Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - autorun

Ответить
Настройки темы
Вопрос - autorun

Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изменения
Автор: Vadikan
Дата: 29-07-2009
Описание: уточнение
По работе приходится подсоедениять флеху к разным компам, в день 10-15 машин, в разных местах.
Проблема: задолбали черви и вирусы.
Вопрос: можно ли как нибудь запретить изменение autorun.inf, галочку тока для чтения не предлогать - не работат.
Для прикола скажу каспер находит в день 1 авторан + 5-6 вирей и червей, естественно авторан показвает на последний вирь.
Кто нибудь подскажите!


Решение
Прочтите статью базы знаний Отмена принудительного отключения автоматического запуска в реестре Windows и установите обновление, соответствующее вашей ОС. После установки обновления приведенный ниже REG-файл будет работать должным образом. См. также сообщение 106

Распакуйте файл AutorunDisabled.zip и примените reg файл
Или скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код: Выделить весь код
Windows Registry Editor Version 5.00

;отвечает не за отключение автозагрузки, а за определение смены носителя в приводе 
;[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
;"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
	
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Подробнее - Борьба с автозапуском новыми методами


Другие решения

Утилита Flash Drive Disinfector.
Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Перед запуском Flash Drive Disinfector не забудьте временно отключить антивирус.

Решение от Panda
USB and AutoRun Vaccine - описание на русском

Отправлено: 21:31, 26-01-2008

 

Аватара для DmB89

Ветеран


Сообщения: 944
Благодарности: 219

Профиль | Отправить PM | Цитировать


gabasov, забавный способ! Надо это дело оттестировать! К сожалению, несмотря на наличие тестовых вирусов, мой комп наотрез отказался заражаться, уж и не знаю, почему. Вылетает в BSOD. Завтра на работе проверю, вот там рассадник...

Отправлено: 23:42, 10-03-2008 | #31



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Morpheya

Новый участник


Сообщения: 24
Благодарности: 5

Профиль | Отправить PM | Цитировать


Кое-что по теме с других форумов:

Цитата:
Все вирусы (которые я видел), распространяющиеся через автозапуск, ловятся на старый досовский трюк: достаточно создать в корне папку autorun.inf и вирус не может создать файл с тем же именем
Цитата:
а зловреду не сильно и требуется создавать на диске файл autorun.inf, ему лишь бы запуститься в флешки и прописаться в систему (в автозагрузку напр.)
можно ассоциирование с autorun.inf убрать по этой идее http://nick.brown.free.fr/blog/2007/...ick-worms.html

Код: Выделить весь код
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
ну ещё доп-но попробовать поставить запрет на запись в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Цитата:
Я про флешку, чтобы не заразилась. Если не будет на флешке файла autorun.inf то и вирус не запуститься когда вставим флешку в другой комп. Но рано или поздно про этот трюк будет известно автору (авторам) вирусов
Наверно это все же временное решение. Думаю вирусописателям не представит труда учесть это в последующих модификациях вирусов. Но пока самое то!

Кстати, переустановил систему и уже на чистой системе проверил
Цитата:
вероятность автоматического запуска файла существует только тогда, когда компьютер уже заражён
.

Скорее всего так.. Вот только я вставил флешку со своим AutoRun.inf.

Код: Выделить весь код
[autorun]
label=Помни, это только цветочки!
icon=icq.ico
action=Запустить заразу..
open=setup.exe
shellexecute=setup.exe
shell=auto
shell\auto=&Автозапуск.. (зараза)
shell\auto\command=setup.exe
shell\open=&Открыть.. (зараза)
shell\open\command=setup.exe
shell\open\Default=1
shell\explore=Пр&оводник.. (зараза)
shell\explore\command=setup.exe
shell\find=&Поиск.. (зараза)
shell\find\command=setup.exe
shell\install=&Установка.. (зараза)
shell\install\command=setup.exe
Действием по умолчанию в самом вверху сейчас стоит "Запустить заразу..", а вот если допустим подредактировать AutoRun.inf, подобрать иконку как у Проводника, подписать как-нибудь "Открыть проводником.." и думаю ни о чем не подозревающий пользователь, все-таки сам щелкнет на ОК, тем самым.. Ну хотя может быть это только моя паранойя

Отправлено: 11:48, 11-03-2008 | #32


Аватара для DmB89

Ветеран


Сообщения: 944
Благодарности: 219

Профиль | Отправить PM | Цитировать


Протестировал два метода защиты USB флэш диска так сказать, в полевых условиях (то бишь на работе). Один комп нашёлся с вирусом, второй заразил сам. (для теста, потом откатил всё назад, естественно )
1-й метод - форматирование в NTFS и запрет доступа для всех. Не работает! Увы, это препятствие вирусы обходят легко!
2-й метод - создание в корне флэшки папки с именем Autorun.inf напротив, работает! Конечно, не исключено, что когда-нибудь вирусописатели найдут пути обхода этого метода, но пока его можно рекомендовать к применению для защиты USB-flash дисков, как часть комплекса мер защиты.

