|
Бог мой, надо что-то предпринять... но я уже в пижаме. Губерт Фарнсворт |
Хорошие новости! После прочтения этой статьи вы понизите риск заражения своего компьютера вирусом по крайней мере в 10 раз, без преувеличения.
Флешки — это, напоминаю, относительно новые компактные носители информации, которые вставляются в USB-слот компьютера. За очень короткий срок они почти полностью вытеснили трехдюймовые магнитные дискеты, которые были самым распространенным офисным переносчиком файлов в течение 20 с лишним лет.
Работа с флешкой кажется сущим пустяком — вставил в USB, втащил файл с новым фильмом, вынул и пошел к друзьям смотреть. После вставки флешки Windows любезно отображает на экране ее содержимое автоматически, чтобы вам даже не пришлось открывать «Мой компьютер» и искать там новое устройство.
Здесь и кроется огромная уязвимость всей линейки Windows XP, которую относительно недавно начали усиленно использовать злоумышленники. Вирусы, которые распространяются эпидемическим способом, сидят на зараженном компьютере и постоянно сканируют все новые дисковые устройства, которые в него вставляются. Как только вы вставляете свою новенькую чистую флешку в зараженный компьютер, вирус радостно взвизгивает и записывает на нее скрытый файл с программой заражения.
На зараженную флешку вирус также добавляет скрытый файл с именем «Autorun.inf», который содержит настройки системного автозапуска. В него вирус записывает команду запуска программы заражения, которая уже скопирована ранее. После вставки флешки обратно в ваш компьютер Windows находит новое дисковое устройство и проводит стандартную процедуру автозапуска: сначала ищет файл с именем «Autorun.inf» а потом читает из него инструкции, полностью доверяя любой программе, которая будет из него запущена. Вирус спокойно запускается и за долю секунды прочно обосновывается на вашем компьютере. О его существовании вы узнаете только когда не сможете больше войти в свой почтовый ящик или когда у вас вдруг пропадет выход в Интернет.
До появления флешек это не была уязвимость, а, наоборот, очень полезная функция для разработчиков мультимедийных программ и драйверов устройств, которые поставляются на лазерных компакт-дисках. При наличии автозапуска не нужно рассчитывать на то, что пользователь будет полчаса искать доступ к компакт-диску в системе, а потом еще час думать, какой исполняемый файл с диска надо запускать. Никто в момент разработки Windows XP не подозревал, что флешки будут у каждого второго пользователя, и они будут интенсивно таскаться с компьютера на компьютер, как и дискеты в допотопные времена. В более новых Windows Vista и Windows 7 проблема автозапуска уже частично решена (вернее, ответственность за разрешение автозапуска переложена на пользователя).
Автозапуск Windows так же точно работает с любыми съемными дисками, а также с SD-картами памяти из телефонов и фотоаппаратов. Соответственно, все эти устройства являются потенциальными переносчиками компьютерных вирусов.
Например, в моем городе главными рассадниками инфекции являются фотоателье, которым, очевидно, принципы не позволяют установить нормальный антивирус. Люди приносят к ним файлы фотографий на SD-картах с цифровых фотоаппаратов или на флешках, работники фотоателье вставляют их в свой зараженный компьютер для подготовки к распечатке, толпы вирусов устремляются на них и создают зараженный файл автозапуска. Потом владельцы несут инфицированные фотоаппараты и флешки к себе домой, чтобы сбросить фотографии на свой компьютер, создать семейный фотоархив и случайно стереть его потом при очередной переустановке Windows. При вставке SD-карты в компьютер она определяется как съемный диск и Windows приступает к процедуре автозапуска. Не успеете сказать «Ой!», как вирус будет с нескрываемым удовольствием отправлять пароль от вашего аккаунта «Вконтаке» своему хозяину, а тот уже позаботится о том, чтобы все ваши друзья получили кое-что интересное от вашего имени.
Предохраниться от вирусов на флешках можно одним из трех способов. А еще лучше, всеми тремя одновременно:
- Установить на компьютер современную антивирусную программу.
- Создать в системе пользователя с низким уровнем привилегий и постоянно под ним работать (это может прозвучать для вас, как абракадабра, но не переживайте, скоро разберемся)
- Отключить в системе функцию автозапуска со съемных дисков.
Начнем мы с отключения автозапуска, а остальные способы рассмотрим позднее.
Отключение функции автозапуска в Windows
ВНИМАНИЕ! Прежде, чем переходить к процедуре отключения функции автозапуска, нужно очистить компьютер от активных вирусов, если вы этого еще не сделали, иначе они тут же ее включат обратно.
Отключение автозапуска — довольно мутное дело, если проводить его вручную. Разработчики Windows не думали, что кто-то будет это делать часто, и поэтому засунули процедуру отключения в консоль настройки групповой политики, которая попросту недоступна пользователям Windows XP Home, а 90% остальных пользователей о ней вообще не знают. Мы используем способ попроще. Загрузите следующий файл:
Это файл для автоматического изменения реестра Windows, который хранит все настройки системы. Если вы хотите узнать, какие настройки меняются, можете почитать секцию «Технические подробности» (см. ниже). После загрузки кликните на файле мышкой два раза и он обработается редактором реестра. При этом на экране вы увидите запрос:
Кликните по кнопке «Да» и перезагрузите компьютер. Все, теперь вы защищены от несанкционированного запуска вирусов со съемных дисков.
Конечно, теперь после вставки флешки придется открывать ее вручную через «Мой компьютер» или любым файловым менеджером, но это относительно небольшая плата за страховку от эпидемий.
