Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - autorun

Ответить
Настройки темы
Вопрос - autorun

Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изменения
Автор: Vadikan
Дата: 29-07-2009
Описание: уточнение
По работе приходится подсоедениять флеху к разным компам, в день 10-15 машин, в разных местах.
Проблема: задолбали черви и вирусы.
Вопрос: можно ли как нибудь запретить изменение autorun.inf, галочку тока для чтения не предлогать - не работат.
Для прикола скажу каспер находит в день 1 авторан + 5-6 вирей и червей, естественно авторан показвает на последний вирь.
Кто нибудь подскажите!


Решение
Прочтите статью базы знаний Отмена принудительного отключения автоматического запуска в реестре Windows и установите обновление, соответствующее вашей ОС. После установки обновления приведенный ниже REG-файл будет работать должным образом. См. также сообщение 106

Распакуйте файл AutorunDisabled.zip и примените reg файл
Или скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код: Выделить весь код
Windows Registry Editor Version 5.00

;отвечает не за отключение автозагрузки, а за определение смены носителя в приводе 
;[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
;"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
	
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Подробнее - Борьба с автозапуском новыми методами


Другие решения

Утилита Flash Drive Disinfector.
Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Перед запуском Flash Drive Disinfector не забудьте временно отключить антивирус.

Решение от Panda
USB and AutoRun Vaccine - описание на русском

Отправлено: 21:31, 26-01-2008

 

Аватара для aset

Ветеран


Сообщения: 2891
Благодарности: 264

Профиль | Отправить PM | Цитировать


DmB89,
в том и дело вирус копируется на флешку и заменяет собой твой созданный autorun.inf и сам становится system в NTFS
единственно пока решение включенный антивирус перед подключением флешки
так как обычно вирус который у меня появляется если сразу его перехватить все нормально а если он зайдет то вырубает каспера сам(

-------
убить легко!
подарить жизнь новому гораздо труднее...


Отправлено: 09:23, 07-03-2008 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для DmB89

Ветеран


Сообщения: 944
Благодарности: 219

Профиль | Отправить PM | Цитировать


aset,
имеется в виду не атрибут файла "системный", а права доступа к файлу!
В контекстном меню файла - "Свойства", в свойствах вкладка "Безопасность". Чтобы эта вкладка отображалась, в "Свойствах папки" на вкладке "Вид" должен быть снят флажок "Использовать простой общий доступ к файлам (рекомендуется)".

Отправлено: 14:10, 07-03-2008 | #22


Аватара для Morpheya

Новый участник


Сообщения: 24
Благодарности: 5

Профиль | Отправить PM | Цитировать


То, что приводил я в качестве ключей реестра, а также предложение Tomset, о запрете AutoPlay через локальную (или доменную) политику безопасности не решат тот факт, что флешка с вирусом типа Autorun.inf остается потенциально опасной даже при наличии антивируса. Имею горький опыт

Но поверьте, заверения DmB89, что
Цитата:
Запуск вируса, или трояна, происходит не при вставке заражённого USB-flash диска
несколько неправильны:
1) Автозапуск в XP разделен на AutoPlay и Autorun. Флеш-вирусы уже давно научились (при плохой предварительной антивирусной защите) вписывать запуск на себя в ветке Mount2, отвечающей за AutoPlay. А так как по дефаулту он включен, отсюда и итог заражения. Приведенные мной ключи реестра отрезают им (вирусам) эту возможность.
2) Бесполезно ставить запреты на изменения Autorun.inf только для System, так как обычно и в основном вирусы работают либо от этой учетной записи либо от имени текущего пользователя с его правами
3) Отключение службы Определение оборудования оболочки отключает глубже функции автозапуска у флешек, а именно отработку файла Autorun.inf.
Согласен полностью с DmB89, что это не лучший вариант для обычного пользователя (я сисадмин ), что на чужом компьютере не побезобразничаеш. Но все рекомендации очень помогают на своем, родном компьютере или в своей сетке (домене если хотите). И метод отнюдь не радикален. Такова жизнь, что в угоду безопасности надо идти в ущерб некоторым нужным-ненужным функциям. Понятие радикальности метода улетучивается когда у тебя не 20 компов, а 400 и более как у меня в офисе. Поэтому режем на корню.
4)
Цитата:
Открывайте съёмные диски через левую панель проводника - "Папки" или через Win-E
- более чем разумно. Но объяснить это всем невозможно и это есть человеческий фактор.

