*    Установка Windows XP Mode на Windows 7 Basic и Premium - 2010-05-01 09:56:33    *    Демонстрация прототипов устройств с USB 3.0 - 2008-11-21 11:49:49    *    Microsoft официально анонсировала Windows Azure - 2008-10-28 08:18:19    *    Тестеры получили первый билд Vista SP2 - 2008-10-28 08:14:07    *    NVIDIA Hybrid SLI: теперь и для платформы Intel - 2008-10-16 10:54:38    *    Быстрая DDR3-память опасна для процессоров Intel - 2008-10-05 08:01:03    *    Руководство по включению PhysX на ноутбуках с GPU NVIDIA - 2008-09-02 12:08:00    *    Ежедневно десять миллионов зомби распространяют спам и вредоносные коды - 2008-08-25 09:38:09    **

             Обратная связь | Внести в избранное | Сделать домашней

Поиск по сайту



Вход
Имя

Пароль

Ещё не зарегистрировались?
Вы можете это сделать ЗДЕСЬ.

Содержание
 Главная

 Навигация
 Статьи
 Форум
 Файлы
 Ссылки
 Ваш Профайл
 Связь с автором
 Мировые новости
 Экзамены MCSE
 Обзор фильмов
 Самое популярное
 Фотогалерея
 Куплю-Продам
 Статьи
 Форум

 Профессиональное обслуживание компьютеров и сетей в России и в Израиле

 Учебники on-line
 Flash MX
 ISA Server
 Office XP
 PhotoShop 7
 Linux Red Hat
 Visual Basic. NET
 Visual Studio.NET
 Citrix Metaframe
 Citrix MetaFrame XP
 ВСЕ КНИГИ

Наполнение сайта
 Добавить файл
 Добавить статью
 Добавить ссылку

 Статьи по разделам
 MCSE 2000
 MCSE 2003
 Операционные Системы
 Новости Microsoft
 Безопасность
 Software
 Hardware
 Новости Интернета
 MCSE 2000 за 15 минут
 MCSE 2003 за 15 минут
 CISCO Systems


Реклама


Будьте с нами!
Кнопка на Ваш сайт

Скорая помощь для Ваших компьютеров и сетей!

Сделать стартовой
Связаться с автором


Реклама


Реклама

  


Изучаем безопасность: AUTOSTOP - скрипт для защиты от autorun-вирусов





Опубликовал leonid_y Wednesday, March 18


Раздел: Безопасность

При полном или частичном использовании кода скрипта, указание авторства обязательно -

Изначально скрипт был написан для собственных целей, т.к. вычищать руками вирусы,

 которые юзеры таскали на флешках, становилось все утомительнее.

Принцип действия основан на следующем. Autorun-вирусы получили свое название из-за метода распространения -

они записывают на флешку кроме самого файла с телом вируса также и файл autorun.inf,

 который при подключении флешки к компьютеру, запускает тело вируса. Если на флешке заранее создать каталог AUTORUN.INF -

то одноименный файл записать на нее уже невозможно. Версии 1.x скрипта дорабатывались в основном в направлении невозможности

 удаления каталога AUTORUN.INF.



Но после того как новые вирусы научились переименовывать этот каталог, версии 2.x скрипта используют другой принцип

 (как говорится, "Мы не можем изменить направление ветра, но мы можем подставить ему свои паруса"). На флешке создается каталог

AUTORUN.INF с атрибутом "системный", в который помещается иконка, а в свойствах файла desktop.ini этого каталога прописывается

 абсолютная ссылка на иконку. Таким образом, при переименовывании каталога AUTORUN.INF, или при снятии с него атрибута "системный",

иконка исчезает - это служит визуальным оповещением о том, что флешка заражена. Выглядит это следующим образом:


Те, кто спросит, зачем городить такие огороды, ведь можно воспользоваться способом, описанным, например здесь:

Защита флэшки от Autorun-вирусов (метод изменения прав в NTFS) - по

 большому счету будут правы - этот способ намного удобнее и надежнее моего. Но, отвечая на вопрос, я скажу следующее:


