=================================================
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
08.05.2008 12:51:39 AMON файл J:\xo8wr9.exe Win32/PSW.OnLineGames.MUU троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\WINDOWS\Explorer.EXE.
08.05.2008 12:51:04 AMON файл J:\Autorun.inf INF/Autorun вирус удален NT AUTHORITY\SYSTEM Событие при попытке доступа к файлу приложением C:\WINDOWS\System32\svchost.exe.
08.05.2008 12:46:07 AMON файл J:\fppg1.exe Win32/PSW.OnLineGames.NLI троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\Program Files\Total Commander Podarok Edition\TOTALCMD.EXE.
=================================================
что на флэхе посоздавать папки xo8wr9.exe ; fppg1.exe и ещё всякой хрени ?

[mryegor]

народ, а как на чсет таких средств защиты?

1) С Флэшками Transcend в комплекте идет такая программуля называется Ustorage, правда флешку под неё нужно форматировать изначально, после установки в слот она копирует клиенскую часть во временную директорию и запускает её вводишь пароль открывается флэш.

2) NTI Ninja - программа, которая позволяет создавать защищенные разделы на любых flash-носителях. Для этого требуется предварительно выбрать размер конкретной области, указав пароль доступа. После чего он будет отформатирован с использованием специальных алгоритмов, которые обеспечат надежную защиту от несанкционированного доступа.

* Создание публичных и защищенных разделов на носителе
* Парольная защита для доступа к данным
* Пользовательская настройка размеров раздела
* Поддержка файловых систем FAT, FAT32 и NTFS с возможностью быстрого форматирования
* Автоматическое определение и запрос пароля при вставке защищенного носителя
* Установка специальной подсказки на случай утраты пароля

[ShaddyR]

Цитата DmB89:

1-й метод - форматирование в NTFS и запрет доступа для всех. Не работает! Увы, это препятствие вирусы обходят легко! »

а с этого места - поподробнее.. это каким образом обходят-то?

[DmB89]

Цитата ShaddyR:

а с этого места - поподробнее.. »

Да, я не совсем подробно расписал. Имелось в виду создание файла autorun.inf и в свойствах, на вкладке "Безопасность" изменить владельца на себя, и закрыть доступ для всех, в том числе и для системы. Собственно, это то, о чём говорилось в восьмом посте, поэтому я и не стал расписывать подробности...
При вставке этой флэшки в заражённый компьютер вирус успешно перезаписал этот файл своим! Вот это я и имел в виду, говоря "обходят". При этом я в качестве эксперимента ставил права системе только на чтение, чтобы обрабатывался файл, потом вовсе убрал все галки - результат один.

Цитата AndryK:

А вот в такой ситуации как быть »

Об этом и был предыдущий пост! Если вирус не сможет создать файл Autorun.inf, то при открытии USB диска через "Мой компьютер" никакие "xo8wr9.exe ; fppg1.exe и ещё всякая хрень" не запустятся! Ну, а уж если у человека есть привычка вручную, из любопытства, запускать всякие неизвестные файлы - тут уж вряд ли что поможет! Перечитайте внимательно всю ветку ещё раз!

[Baw17]

Цитата DmB89:

2-й метод - создание в корне флэшки папки с именем Autorun.inf напротив, работает! »

это конечно хорошо, но вот Antu_autorun после создания в корне диска Autorun.inf начинает говорить что компютер заражен, что для меня конечно неприемлимо

[DmB89]

Baw17, ты имеешь в виду вот это?

Вряд ли anti_autorun можно рассматривать как серьёзное средство защиты. Он реагирует на любые файлы autorun.*. К тому же, это средство защиты компьютера, а создание на флэшке папки с именем Autorun.inf - это средство защиты USBдиска!
Для чего тебе нужна вообще флэшка? Разве ты втыкаешь её только в свой системник? Вот об этом подумай. Лучшей защиты флэшки пока не предложено.

[Max2k]

Мне кажется для защиты компьютера следует не париться с реестрами и доменными политиками, а только отключить определение оборудования оболочки. Я у себя в домене эту службу отключил и вуаля, уже ни одного вируса за большое количество времени. У меня Вуз там каждый день студенты шарятся с флэшками по компам, а толку то, вирусы не проходят в систему даже если антивирус их не видит, они остаются мирно лежать на флэшке в скрытом виде пользователь даже не обнаружит что у него на флэшке вирус и системе это не повредить. Да и не понимаю, чем этот метод опасен для пользователя, что он чтоли в моё компьютер зайти не сможет и два клика по флэшке сделать? Тем более даже если 2 клика сделаешь вирус не проникнет в систему. Метод 100%, а если ещё и антивирус хороший и с последними базами, то флэшка пользователя будет автоматически очищена от вирусов. У меня лично drweb в автоматическом режиме работает, они довольно быстро сейчас на автораны реагируют, а что не находят сам отправляю в лабораторию, включают в базу. А вот средство от попадания вируса на флэшку, вижу выход лишь в флэшке с хардверной функцией защиты от записи. И отключении у пользователей по визиту определение оборудования оболочки и установке хорошего антивируса.