Способи захисту флешки від вірусів

Відео: захист флешки від вірусів

Вступ

Правильно кажуть: «все нове - добре забуте старе». Звикнувши, що зараза пре тільки через інет, ми остаточно забули, як хвацько підчіплюють віруси з дискет друзів і знайомих. У наш час малваре знайшла інший спосіб поширення: через USB-носії. Вони виявилися ідеальним контейнером. А укупі з дебільний політикою Вінди - ще й дуже ефективним.

Відео: Щеплення від вірусів для USB-флешок

Встав пендрайв де-небудь в універі або інтернет-кафе - і малваре не примусити себе чекати. До ворожки не ходи з приводу флешки подружки: питання тут тільки в тому, скільки різновидів малварі уживається в одному місці. Так що там говорити, - якщо навіть у досвідчених користувачів на зовнішніх носіях часто осідає випадково подцепленний зараза? Принцип дії настільки простий, що описується буквально в двох словах. Будь-вірус, у якого в арсеналі числиться поширення через зовнішні носії, використовує 2 файли autorun.inf і бінарник з власне тілом вірусу. Коли користувач вставляє флешку, Винда зчитує шкідливий autorun.inf і, слідуючи вказівкам, відразу запускає тіло вірусу або ж виконує його під час подвійного кліка по іконці накопичувача. Ну а, влаштувавшись в системі, нічого не варто копіювати ці файли на все підключаються до системи диски. Недавній досвід Downadup, який використовував невеликий хинт, щоб обдурити антивіруси, показав, що справа пора брати в свої руки. Сьогодні ми розберемося, по-перше, як убезпечити свою флешку, а по-друге, як позбавити систему від «шкідливих звичок».

NTFS - НАШЕ ВСЕ, АБО СПОСІБ №1

Залишимо вивчення живності зоологам. Замість того щоб щодня відловлювати малваре, ми зробимо так, щоб вона просто не з`являлася. А для цього створимо флешці такі умови, щоб живність там не могла існувати. Перший спосіб - дуже легкий і, мабуть, найефективніший (але, на жаль, не позбавлений недоліків). Суть в тому, щоб розпрощатися з файлової системою FAT32, яка поголовно використовується на зовнішніх носіях за замовчуванням, - і перевести флешку на NTFS, отримавши всі її переваги. Найбільш вдалий варіант перейти на NTFS - відформатувати пендрайв необхідні інструменти від компанії HP: HP USB Disk Storage Format Tool (дистрибутив можна знайти в Google за назвою файлу SP27213.exe). Потрібно лише вибрати потрібний диск і файлову систему - в нашому випадку NTFS. Практика, проте, показує, що нічим не гірше виявляються вбудовані засоби Вінди. Тому можна просто вибрати в контекстному меню пункт «Форматувати» або навіть банально скористатися консольної командою:

format f: / FS: NTFS

Якщо є необхідність зберегти дані на флешці, використовуй вбудовану утиліту для перетворення файлової системи на обраному розділі:

convert f: / FS: NTFS

Згадуємо, що вірусу обов`язково потрібно створити свій autorun.inf в корені змінного носія, щоб влаштуватися на USB-носії. Тому наступний крок - просто заборонити створення будь-яких файлів в корені флешки. Де ж тоді зберігати файли? Дуже просто - в спеціально створеній папці (нехай вона буде називатися FILES), для якої, як і раніше будуть дозволені операції читання / запису / виконання файлів. Для цього переходимо в властивості безпеки каталогу і натискаємо на кнопку «Додатково». У віконці, що з`явилося треба зробити важливу річ - відключити спадкування дозволів від батьківського об`єкта, знявши відповідну опцію. Далі, в діалозі, тиснемо «Копіювати» і виходимо звідси, двічі відповівши «Ок». Тепер можна сміливо відключати запис в кореневій каталог, не побоюючись, що нові політики будуть успадковані в нашій папці з файлами. Вибираємо в колонці «Заборонити» пункт «Запис», а в стовпці «Дозволити» залишаємо такі права: «Читання і виконання», «Список вмісту папки», «Читання». У підсумку, ми отримуємо флешку, на яку не зможе записатися Autorun (заради чого власне все і затіяли).

