BAT для борьбы с вирусами на флэшках (autorun.inf)
 

Наверное каждый хватал вирусы и прочую нечисть, которая распространяется на флэшках при помощи autorun.inf . Лично меня, на работе, уже достало бороться с этой нечистью. Есть идея некоторого противоядия этой эпидемии средствами .bat .
Неплохой способ, а именно создание в корне флэшки папки с именем autorun.inf, внутри которой находится папка с неправильным именем (F\autorun.inf\usb..), позволяет многократно снизить риск заражения. Конечно же это не панацея, но весьма действенный способ.
Суть идеи такова, что бы автоматизировать при помощи нашего, к примеру, USB.bat, следующие действия:

1) Удалить уже существующий на флэшке настоящий autorun.inf , а так же, если имеется, то и autorun.inf созданный вирусом (что сложнее).
2) Отключить автозапуск на всех дисках.
2) Создать в корне флэшки директорию autorun.inf, с вложенной в нее папкой с неправильным именем.
3) Сделать наш USB.bat с поведением, подобным поведению вирусов, но в благих целях. Т.е. сделать так, что бы USB.bat постоянно висел в процессах и "заражал" все вставленные в ПК флэшки. Желательно, что бы он и дальше переносился на флэшках, "заражая" другие ПК. Правда с последним пунктом наверное будет сложно, т.к. autorun.inf на флэшке уже не будет... Хотя, можно наверное сделать некий исполняемый файл c иконкой папки и именем "Мои документы", который бы и запускал наш USB.bat .

Пример, в котором USB.bat снимает со всех файлов, имеющих в названии autorun., атрибуты "скрытый", "системный", "только для чтения" и удаляет их, после чего создает на флэшке директорию autorun.inf и помещает в нее папку с неправильным именем usb.. , далее директории autorun.inf присваиваются новые атрибуты "скрытый" и "системный":

attrib -s -h -r autorun.*
del autorun.*
mkdir "\\?\%~d0\autorun.inf\usb..\"
attrib +s +h %~d0\autorun.inf

Кому интересно, высказывайте свое мнение. Вносите предложения и конечно помогайте в написании )) Заранее благодарен за Вашу помощь и участие!

P.S. С Panda USB Vaccine знаком, но это не совсем то, что нужно...

DIM78RUS, знаете, по-моему бред какой-то. Проще создать в корне флешки файл autorun.inf и запретить к нему доступ (системный + только чтение), а если NTFS, то еще в разрешениях к доступу поставить для все "запрещено".
А еще лучше использовать антивирус со свежими базами, хотя бы и бесплатный.

К сожалению, далеко не бред...
1. Создать свой файл со всеми возможными атрибутами - не проблема, вот только толку от этого вообще нет. Такой файл в легкую удалятся всевозможной вирусней. Это уже давно пройденный этап.
2. Права NTFS, то же не совсем то... Во первых, а если нет NTFS? Да и потом, задача состоит ведь не только защитить свой ПК, но и ПК и флэшки других юзверей...
3. Антивирус даже платный и со свежими базами, реагирует на то, что уже происходит в системе... И конечно периодически, что-то, но пропускает...
А теперь представьте себе вариант, что Ваш ПК, с хорошим антивирусом, стоит на работе где стоит еще около 50 машин и работают за ними одни "блондинки". Большинство из них, вообще не знает, что такое антивирус... Зато у каждого есть флэшка, которую тащат Вам и по работе, Вам все равно приходится втыкать ее в свой ПК. Или Вашу флэшку втыкают в 50 зараженных ПК....
Каков процент сохранения на ней важной информации??? Так же возрастает вероятность, что и Ваш антивирус даст слабину...

ЗЫ: Вопрос, "Почему нет антивируса у 50 блондинок" оставлю без ответа )))

SHIFT держите когда флешку вставляете... а
если паранойя, то запретите вообще запуск файла autorun.inf с помощью локальных политик безопасности...

Цитата:

Цитата Clever_man знаете, по-моему бред какой-то. »

поддерживаю :) но это правда не бред а просто особо изощренный способ... :)

Нет, не паранойя... паники перед всевозможной вирусней не испытываю и до сих пор, более или менее, удачно ей противостоял.
Удерживать SHIFT - знаю, политики - знаю, НО это знаю только я, а объяснять это куче народа, нет возможности...

ИМХО, но гораздо проще и эффективнее предотвратить или сдержать распространение, чем бороться с последствиями.

А у меня вот иная проблема. Сделал я себе на флэшке autorun.inf в котором указал иконку для флэшки. Чтобы когда в комп вставляешь было сразу видно мою флэшку. Но не так давно многие ант ивирусы стали по умолчанию блочить автораны, ну и мой тоже, в котором всего лишь указана иконка :(
Ваш батник вообще удалит мой авторан. А если мне нужен этот авторан? Так ваш батник получается- тот же вирус.

DIM78RUS, возможно, в этой теме найдете что-нибудь полезное (и не понадобится изобретать велосипед).

DIM78RUS, вот уже готовое и регулярно обновляемое http://mechanicuss.livejournal.com/195192.html

Первое, что делаю, когда кто-нить просит поставить ХР - отключаю автозапуск и объясняю, что Explorer настолько ограниченная и неудобная весчь, что пользоваться им можно только от безисходности, если нет под рукой файлманагера.