  • Существуют ситуации, когда форматирование флешки в NTFS нежелательно или неприемлемо (например, конкретная
  • модель автомагнитолы или DVD-плеера читает только FAT32).
  • Я хочу показать что "можно таки бить фашиста" альтернативными способами (любая альтернатива это плюс).
  • Я люблю логические задачи, а работа над скриптом - это отличная гимнастика для ума.
  • Способ, придуманный мной в версии 2 скрипта (перекрестные ссылки на иконки) можно взять за основу во многих других прикладных разработках.
  • Есть вирусы типа Trojan-Downloader.Win32.VB.hkq (первое обнаружение по данным virustotal 2008.08.14), которые обнаружив на флешке папки с
  •  файлами делают их скрытыми и системными, а на флешку копируют свои тела в виде исполняемых файлов с именами скрытых каталогов. Иконку для
  • исполняемых файлов используют в виде стандартной иконки папки. В этом случае скрипт AUTOSTOP будет полезен: исчезновение иконки на каталоге
  • AUTORUN.INF будет служить признаком заражения.



На этом нововведения в скрипте версии 2 не заканчиваются - если ранее я разрабатывал скрипт только для защиты самой флешки, то сейчас все же решил

добавить в него отключение автозапуска на компьютере (по желанию пользователя):


REG ADD "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles" /v "*.*" /d "" /f
В CancelAutoplayFiles находятся текстовые параметры, содержащие имена файлов, отыскав которые на носиеле встроенный AutoRun запускаться не станет
и позволит запустить носитель через autorun.inf. Добавляем строковый параметр следующего содержания: *.* (все файлы).
REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf" /ve /d "@SYS:DoesNotExist" /f
@SYS:DoesNotExist говорит explorer'у чтобы он не читал параметры запуска из файла Autorun.inf, а читал их из ветки
 реестра HKEY_LOCAL_MACHINESOFTWAREDoesNotExist, которая не существует. В итоге если внешний носитель содержит файл Autorun.inf -
то при подключении носителя к компьютеру, Autorun.inf не запускается. Более того - не запускается он и при двойном клике по букве диска этого
носителя в проводнике.
REG ADD "HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
С помощью NoDriveAutoRun запрещается загрузка с определенных приводов по их буквенному обозначению, а NoDriveTypeAutoRun
запрещает загрузку с определенных приводов по их типу. Поскольку нам авторан вообще не нужен, используем второе.
REG ADD "HKLMSYSTEMCurrentControlSetServicesCdrom" /v AutoRun /t REG_DWORD /d 0 /f
Cdrom - полное отключение всякой поддержки автозапуска компакт-дисков (даже ручной).

Пиктограмма взята из бесплатного набора Fugue Icons с сайта

Загрузить AUTOSTOP 2.2 -

autostop.2.2.exe (file size: 71680 bytes) - MD5: c41ff8c91e9010a2b581b88c8e454d83

УСТАНОВКА: переписать файл autostop.2.2.exe на флешку, которую необходимо
защитить (в корневой каталог), и запустить оттуда. После окончания установки файл можно удалить с флешки (его копия будет находиться в каталоге AUTORUN.INF). Внимательно прочесть файл readme.txt, находящийся там же - в каталоге AUTORUN.INF.

 


Связанные темы

SoftwareБезопасность


Комментарии к статье
Ваше имя: Неизвестный [ Новый пользователь ]

Тема:

Комментарий:




Дата опубликования - Mechanicus 2009-04-14 15:29:38
Re: AUTOSTOP - скрипт для защиты от autorun-вирусов
На сегодняшний день актуальная версия 2.4 (добавлена функция защиты флешки от записи новых файлов). Ссылки там же - mechanicuss.livejournal.com/195192.html
Идея и воплощение: Михаил Дмитриев
Страница оптимирована под разрешение от 1024х768 для IE 5.0+
Copyright © 2001-2008 by Michael Dmitriev - Создание и поддержка сайтов

Сайт работает на домашнем компьютере. OS Windows Server 2003. Находится в Израиле.


Web site engine's code is Copyright © 2003 by . Время создания страницы - 3.644 сек. и 46 запрос (а,ов) к базе данных

Введите URL своего сайта: