Профілактика інфекції pendrives

    51

    Знімні диски, такі як USB-накопичувачі, зовнішні накопичувачі, карти пам’яті, є потенційними джерелами шкідливих програм, що заражають систему, які легко переносяться завдяки функціям за замовчуванням, включених в Windows >>> AutoPlay і AutoRun. Після підключення незахищеного диска до зараженому комп’ютера файли шкідливих організмів автоматично копіюються на цей диск. Потім, підключивши такий диск, ми автоматично заражаем іншу систему. Ось чому важливо захистити систему і знімні диски від цього типу зараження.

    Кроки безпеки:
    Спочатку ми захищаємо систему – антивірусну перевірку, потім захист з допомогою цих методів. Потім підключіть знімні диски, відскануйте їх антивірусом і, нарешті, захистіть їх.

    Відключення автоигры “Автоигра”

    Відключення функції автозапуску Автозапуск виключає появу вікна дій автозапуску, тому диски не виконуються самостійно. Однак за замовчуванням тут є дефект, тому що система після вставки диска все одно буде шукати файл author.inf і зможе його виконати. Рішенням є установка патча: KB967715 . Тільки тепер відключення автозапуску буде ефективним.

    Підручник: Включення / вимикання автозапуску (автозапуск “Автоигра”)

    Windows 7: у цьому випуску Windows функцію автозапуску для USB-накопичувачів була повністю вилучена, залишаючи лише для знімних CD / DVD-дисків. Ця функція може бути введена в Windows XP / Vista шляхом установки виправлення KB971029 .

    Захист від некорректируемых папок / файлів autorun.inf

    Утиліти створюють приховану папку autorun.inf на диску, яка не дозволяє шкідливим файлів з autorun.inf записувати безпосередньо в корінь диска – інфекція не може помістити туди свій autorun.inf – (за умовчанням в Windows файл з тим же ім’ям, що і каталог, намагається автоматично зберегти в каталог з таким же ім’ям і не поруч з ним, а файли autorun.inf працюють тільки в корені диска). Папка містить елемент з зареєстрованим ім’ям, який не можна видалити звичайним чином, але ви можете легко змінити його ім’я, яке можна легко видалити захисту. Щоб запобігти цьому (тільки на дисках NTFS), ми видаляємо права доступу до папок для всіх облікових записів : PPM для папки -> Властивості -> вкладка Безпека> у розділі Заборонити виберіть Повний доступ. Ніхто не може нічого зробити з цією папкою після відмови в правах. Єдине рішення – змінити набір дозволів .

    Створіть захисну папку
    Щоб вручну створити таку папку, ми можемо використовувати пакетний файл BAT ( готовий файл ), запустивши його в корені кожного диска.

     MD autorun.infCD autorun.infДоктор медичних наукCDATTRIB autorun.inf + R + H + S 

    Текст вставляється в блокнот і зберігається як «file.bat» (ім’я con може бути замінено іншим із зарезервованих імен). Після запуску буде створена папка autorun.inf з блокуючим елементом CON, і до неї будуть застосовані атрибути « тільки для читання», hidden + system.

    Автоматичне створення папки
    Ми можемо використовувати додатки: USBFix, USB-набір , Autorun Protector (розділ Захист пристрою), Panda USB Vaccine (USB Vaccination), MKV.

    Видалення створених папок:

    MKV скачати: остання версія , MKV.zip
    додаток дозволяє створювати захисні папки (розділ Vacciner), а також видаляти їх (розділ «Вакцинація»). Видаляє папки, створені USBFix, Flash Disinfector, Autorun Protector, не працює з безпекою Panda USB Vaccine.

    Інші способи:
    – використовуючи Linux, наприклад, Parted Magic
    – з допомогою програми DirectoryFixer
    Після видалення цього файлу папка autorun.inf розблокується, і ви можете видалити її вручну.
    – видалення з командного рядка за формулою в обхід зарезервованих імен: інструкція

    Захист шляхом відключення читання файлів autorun.inf

    – możliwość automatycznego wykonywania programu z dysków, potrzebne są tutaj pliki autorun.inf, w których zapisane jest jaki program ma się uruchomić. Автозапуск «Автозапуск» – можливість автоматичного запуску програми з дисків, вам потрібні файли autorun.inf, в яких зберігається яка програма для запуску.
    Найпростіший файл автозапуску виглядає так: запис open = program.exe вказує, яка програма повинна запускатися автоматично:

     [Автозапуск]розімкнений = program.exe 

    Профилактика инфекции pendrives

    Цей метод дуже ефективний (система не розуміє, що таке файл autorun.inf, тому не може його виконати), але файли autorun.inf не будуть запущені, наприклад, на ігрових дошках або у програмному забезпеченні. Пам’ять U3 перестане працювати (їх LaunchPad вимагає використання autorun.inf). У цій ситуації найкращою альтернативою є захист папок / файлів autorun.inf від не видалених файлів.