С такими пользователями в дальнейшем проблем меньше, во всяком случае вся дрянь у них прет только из инета...

а с флешками - раньше создавал каталоги autorun.inf, Desktop.ini и файлы Recycled, RECYCLER, System Volume Information. Однако современная дрянь давно научилась все это удалять, несмотря на атрибуты. Есть вариант для FAT32 - использовать ограничение корневого каталога - создаете в корне достаточное кол-во произвольных пустых файлов, пока не забъете все вакансии корневого каталога - больше в корне ничего создать не удасться.

К сожалению, да... сам столкнулся с подобным неудобством. Писал под себя autorun.inf в котором была и моя иконка и запуск portableapps.com, к которой в свою очередь, были прикручены другие утилиты, и т.п. Все это удобно и отказываться от этого не хотелось, но выгонять непрошеных гостей и постоянно восстанавливать свой autorun.inf уже надоело...
Как вариант, какое то время использовал фирменную утилиту для моей флэхи "SMI UFDisk Utilities", помимо некоторых функций, там есть возможность программно отключить/включить запись на всю флэшку (аналог физического переключателя). Утилита предназначена только для некоторых флэх!!! Определенный производитель и VID/PID флэхи. Возможно, что Вам она не подойдет (есть аналоги от других производителей).
По поводу антивирусов блокирующих или съедающих чистый autorun.inf ничего сказать не могу... Подобного поведения у моего ESS замечено не было... Была проблема связанная с запуском некоторых файлов .exe, а именно антивирь хавал неизвестные ему .exe-шники, которые запускались с помощью autorun.inf. Хотя и это можно легко обойти...

sLiDeR-X, Спасибо, скрипт AUTOSTOP более близок к моей идее. Несомненно, некоторые моменты можно взять на вооружение...

Petya V4sechkin, интересно, но AUTOSTOP более оригинален в плане защиты...

NiOl, Если просто создавать каталоги со всевозможными атрибутами, то конечно для вирусов их удаление не проблема... а вот если запихнуть в них другой каталог с неправильным именем, то это уже будет более серьезная защита...
А вот, это уже интересно...
Как я понял, это то, что есть в скрипте AUTOSTOP... Сразу возникает вопрос, напрямую вирус в корень записаться не сможет, но если он сначала удалит этот файл пустышку? Или он неудаляемый??

пустышками можно работать временно и от определенных вирусов, некоторые больше 100 вариантов имен генерируют, что все перечислять?

1 покупать флешку, закрываемую механически (выключателем) от записи - самый идеальный вариант для защиты флешки и держать антивирь для защиты компа.
2 сделать таковую самому с простой (есть в нете рецепты, не для всех экземпляров подходить)
3 если голова болит за 50 компьютеров, (это обычно в администратора), тут место спросить: почему 50 блондинок не имеют антивируса и самостоятельно пользуются сменными носителями.
4 закрыть автозапуск с флешек, и других сменных. Закрыть совсем определение таковых, что бы пользовались только с машины админа (у которого антивирь стоит) и то только с определенных заранее и постоянно проверяемых USB носителей.

зачем делать то, что уже сделано?

Да и к тому же почитайте вот ЭТО

Многие покупают флэшки не задумываясь вообще над их ТТХ, главный критерий - объем и внешний вид. Да и на рынке весьма мало флэшек с физическим переключателем. Искал в свое время, так и не нашел... а заказывать флэху из-за океана это маразм.
Вы это серьезно? Предлагаете всем вооружиться паяльниками? ))) Да и потом, флэшка с физическим переключателем, далеко не все проблемы решает... Безопасно с нее можно только что-то скопировать, а если надо записать? Тогда что?
Администратора, сети и прочих прелестей цивилизации, в моем случае нет вообще... и не от меня это зависит. Да и потом, речь идет не только обо мне и моей ситуации. Взгляните на проблему шире, есть много людей которым нужна защита от подобных вирусов. Не у всех работа связана с использованием ПК, кто-то пользуется ими и в других целях... Соответственно вообще не знают, что такое админ и т.п.

1. А меня вот не совсем устраивает, то что уже сделано. На мой взгляд, то что уже сделано это только первые шаги к тому, что должно получится в итоге.
Очень много лишних телодвижений при работе с AUTOSTOP. Все должно запускаться само или запускаться 1 раз, как простой .exe. В идеале, полученный файл должен уметь распространяться на флэшках, подобно вирусу.
2. Почитал. В основном ничего нового, за исключением способа с использованием WINHEX. Вариант хороший, но вот повторяемость данного способа оставляет желать лучшего... Лично мне разобраться с ним не удалось.

DIM78RUS
Я тоже задавался такой целью, это вылилось сначало в исследование
А затем в создание скрипта NoMoreAutoRun, который затем оброс доп.функционалом и GUI. Скрипт с ключами можно использовать в батниках.

Основной смысл - защищать надо не только флэшку, но и компьютер - установить обновления и разрешить автозапуск только с CD-ROM. Тогда вирусы принесенные на флэшке не смогут запуститья.
Если хотите автоматизировать защиту флэшек - есть неплохая утилита USBVaccine которая создает папку Autorun.inf автоматом при вставке новых флэшек.