Цитата Morpheya:
а вот если допустим подредактировать AutoRun.inf, подобрать иконку как у Проводника, подписать как-нибудь "Открыть проводником.." »
Пожалуй, это всё же выходит за рамки темы, поскольку здесь применяются не столько технические, сколько социальные методы, типа: "А открой вот этот интересный файлик!" Вот к примеру, в Windows XP по умолчанию отключен показ расширения файлов, так многие вирусы иконку своего *.exe-файла делают как у папок проводника, да ещё и название генерируют похожее на уже имеющиеся файлы! Ну какой же пользователь не полезет посмотреть - "А что это у меня за новая папка Music2 !?" Но технических или программных средств защиты от этого нет... как там у Шиллера - "Против глупости сами боги........"
Это сообщение посчитали полезным следующие участники:

Отправлено: 15:23, 11-03-2008 | #33


Новый участник


Сообщения: 4
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вот-вот как часть комплекса.
А вот в такой ситуации как быть: подоткнул флэху к ноуту что бы скопировать на ноут инсталяху NOD`a , приношу флэху на свой комп и вот результат:
=================================================
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
08.05.2008 12:51:39 AMON файл J:\xo8wr9.exe Win32/PSW.OnLineGames.MUU троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\WINDOWS\Explorer.EXE.
08.05.2008 12:51:04 AMON файл J:\Autorun.inf INF/Autorun вирус удален NT AUTHORITY\SYSTEM Событие при попытке доступа к файлу приложением C:\WINDOWS\System32\svchost.exe.
08.05.2008 12:46:07 AMON файл J:\fppg1.exe Win32/PSW.OnLineGames.NLI троян удален OFFICE\AKartsev Событие при попытке доступа к файлу приложением C:\Program Files\Total Commander Podarok Edition\TOTALCMD.EXE.
=================================================
что на флэхе посоздавать папки xo8wr9.exe ; fppg1.exe и ещё всякой хрени ?

Отправлено: 11:39, 08-05-2008 | #34


Аватара для mryegor

Старожил


Сообщения: 477
Благодарности: 62

Профиль | Отправить PM | Цитировать


народ, а как на чсет таких средств защиты?

1) С Флэшками Transcend в комплекте идет такая программуля называется Ustorage, правда флешку под неё нужно форматировать изначально, после установки в слот она копирует клиенскую часть во временную директорию и запускает её вводишь пароль открывается флэш.

2) NTI Ninja - программа, которая позволяет создавать защищенные разделы на любых flash-носителях. Для этого требуется предварительно выбрать размер конкретной области, указав пароль доступа. После чего он будет отформатирован с использованием специальных алгоритмов, которые обеспечат надежную защиту от несанкционированного доступа.

* Создание публичных и защищенных разделов на носителе
* Парольная защита для доступа к данным
* Пользовательская настройка размеров раздела
* Поддержка файловых систем FAT, FAT32 и NTFS с возможностью быстрого форматирования
* Автоматическое определение и запрос пароля при вставке защищенного носителя
* Установка специальной подсказки на случай утраты пароля

-------
Вокруг все злые , один я добрый : сижу в блиндаже , стреляю...

Сравнительная таблица производительности видеокарт AMD(ATI) и Nvidia
Выбор конфигурации компьютера
Собсно мой комп
Ну и его статистика разгона


Отправлено: 11:39, 08-05-2008 | #35


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 24508
Благодарности: 4494

Профиль | Сайт | Отправить PM | Цитировать


Цитата DmB89:
1-й метод - форматирование в NTFS и запрет доступа для всех. Не работает! Увы, это препятствие вирусы обходят легко! »
а с этого места - поподробнее.. это каким образом обходят-то?