    Щоб відключити розпізнавання файлів autorun.inf, ми змінимо реєстру, імпортувавши наступні записи:

    Відключити функцію автозапуску

     Редактор реєстру Windows, версія 5.00[HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindows NTCurrentVersionIniFileMappingAutorun.inf]@ = "@ SYS: DoesNotExist" 

    Увімкніть функцію автозапуску

     Редактор реєстру Windows, версія 5.00[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindows NTCurrentVersionIniFileMappingAutorun.inf] 

    Вставляємо текст в блокнот,
    Файл >>> Зберегти як >>> Встановити розширення Усі файли >>> Зберегти як FIX.REG Введіть значення в реєстр, двічі клацнувши. В обох випадках – після перезавантаження комп’ютера.
    Для зручності ви можете завантажити готові REG файли для імпорту: Enabled_disabled_autorun.zip

    Це також можна зробити автоматично за допомогою додатка:
    – Autorun Protector (у розділі Захист ПК)
    – Panda USB Vaccine (в розділі «Комп’ютерна вакцинація»)

    Видалення зіставлення з ключа MountPoints2

     HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2 

    Ключ зберігає інформацію про різні USB-пристрої, які використовувалися на комп’ютері. Ви можете повністю видалити цей ключ, після перезавантаження комп’ютера ключ буде автоматично відновлено. Це можна зробити автоматично в Autorun Protector, функції «Очистити реєстр MountPoints2».

    Ви також можете відкликати дозволи для цього ключового затвердження .

    Виправлення, яке виправляє відображення прихованих файлів

     Редактор реєстру Windows, версія 5.00[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexploreradvanced]"SuperHidden" = DWORD: 00000001[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexploreradvanced]"Hidden" = DWORD: 00000001[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexploreradvanced]"ShowSuperHidden" = DWORD: 00000001[HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall]"CheckedValue" = DWORD: 00000001[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrentversionexploreradvancedfoldersuperhiddenpolicydontshowsuperhidden][HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrentversionexploreradvancedfoldersuperhiddenpolicydontshowsuperhidden]@ = "" 

    Інфекції, що використовують уразливість при обробці файлів .lnk (ярлики)

    Новий тип зараження використовує помилку при обробці файлів .lnk (ярлики) і не схожий на більшість шкідливих програм цього типу, що використовують можливості файл autorun.inf. Ця діра існує в бібліотеці shell32.dll у коді, що відповідає за відображення ярликів файлів LNK). Ну, для файлу LNK ви можете вказати файл з іконкою, такий файл може бути DLL або іншою програмою. У такому випадку виникає ситуація, коли просте відображення ярлика, наприклад, на панелі управління, може автоматично запускати будь-яку програму з правами користувача. Якщо у вас є права адміністратора, можна встановити руткіт в системі.

    Щоб заразитися, просто підключіть заражений переносний диск, якщо автозапуск включений, або перегляньте вміст USB-накопичувача за допомогою будь-якої програми, яка автоматично показує значки файлів (наприклад, Total Commander або Windows Explorer), якщо відключений автозапуск.

    симптоми:
    папки на диску ховаються шляхом застосування атрибутів hidden + system, і замість цього є ярлики з іменами каталогів, але не ведуть до них, а тільки для зараження файлів (PPM >>> properties >>> target).

    Профилактика инфекции pendrives

    Профілактика :
    встановити патч для усунення вразливості обробки ярликів: KB2286198
    Бюлетень безпеки Microsoft MS10-046 – Критичний

    лікування:
    Якщо ми не встановили виправлення і не заразилися, ми повинні зробити наступні дії:

  • установка патча – без патча лікування може бути неефективним
  • видалити заражають файли .lnk (ярлики), як при звичайному зараженні
  • видалити приховані + системні атрибути з каталогів, щоб зробити папки видимими
  • приклад:

     H:del / s H: *. lnkattrib / d / s -s -h H: *RD / S / QH: RECYCLERRD / S /QH:$RECYCLE.BINREG DELETE "HKCUsoftwaremicrosoftwindowscurrentversionexplorermountpoints2 {78db02ca-f409-11df-bbcf-001485361ff2}" / fпауза 

    У меню Notebook >>> Файл >>> Зберегти як >>> Встановити розширення Усі файли >>> Зберегти як FIX.BAT >>> запустити цей файл

    Корисні інструменти:

    Використовуючи спеціальні програми, вищезазначені дії можуть виконуватися автоматично.