Извиняюсь перед DmB89, за мою критику. И советую aset, выбрать для него самый оптимальный вариант.
Я свой выбрал. Это связка приведенных ключей реестра (собственно вся локальная политика XP и проводится через реестр)+отключение службы Определение оборудования оболочки + хороший антивирус с последними базами. Спастись от заражения флешки на чужом компьютере (где Вы не хозяин) врятли удаться, но свой от инфекции Вы убережете
Это сообщение посчитали полезным следующие участники:

Отправлено: 14:38, 07-03-2008 | #23


Аватара для Morpheya

Новый участник


Сообщения: 24
Благодарности: 5

Профиль | Отправить PM | Цитировать


Давайте еще представим что у нас получилось запретить вирусу изменять Autorun.inf, но ничто не мешает на зараженном компьютере ему заразить остальные и в отчасти испольяемые файлы типа Setup.exe или какой-нибудь хороший Autorun.exe используемый например для менюшек и очень часто..
Никто не гарантирует, что защищенный совсех сторон файл на флешке Autorun.inf не содержит команду на запуск этого меню.. а как следствие запуск вируса. В виду это логичнее убрать такую возможность в угоду безопасности.

Повторю схему:

Отключение AutoPlay (окно такого типа "Выберите чем хотите запустить файл..")
|
Отключение отработки файла Autorun.inf (лежит-не лежит в корне флешки)
|
Открытие приимущественно через левую панель проводника - "Папки" (Win-E)
и только под неустанной защитой Вашего антивируса с последними базами

Отправлено: 14:55, 07-03-2008 | #24


Аватара для aset

Ветеран


Сообщения: 2891
Благодарности: 264

Профиль | Отправить PM | Цитировать


Morpheya,
Цитата Morpheya:
1) Автозапуск в XP разделен на AutoPlay и Autorun. Флеш-вирусы уже давно научились (при плохой предварительной антивирусной защите) вписывать запуск на себя в ветке Mount2, отвечающей за AutoPlay. А так как по дефаулту он включен, отсюда и итог заражения. Приведенные мной ключи реестра отрезают им (вирусам) эту возможность. »
у меня именно это каждый раз

-------
убить легко!
подарить жизнь новому гораздо труднее...


Отправлено: 19:07, 08-03-2008 | #25


Аватара для DmB89

Ветеран


Сообщения: 944
Благодарности: 219

Профиль | Отправить PM | Цитировать


Morpheya, здравая критика всегда приветствуется! Особенно, если при этом что-нибудь полезное и новое для себя почерпнёшь.
Пока мне всё-таки непонятно, каким образом может при вставке USB флэш-диска автоматически запуститься исполняемый файл? Я имею в виду без попытки открытия этого диска в проводнике.
Насчёт Autoplay - да... подзабыл я про него, поскольку систему ставлю сразу с твиками, и эта фича у меня отключена, но даже с ней - это всего лишь окошко, с предложением выбора действий на запуск установленных программ для открытия файлов с этой флэшки! Если я что-то упустил - поправьте...

Кстати, пост Tomset - это копипаст с форума iXBT, поэтому пара ссылок битые. Привожу их полностью:
NoDriveAutoRun
NoDriveTypeAutoRun

Мы, конечно, немного расширили тему, заданную вначале Akboozat, но я думаю, что не страшно, а наоборот - полезно.
Тема, имхо, должна рассматриваться в двух аспектах:
1. Защита компьютера (своего, или стороннего) от заражённой (или вероятно заражённой) флэшки.
2. Защита USB flash диска от заражённого (или вероятно заражённого) компьютера.
И желательно также не забывать про Windows XP Home Edition, которая не только не имеет редактора групповой политики, но и не позволяет отключить простой общий доступ к файлам.

Было бы очень интересно узнать про чей-либо практический опыт форматирования флэшки в NTFS. У меня вот никак не получилось это сделать...

Отправлено: 00:34, 09-03-2008 | #26


Аватара для Morpheya

Новый участник


Сообщения: 24
Благодарности: 5

Профиль | Отправить PM | Цитировать


DmB89,
Цитата:
практический опыт форматирования флэшки в NTFS
1. Правой кнопкой мыши на флешке. Пункт "Свойства" - вкладка "Оборудование". Находим флешку и жмем внизу на кнопку "Свойства".

2. Выбираем вкладку "Политика" - выбираем пункт "Оптимизировать для выполнения" (из плюсов получем кэш и соответственно скорость передачи даных, из минусов - отключение флэшки исключительно через значок в трее, а не простым выдергиванием).
Этот пункт является главным условием для форматирования флешки в NTFS

3. Пуск - Выполнить - cmd - команда FORMAT буква_флешки_двоеточие /FS:NTFS - жмем ENTER
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:15, 09-03-2008 | #27


Аватара для Morpheya

Новый участник


Сообщения: 24
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата:
каким образом может при вставке USB флэш-диска автоматически запуститься исполняемый файл?
в ветке
Код: Выделить весь код
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
насколько мне известно Windows хранит те настройки которые используются в AutoPlay, в том числе выбранными пользователем по умолчанию путем галочки, а также критерии запуска выбранной программы в зависимости от содержимого и буквы диска.

То есть при включенной функции AutoPlay (по умолчанию она включена) выполняются заданные в данной ветке параметры.
Это тоже самое что если бы пользователь сам щелкнул на заданный файлик в качестве действия по умолчанию.

Функцию AutoPlay отключить можно либо через политику, либо что более гибко, через реестр:
Цитата:
NoDriveTypeAutorun
- по типу диска (жесткий диск, cd-rom, флешка)
и/или
Цитата:
NoDriveAutorun
- по букве диска

Отключив AutoPlay мы уже приходим к моменту когда заразиться можно только если щелкнуть на флешку (то есть обработка файлика AutoRun.inf).
Обойти можно нажав Win-E (или через кнопку Папки в Проводнике), но имхо проще запретив эту отработку..
Как выяснилось для флешки сделать это стандартными методами невозможно. Но формально возможно через удаление полностью ветки
Код: Выделить весь код
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
(что конечно очень радикально и не приветствуется, так как назад пути уже не будет )

либо отключением службы Определение оборудования оболочки (что в принципе не сложно сделать через реестр и есть возможность обратного включения).

Я сомневаюсь в наличии 100% защиты от заражения Вашей флешки на чужом компьютере, где меры защиты не были сделаны.
Но для Вашего компьютера эта флешка вреда не представит. Вирус будет лежать мертвым грузом, не причиняя никакого вреда. И здесь уже важно наличие антивируса, для удаления этого безобразия, чтобы защитить уже Ваши или чужие чистые компьютеры без мер защиты, так как в благоприятной среде он (вирус) снова может стать активен, что повлечет их заражение и Вашей плохой репутации

Новое поколение выбирает безопасный секс

Последний раз редактировалось Morpheya, 09-03-2008 в 13:13.

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:00, 09-03-2008 | #28


Аватара для DmB89

Ветеран


Сообщения: 944
Благодарности: 219

Профиль | Отправить PM | Цитировать


Цитата Morpheya:
То есть при включенной функции AutoPlay (по умолчанию она включена) выполняются заданные в данной ветке параметры.
Это тоже самое что если бы пользователь сам щелкнул на заданный файлик в качестве действия по умолчанию. »
Таким образом, вероятность автоматического запуска файла существует только тогда, когда компьютер уже заражён. Но, как говорится, поздно боржом пить, когда почки отказали...
А вот за разъяснение механизма работы ветки ...\MountPoints2\... - большое спасибо! Я весь сайт Microsoft перешерстил, но ничего не нашёл толкового. Да и в сети негусто...

Последний раз редактировалось DmB89, 09-03-2008 в 21:59.


Отправлено: 13:27, 09-03-2008 | #29


Новый участник


Сообщения: 37
Благодарности: 1

Профиль | Отправить PM | Цитировать


Я свою флэшку обезопасил от autorun.inf очень простым способом: создал папку с названием AUTORUN.INF
Еще ни один вирус не смог создать файл с таким же названием. А переименовать / удалить эту папку вирусы пока не догадываются, причем многие вылетают с ошибкой! :-)
Правда, все равно могут создаться файлы типа autorun.exe, autorun.vbs и т.д, но без inf-файла они не выполнятся.
Это сообщение посчитали полезным следующие участники:

Отправлено: 19:39, 10-03-2008 | #30



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - autorun

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - [Autorun] Autorun New Construct Alpha - Загрузочное меню для установки Windows tweakos Оформление Windows XP 13 18-10-2010 21:05
DVD AutoRun gambini Видео и аудио: обработка и кодирование 3 15-03-2009 21:15
Разное - autorun.inf Татарин Microsoft Windows 2000/XP 0 03-08-2007 16:54
Autorun strannic2005 Microsoft Windows 95/98/Me (архив) 10 20-12-2004 09:29
Autorun MrMadman Программирование и базы данных 4 31-12-2003 00:37




 
Переход