Для зручності можна створити захищений від запису autorun.inf, який буде відкривати ту саму папку FILES. Панацея? На жаль немає. Якщо малваре запущена з правами адміністратора, то ніщо не завадить їй поміняти ACL-дозволу, як заманеться. Правда, на практиці, малварі, готової до подібної ситуації, поки небагато. А ось з такою проблемою я зіткнувся особисто, - коли вставив вакциновану флешку в свою магнітолу і, природно, обламався. Більшість побутових девайсів знати не знають про існування NTFS і працюють тільки з флешками на FAT32. Багато людей використовують в якості флешки PSP або MP3-плеєр - і їх взагалі ніяк не вийде відформатувати в NTFS. Ну і наостанок: флешки з NTFS стають Read only на маках і на багатьох Linuxrsquo-ах. Увага - важливий нюанс!

Отформатированную в NTFS флешку обов`язково потрібно витягувати через «Безпечне відключення пристрою».

Якщо у випадку з FAT32, на це можна було сміливо забивати, то з NTFS всі дані проходять через кеш, і ймовірність того, що частина даних, не встигнувши повністю скопійована з кешу, пропаде при відключенні, вкрай велика. Загалом, ти мене зрозумів - тільки «Безпечне відключення»!

СЛАВЕТНІ ОСОБЛИВОСТІ FAT32, АБО СПОСІБ №2

Як я вже сказав, варіант c NTFS прокатує далеко не завжди. Але є можливість залишити носій на рідній файлової системи FAT32 і, більш того, - використовувати для захисту її специфіку. Завдання знову ж та сама - заборонити вірусу створювати на флешці файл autorun.inf. Колись було досить просто створити каталог з ім`ям AUTORUN. INF, виставивши йому атрибути «Read only» і «Hidden». Так ми перешкоджали створенню файлу з тим же ім`ям. Зараз це, зрозуміло, не варіант. Зате є трохи модифікований трик, який більшість малварі обходити поки не навчилося. Пояснюю ідею. Створюємо каталог AUTORUN. INF. Якщо каталог не порожній, видалити його можна, лише розправившись з усім вмістом. Це дуже просто, - але тільки не у випадку, коли в каталозі є файли з некоректними для FAT32 іменами! Саме цей принцип захисту лежить в основі програми USB Disk Security (zbshareware.com), Яка створює на флешці AUTORUN. INF і в ньому файл «zhengbo.» (Так-так, з точкою на кінці - що, природно, некоректно). І знаєш: більшість малварі залишається не при справах. За своє «ноу-хау» розробники просять $ 50, але нам нічого не варто зробити те ж саме вручну. Для цього згадуємо старий трик з нашої давньої статті «Обхід обмежень FAT32 / NTFS полягає в використанні локальних UNC-шляхів. Нагадаю, що UNC - це формат для запису шляху до файлу, розташованому на віддаленому комп`ютері. Він має вигляд server share path, де server - це назва віддаленого хоста. Такий спосіб доступу до файлів можна використовувати і для локальної машини, - тільки тоді замість server потрібно підставляти «?» Або «.», А шлях до файлу вказувати разом з буквою диска. Наприклад, так: ? C: folder file.txt. Фішка в тому, що при використанні UNC-шляхів і стандартних консольних команд можна створювати файли навіть із забороненими файлової системою іменами. Створимо нескладний BAT-файл з наступним змістом:

mkdir "? J: AUTORUN.INF LPT3"

Після запуску отримаємо каталог з некоректним ім`ям LPT3, що знаходиться в папці AUTORUN.INF - звичайним способом її вже не видалити, а значить, малваре не зможе створити файл autorun.inf, залишившись без роботи! Недоліків вистачає і у цього способу. По-перше, розробники нової малварі можуть використовувати хинт від зворотного і скористатися UNC-шляхами для видалення файлів / папок з некоректним ім`ям: ? J: AUTORUN.INF LPT3. Директорію можна взагалі не видаляти - а безперешкодно перейменувати: наприклад, в AUTORUN.INF1. Інше питання, що такий малварі поки, знову ж таки, трохи. І раз ми заговорили про створення BAT-файлу, то накидати універсальний скриптик, який, крім усього іншого, буде:

• видаляти папку, замасковану під кошик (на флешці її бути не повинно), де розташовують свої тіла багато черви (в тому числі, Downadup), а також папку з файлами відновлення системи;
• створювати системну папку AUTORUN.INF з Директорією COM1;
• з видаленням такого файлу будуть труднощі навіть під NTFS;
• видаляти і захищати desktop.ini, який також часто використовується малваре.

rd / s / q% ~ d0 recycled
rd / s / q% ~ d0 recycler
rd / s / q «% ~ d0 System Volume Information"
del / f / q% ~ d0 autorun. *
mkdir "? % ~ d0 autorun.inf com1"
attrib + s + h% ~ d0 autorun.inf
del / f / q% ~ d0 desktop.ini
mkdir "? % ~ d0 desktop.ini com1"
attrib + s + h% ~ d0 desktop.ini

Досить зберегти це на флешці з ім`ям, наприклад, autorun.bat і запустити.

Впоратися з автозавантаження

Одна справа - розібратися зі своєю власною флешкою, і зовсім інше - НЕ підчепити заразу з чужих. Для того щоб малваре НЕ перекочувала на твій комп, продовживши свою переможну ходу, необхідно, по-перше, грамотно відключити автозавантаження, і, по-друге, взяти на озброєння пару корисних утиліт.

Почнемо з першого. Здавалося б: що може бути простіше, ніж відключення автозапуску? Але на ділі все не так прозоро! Навіть якщо поставити заборону через локальні політики Windows, в системі все одно залишаються дірки, що дозволяють заюзать малваре. Це легко перевірити! Спочатку відключаємо автозапуск через стандартні політики Windows і переконуємося, що автозапуск ніби як не працює. А тепер проведемо експеримент, створивши на флешці autorun. inf з наступним змістом:

[Autorun]
open = calc.exe
shell Open Command = calc.exe
shell Open Default = 1
shell Explore Command = calc.exe
shell Autoplay Command = calc.exe

Під час монтування девайса, дійсно, нічого не запускається, але спробуємо двічі клацнути по іконці носія. Що ми бачимо? Винда відкриває калькулятор! Думаю, не треба пояснювати, що замість нього т ам могло виявитися, що завгодно. Замість цього наведу докладну інструкцію, як правильно і остаточно відключити автозапуск системи:

1. Насамперед правимо ключ реєстру, який відповідає за запуск з CD. Переходимо в гілку

HKEY_LOCAL_MACHINE System CurrentControlSet Services Cdrom

знаходимо параметр AutoRun і встановлюємо його рівним нулю.

2. Далі переходимо в розділ

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion policies Explorer

Тут створюємо новий ключ NoDriveTypeAutoRun типу dword і задаємо значення ff в шістнадцятковій системі. Для вірності можна повторити ті ж дії в гілці

HKEY_CURRENT_USER

але вони все одно будуть ігноруватися.

3. Інший цікавий хинт полягає в редагуванні ключа

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion IniFileMapping Autorun.inf

якому потрібно присвоїти значення (типу REG_SZ) - @SYS: DoesNotExist. Так ми змушуємо Windows думати, що autorun.inf є конфігураційним файлом древніх програм, розроблених для ОС, більш ранніх ніж Windows 95! Не маючи в розпорядженні реєстру, вони використовували .INI-файли для зберігання своєї конфігурації. Створивши подібний параметр, ми говоримо, щоб система ніколи не використовувала значення з файлу autorun.inf, а шукала альтернативні «настройки» за адресою

HKEY_LOCAL_MACHINE SOFTWARE DoesNotExist

(Природно, він не існує). Таким чином, autorun.inf взагалі ігнорується системою, що нам і потрібно. Використовуваний в значенні параметра символ @ блокує читання файлу .INI, якщо запитувані дані не знайдені в системному реєстрі, а SYS є псевдонімом для короткого позначення розділу

Відео: Захист Вашої флешки від вірусів. Без використання програм

HKEY_ LOCAL_MACHINE Software.

4. Незайвим буде оновити параметри файлів, які не повинні автозапускаемой, додавши туди маску *. *. В розділі

HKEY_LOCAL_ MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer AutoplayHandlers CancelAutoplay Files

створюємо строкової параметр типу REG_SZ з назвою *. *. 5. У реєстрі Вінди є чудовий розділ MountPoints2, який оновлюється, як тільки в комп`ютер вставляється USB-носій. Власне, саме це і дозволяє провернути трюк, який я описав спочатку. Боротися з таким станом речей можна. Спочатку необхідно видалити всі ключі MountPoints2, які ти зможеш знайти пошуком в реєстрі, після чого перевантажитися. далі знаходимо

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer MountPoints2

і в політиці доступу забороняємо редагування ключа всім користувачам, включаючи адміністраторів. Не завадить і встановити монітор реєстру, який стежив би за появою нових ключів MountPoints2 і блокував до них доступ. Тільки після цього можна бути впевненим, що автозапуск в системі працювати не буде. Хто б міг подумати, що все так складно? :)

КОРИСНІ УТИЛІТИ

У пошуку і опорі малварі хорошими помічниками можуть стати кілька утиліт. Я не буду тут наводити звичайні антивіруси, які, само собою, з цією напастю борються і в багатьох випадках - досить успішно. Замість цього розглянемо кілька невеликих, але дуже корисних утиліт.

1. AutoRunGuard (autorun.synthasite.com/AutoRunGuard.php). Мініатюрна, але дуже розширюється тулза дозволить налаштувати правила - що повинно відбуватися, коли підключається флешка або CD. Можна, наприклад, в момент монтування тут же запускати сканер малварі. AutoRunGuard сама перевіряє наявність autorun.inf, а також прихованих файлів, повідомляючи про них користувача.

2. Flash Guard (davisr.com). Ця утиліта також стежить за появою в системі змінних накопичувачів. При виявленні нового диска вона пропонує, на вибір:

• Видалити додані файлом Autorun.inf пункти контекстного меню диска;
• Інформувати користувача про наявність на диску файлу Autorun.inf;
• Видалити файл Autorun.inf;
• Видалити всі файли Autorun. * - Видаляємо у всіх випадках Autorun.inf і спимо спокійно.

3. USB Disk Security (zbshareware.com). На жаль, платна утиліта для захисту флешок від малварі. З власного досвіду можу сказати, що з вірусами вона справляється на раз-два. В якості безкоштовної альтернативи можна привести Flash Disinfector.

Правимо права доступу в консолі

Встановити ручками права доступу для однієї флешки - легко. Для двох-трьох - теж нічого складного. Але якщо потрібно вакцинувати відразу десяток, скажімо, для всіх співробітників підприємства? У цьому випадку незайвим буде автоматизувати процес, встановлюючи ACL-правила для флешки через командний рядок. До речі кажучи, використовувана для цього консольна утиліта cacls (Change Access Control Lists) - єдиний спосіб налаштувати параметри безпеки в Windows XP Home Edition. Насамперед потрібно отримати поточну ACL-таблицю з флешки. Припустимо, вона визначається в системі як диск X: - команда для перегляду таблиці буде:

cacls X:

У більшості випадків повернеться рядок:

X: Все: (OI) (CI) F

Символ F (від слова Full) в кінці означає повний доступ для всього вмісту, - про що говорять прапори (OI) (CI). Нам потрібно видалити права на зміну файлів, тому по черзі видаляємо записи з таблиці. У нашому прикладі треба видалити запис про повне доступі для групи «Всі»:

cacls X: / E / R

Усе. Після чого дозволяємо доступ до каталогу в режимі читання (Read only):

cacls X: / G Все: R

Спробуй тепер створити в корені флешки файл. Чи вийде :).

непробивна захист

Найкращий захист на флешці - заборона запису на хардварний рівні. Деякий час назад у багатьох флешок такий перемикач був за замовчуванням, але зараз виробники відійшли від цієї практики. Зате майже на всіх картках Secure Digital (SD) перемикачі як і раніше є. Тому можу запропонувати непробивний варіант: купи таку картку і компактний картрідер, і в разі найменшої підозри став перемикач в положення «read only». До того ж, картрідер ще напевно тобі знадобиться (щоб допомогти скинути фотографії красивій дівчині, яка в паніці бігає по офісу в пошуках проводу від фотоапарата).

джерело: xakep.ru

Степан «STEP» Ільїн