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || МОЙ ShaddyR.at.UA/blog - Как поменять термопасту за 100+ баксов


Отправлено: 11:52, 08-05-2008 | #36


Аватара для DmB89

Ветеран


Сообщения: 944
Благодарности: 219

Профиль | Отправить PM | Цитировать


Цитата ShaddyR:
а с этого места - поподробнее.. »
Да, я не совсем подробно расписал. Имелось в виду создание файла autorun.inf и в свойствах, на вкладке "Безопасность" изменить владельца на себя, и закрыть доступ для всех, в том числе и для системы. Собственно, это то, о чём говорилось в восьмом посте, поэтому я и не стал расписывать подробности...
При вставке этой флэшки в заражённый компьютер вирус успешно перезаписал этот файл своим! Вот это я и имел в виду, говоря "обходят". При этом я в качестве эксперимента ставил права системе только на чтение, чтобы обрабатывался файл, потом вовсе убрал все галки - результат один.
Цитата AndryK:
А вот в такой ситуации как быть »
Об этом и был предыдущий пост! Если вирус не сможет создать файл Autorun.inf, то при открытии USB диска через "Мой компьютер" никакие "xo8wr9.exe ; fppg1.exe и ещё всякая хрень" не запустятся! Ну, а уж если у человека есть привычка вручную, из любопытства, запускать всякие неизвестные файлы - тут уж вряд ли что поможет! Перечитайте внимательно всю ветку ещё раз!

Отправлено: 19:50, 08-05-2008 | #37


Аватара для Baw17

[OVER]Baw17


Сообщения: 4085
Благодарности: 695

Профиль | Отправить PM | Цитировать


Цитата DmB89:
2-й метод - создание в корне флэшки папки с именем Autorun.inf напротив, работает! »
это конечно хорошо, но вот Antu_autorun после создания в корне диска Autorun.inf начинает говорить что компютер заражен, что для меня конечно неприемлимо

-------
U/\/@┬┬ﻉ/\/Ð ﻉ Й Team
Мой личный Блокнот
Не оказываю техподдержку через систему личных сообщений, почту и ICQ
http://2ip.ru/bar/ip10.gif
Best Regards [Over]Baw17


Отправлено: 10:25, 11-05-2008 | #38


Аватара для DmB89

Ветеран


Сообщения: 944
Благодарности: 219

Профиль | Отправить PM | Цитировать


Baw17, ты имеешь в виду вот это?

Вряд ли anti_autorun можно рассматривать как серьёзное средство защиты. Он реагирует на любые файлы autorun.*. К тому же, это средство защиты компьютера, а создание на флэшке папки с именем Autorun.inf - это средство защиты USBдиска!
Для чего тебе нужна вообще флэшка? Разве ты втыкаешь её только в свой системник? Вот об этом подумай. Лучшей защиты флэшки пока не предложено.

Отправлено: 00:57, 12-05-2008 | #39


Аватара для Max2k

Пользователь


Сообщения: 101
Благодарности: 1

Профиль | Отправить PM | Цитировать


Мне кажется для защиты компьютера следует не париться с реестрами и доменными политиками, а только отключить определение оборудования оболочки. Я у себя в домене эту службу отключил и вуаля, уже ни одного вируса за большое количество времени. У меня Вуз там каждый день студенты шарятся с флэшками по компам, а толку то, вирусы не проходят в систему даже если антивирус их не видит, они остаются мирно лежать на флэшке в скрытом виде пользователь даже не обнаружит что у него на флэшке вирус и системе это не повредить. Да и не понимаю, чем этот метод опасен для пользователя, что он чтоли в моё компьютер зайти не сможет и два клика по флэшке сделать? Тем более даже если 2 клика сделаешь вирус не проникнет в систему. Метод 100%, а если ещё и антивирус хороший и с последними базами, то флэшка пользователя будет автоматически очищена от вирусов. У меня лично drweb в автоматическом режиме работает, они довольно быстро сейчас на автораны реагируют, а что не находят сам отправляю в лабораторию, включают в базу. А вот средство от попадания вируса на флэшку, вижу выход лишь в флэшке с хардверной функцией защиты от записи. И отключении у пользователей по визиту определение оборудования оболочки и установке хорошего антивируса.

Отправлено: 06:31, 12-05-2008 | #40



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - autorun

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - [Autorun] Autorun New Construct Alpha - Загрузочное меню для установки Windows tweakos Оформление Windows XP 13 18-10-2010 21:05
DVD AutoRun gambini Видео и аудио: обработка и кодирование 3 15-03-2009 21:15
Разное - autorun.inf Татарин Microsoft Windows 2000/XP 0 03-08-2007 16:54
Autorun strannic2005 Microsoft Windows 95/98/Me (архив) 10 20-12-2004 09:29
Autorun MrMadman Программирование и базы данных 4 31-12-2003 00:37




 
Переход