Файл Autorun.inf – вірус або витівка?

571

Що за файл – Autorun.inf ?
Це прихований файл в ОС Windows, що знаходиться в корені диска.
Кожен раз, коли Ви відкриваєте диск (локальний, портативний або той, що в приводі) або USB флешку (частий випадок) система відразу перевіряє його на наявність даного файлу. Якщо він є – вона дивиться що там прописано і запускає.
Це автозагрузочный файл, який вказує що робити системі при запуску диска.

Його зазвичай використовують у добрих цілях. Ви ніколи не замислювалися, чому при відкритті диска з програмою або грою, вставлений в привід, відразу виводиться красиве меню з вибором подальших дій? А так само зазвичай образ диску замінюється на іншу, від творців гри/програми. Так ось, це все саме із-за цього файлу.

І саме за цих властивостей, його так люблять віруси, щоб прописати в ньому шлях для запуску свого шкідливого коду.

Що з себе представляє файл Autorun.inf ?
Це звичайний текстовий документ (правда він прихований), всередині якого прописаний код для запуску програм. І його так само можна відкрити і редагувати за допомогою стандартного Блокнота.

Зазвичай файл Autorun.inf містить в собі наступний код:
[AutoRun]
shellexecute=1
Action=2
Icon=3
Label=4

Де:
1 – це шлях до програми
2 – ім’я програми
3 – іконка
4 – назва (мітка) диска

Це для прикладу. Команд для нього велике безліч, але для загального уявлення достатньо.

Як створити файл Autorun.inf для автозапуску ?
Це свого роду допомога по пустощі

1) Створюємо текстовий документ з назвою Autorun.
2) Створюємо папку vindavoz.
3) Відкриваємо наш Autorun і вставляємо туди
[AutoRun]
open=vindavoz\MyProg.exe
action=vindavoz\Прога
icon=vindavoz\MyIcon.ico
label=vindavoz\Виндавоз

4) Зберігаємо його з розширенням .inf
5) Закидаємо файл і папку в корінь диска

У результаті повинна вийде наступне:
При завантаженні диска або флешки) іконка буде та, яка MyIcon.ico . Назва диска буде Виндавоз. І відразу відкриється MyProg.exe з назвою в меню автозапуску Прога.

Зрозуміло, всі ці назви для прикладу і вони повинні вже бути в папці vindavoz.
Ну і для “краси”, можна зробити ці папки і файли прихованими.

Так само можна просто зробити назва диска і іконку. Здивувати друзів тим, що у Вашої флешки буде своє ім’я – це не ново. А от коли ще й іконка буде інша – це вже фокус Fufu
Зміст файлу AutoRun.inf тоді буде таким:
[AutoRun]
icon=vindavoz\MyIcon.ico
label=vindavoz\Виндавоз

Правда деякі антивіруси можуть лаятися на таке, але Ви знаєте що в ньому нічого небезпечного.

Файл AutoRun.inf і віруси
В даний час файл autorun.inf широко використовується для розповсюдження комп’ютерних вірусів через flash-накопичувачі і мережеві диски. Для цього автори вірусів прописують ім’я виконуваного файлу з шкідливим кодом параметр open. При підключенні зараженого flash-накопичувача Windows запускає записаний в параметрі «open» файл на виконання, в результаті чого відбувається зараження комп’ютера.

Знаходиться в оперативній пам’яті зараженого комп’ютера вірус періодично сканує систему з метою пошуку нових дисків, і при їх виявленні (при підключенні іншого flash-накопичувача або мережного диска) створює на них autorun.inf з посиланням на копію свого виконуваного файлу, забезпечуючи таким чином своє подальше поширення.

Як видалити файл AutoRun.inf ?
Зазвичай вірус всіляко намагається захиститися: робить себе прихованим, не видаленого, не дає зайти в під флешку і т. п.

Для того, щоб видалити цю капость вручну, скористаємося командним рядком (win+r -> вводимо cmd).
1) Переходимо на заражену флешку (подивіться на букву диска в Моєму комп’ютері)
g:

У мене флешка під літерою g, відповідно замість неї Ви повинні написати свою букву.