    Оновлення : розширені програми USBFix і USB-set описані в окремому записі.

    Panda USB Vaccine

    Ліцензія: безкоштовно
    Платформа: Windows 2000 / XP / Vista / 7

    додаток для захисту від інфекцій від знімних дисків. Під час установки ми вибираємо варіант установки житловий охорони, визначаємо, повинна вакцинація пристроїв виконуватися автоматично, і підтримуємо вакцинацію файлової системи NTFS.
    При запуску інструмент має два розділи:
    Комп’ютерна вакцинація – захист шляхом відключення читання файлів autorun.inf, способом, описаним вище.

    USB Vaccination створює не стирається файл autorun.inf на портативних USB-накопичувачах (не підтримує жорсткі диски), відформатований в FAT / FAT32 / NTFS, запобігаючи його читання, зміна, видалення і генерацію нового. У додатку є інший метод створення об’єктів:
    – на FAT: файл видно, але не може бути видалений
    – в NTFS: файл autorun.inf не видно на диску, але не може бути створений на ньому (помилка «таке ім’я вже існує»)
    Це найефективніша захист USB.

    Портативна версія – Panda USB Vaccine 1.0.1.4 Portable

    Профилактика инфекции pendrives

    Автозапуск Протектор

    Ліцензія: безкоштовно
    Платформа: Windows + .NET Framework 2.0

    Розділ Захист комп’ютера – відключення автозапуску в Windows за допомогою методу ключа IniFileMapping (відключення системного зчитування файлів autorun.inf). Крім того, функція «Очистити реєстр MountPoints2» – очищення вмісту кеша USB-пристроїв.
    Розділ Захист пристрою – створення не прати папок autorun.inf виявлених на дисках.

    Профилактика инфекции pendrives

    Немає автозапуску

    Ліцензія: з відкритим вихідним кодом

    Додаток контролює кожен підключений USB-диск і блокує розташований на ньому файл autorun.inf разом з виконуваними файлами, збереженими на ньому. При виявленні файл autorun.inf з’являється вікно з вибором дій. До тих пір, поки не будуть зроблені відповідні дії, файли не зможуть виконуватися і не будуть шкодити системі, а також не можуть бути видалені з Провідника. Щоб видалити всі файли, виберіть «Видалити файли автозапуску» / «Видалити все». Видалити окремі файли. Натиснувши кнопку «Розблокувати», ми знімаємо блокування з файлів і маємо до них доступ. Карантин – карантин.

    pozwala na zablokowanie zapisu na każdym nowo podłączanym dysku USB, który będzie tylko do odczytu. Параметр «Захист від програмної запису USB-диска» дозволяє блокувати запис на будь-якому знову підключеного USB-диску, який буде доступний тільки для читання. Це корисно, якщо ваш комп’ютер вже заражений, але ви не хочете поширювати вірус.

    Профилактика инфекции pendrives

    Вибравши Config, ми отримуємо доступ до конфігурації:

    – automatyczny start z systemem автоматичний запуск з системою – автоматичний запуск з системою
    – opcja wyłącza funkcje autoodtwarzania Autoplay відключити автозапуск – ця опція вимикає функції автозапуску автозапуску

    – opcja pozwala na bezpieczne otwarcie folderu dysku USB po określonym w czasie sekundach при вставленому USB-диску безпечно відкривайте папки на диску – ця опція дозволяє безпечно відкривати папку на USB-диску через зазначений час в секундах

    заблокувати файл autorun.inf, якщо він містить більше 4 рядків. – blokada pliku autorun.inf, jeśli zawiera więcej niż 4 linie. (запобігти потенційну помилку синтаксичного аналізу.) – заблокувати autorun.inf, якщо він містить більше 4 рядків. (запобігає можливі помилки синтаксичного аналізу)

    Завантажити: остання версія (установка не потрібно, переносне тип