2) Міняємо атрибути файлу на нормальні
attrib -a -s -h -r autorun.inf

Якщо все зроблено абсолютно правильно, нічого не зміниться. У разі, якщо була допущена помилка, з’явиться відповідна інформація.

3) Видаляємо вірус
del autorun.inf

Як видалити вірус AutoRun.inf за допомогою реєстру
Як потрапити в Редактор реєстру я вже писав вище. Нам потрібна гілка [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)]
Файл Autorun.inf - вирус или шалость?

і видаляємо у ньому підрозділ Shell. Можна видалити всі в розділі MountPoints2, але тоді віддалиться інформація про всіх носіях. Вирішувати Вам.

Так само можете скористатися програмою Anti Autorun, яка блокує створення файлу autorun.inf і робить неможливим автозапуск будь-яких шкідливих програм. Створює спеціальну папку і файл, які не займають місця на диску.
Ще пара програм які можуть Вам допомогти, як я вважаю, це Autorun Guard і USB_Tool.

Як захиститися від вірусів AutoRun.inf ?

Звичайно ж Відключити автозапуск!
Трохи про це я писав у статті Як убезпечити свій комп’ютер, зокрема в першому раді. У ній було описано як відключити автозапуск стандартними засобами Windows, а зараз я опишу як це зробити “жорстко” за допомогою Редактора реєстру.
Відкриваємо редактор реєстру (win+r ->вводимо regedit) і йдемо по гілці HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer в якій створюємо параметр DWORD (32-Біт)
Файл Autorun.inf - вирус или шалость?

NoDriveTypeAutoRun зі значенням dword:000000ff

А тепер зробимо ще міцніше захист Cool
Справа в тому, що Вісь Windows не дозволяє створювати файли і папки з однаковими іменами, тому що для неї різниця між файлом і папкою полягає тільки в одному біті.
Якщо хто зі мною спробує сперечатися в цьому – в будь-якому місці створіть папку, а потім файл з таким же ім’ям.
Саме з ім’ям, без розширення.

Тому якщо існує папка autorun.inf файл з таким ім’ям створитися вже не зможе. Тому первісний варіант – створити файл або папку з назвою autorun.inf . Вірус побачить що така назва вже є, образиться і піде ні з чим LOL
Це має місце бути правдою, але оскільки є “розумні” віруси, які зрозуміють, що існує файл або папка з таким ім’ям і зможуть легко видалити Вашу створену папку (файл) і записати свій файл autorun.inf, який буде запускати віруси.
Для вирішення цієї проблеми ми створимо супер-пупер неудоляемую папку Nyu . Яку видалити можна буде тільки якщо відформатувати флешку.

Отже, для створення такої папки, потрібно створити простий текстовий документ в Блокноті з наступним змістом:
attrib -s -h -r autorun.* del autorun.* mkdir “\\?\%~d0\autorun.inf\vindavoz..\” attrib +s +h %~d0\autorun.inf

Натискаємо Файл – Зберегти як… і вводимо будь-яку назву, але головне щоб було розширення .bat
Наприклад vindavoz.bat.
Потім копіюємо цей файл на флешку і запускаємо.
У підсумку Ви повинні отримати теку autorun.inf усередині якої буде лежати неудоляемая папка vindavoz
Файл Autorun.inf - вирус или шалость?

Ну а для тих, кому не хочеться з цим возитися, я приготував цей файл у архіві. vindavoz.zip307 bcкачиваний: 1040
Досить завантажити, розпакувати, перенести файл vindavoz.bat на флешку (диск) і запустити.

До речі, якщо папка після цього залишилася видимою – змініть їй атрибут на прихований, клацнувши на ній ПКМ і вибравши Властивості

Цей “Фокус” не вийде на система NTFS, але флешки найчастіше використовують FAT, так що можна користуватися.

P. S.
Навіщо робити в папку? Та тому що папка autorun.inf служить як би “індикатором”. І якщо після блукань по комп’ютерам вона до Вас попапла і атрибут у неї не варто прихований – значить віруси вже хотіли її видалити і прописатися в ній для чого і змінив атрибути. Можете сміливо шукати незнайомі приховані файли і видаляти їх. Це будуть віруси.

Для загальної інформативності, можете почитати статтю на Вікіпедії про нього.

СХОЖІ СТАТТІВід цього автора