Однако, если вы отключили автозапуск, это еще не значит, что вы теперь полностью защищены от вирусов. Вирусы на флешке остаются в виде файлов, которые вы можете случайно запустить вручную, эффект будет тот же, что и от автозапуска. Поэтому, если у вас нет антивирусной программы, после вставки в компьютер новой флешки вам придется вручную удалить вирусные файлы.
Ручное удаление вирусных программ с флешки
Для начала нужно включить в проводнике Windows отображение скрытых файлов, так как по умолчанию эта функция выключена. Также включим отображение расширений имен файлов и отображение системных файлов, ибо вирусные программы маскируют свои значки всеми доступными способами.
Войдите в меню Пуск — Панель Управления. На панели управления найдите значок «Свойства Папки» и кликните по нему дважды (он находится в категории «Оформление и темы», если у вас вид панели управления по категориям). Откроется окно настроек отображения папок в проводнике. Вам нужно перейти на вкладку «Вид» и снять галочки «Скрывать защищенные системные файлы» и «Скрывать расширения для зарегистрированных типов файлов», а также переключить на опцию «Показывать скрытые файлы и папки». В итоге окно должно выглядеть у вас так, как на этой иллюстрации:
Нажмите ОК и откройте вашу флешку через «Мой компьютер». Если флешка заражена, то вы увидите множество папок и файлов с какими-то странными названиями, которых вроде бы раньше не было.
Например, следующий снимок экрана я получил на компьютере в одной государственной организации, заразив вирусами для пользы дела свою собственную флешку. На нем очень хорошо видно все методы маскировки вирусов:
Как видите, чужие файлы и папки почти всегда сразу можно отличить от ваших. Скрытые файлы и папки в проводнике будут отображаться полупрозрачными значками. Следуйте двум простым правилам:
- Удаляйте все файлы и папки, которые являются скрытыми.
- Все исполняемые файлы (с расширениями «.exe», «.com», «.cmd», «.vbs») должны считаться условно зараженными. Если флешку вставляли в зараженный компьютер, вы больше не можете доверять ее содержимому. Все исполняемые файлы придется стереть с флешки и взять где-нибудь в другом месте, если они были вам нужны. Ни в коем случае не запускайте их.
Некоторые вирусы применяют одну хитрость: показывают стандартный значок папки и пользуются тем, что проводник по умолчанию не отображает расширение файла. Пользователь видит странную папку, которую он вроде бы не создавал, и кликает на ней, чтобы войти и посмотреть, какие там файлы. Но, поскольку это на самом деле исполняемый файл, он просто запускается и вирус проникает в систему. На иллюстрации так замаскировался вирус с именем «New Folder». Такие фокусы можно косвенно выявить по виду иконки — если присмотреться, у нее немного рваные края из-за плохого «качества подделки». Также иконка папки может не соответствовать визуальному оформлению других папок, присматривайтесь внимательно.
Все гораздо проще, если у вас есть любой файловый менеджер — там такой обман вычисляется на раз.
Если скрытые файлы не стираются с флешки, или стираются, но через секунду снова появляются, то значит ваш компьютер инфицирован и вирусы постоянно пытаются пролезть на флешку. Тогда нужно лечиться, а потом уже опять повторять процедуру удаления файлов.
Не тащите инфицированные флешки на другие компьютеры. Осознавайте свою ответственность за распространение вирусов.
Дополнительная защита
Кроме отключения автозапуска я рекомендую также защититься от вирусов класса Redlof, которые распространяются путем создания во всех папках скрытых файлов desktop.ini и folder.htt, а запускаются автоматически просто при просмотре содержимого зараженных папок в Проводнике Windows. Хотя про них уже 5 лет не было слышно, соответствующие уязвимости в операционных системах остаются, потому что далеко не у всех пользователей включено автоматическое обновление.
Выберите свою операционную систему, а затем скачайте и установите соответствующее обновление безопасности с сайта Microsoft:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1,2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 и Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 Itanium и Windows Server 2003 SP1 Itanium
- Microsoft Windows Server 2003 x64
(спасибо Илье Весеннему за наводку)
Впрочем, эта уязвимость не является проблемой, если вы пользуетесь файловым менеджером, а не стандартным Проводником. Если вы еще не пользуетесь файловым менеджером, то это уже на сегодня второй по счету аргумент за то, чтобы наконец начать им пользоваться!
Технические подробности
Специалистам может быть интересно, какие параметры изменяются в реестре для отключения автозапуска, чтобы делать это вручную.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
Здесь отключается системный автозапуск, флаги NoDriveTypeAutoRun и NoDriveAutoRun имеют одинаковое шестнадцатеричное значение, которое рассчитывается по таблице как сумма нужных вам опций:
| 0x1 | Отключает автозапуск на дисках неизвестного типа |
| 0x4 | Отключает автозапуск на съемных дисках |
| 0x8 | Отключает автозапуск на несъемных дисках |
| 0x10 | Отключает автозапуск на сетевых дисках |
| 0x20 | Отключает автозапуск на CD-ROM |
| 0x40 | Отключает автозапуск на виртуальных RAM-дисках |
| 0x80 | Отключает автозапуск на дисках неизвестного типа |
| 0xFF | Отключает автозапуск на всех дисках |
Значение по умолчанию 0x95, если захотите восстановить старые настройки.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Запрещаем системе читать конфигурацию из любых файлов с именем Autorun.inf, так мы страхуемся от случайного выбора функции автозапуска в контекстном меню съемного диска.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]
"Start"=dword:00000004
На всякий случай отключаем службу ShellHWDetection, которая управляет автозапуском со съемных дисков, все равно она теперь не нужна.
[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"[HKEY_CLASSES_ROOT\piffile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"
Закрываем уязвимость оболочки Windows, при которой простое отображение значков из .lnk и .pif ярлыков на экране могло привести к заражению компьютера.
В комментариях принимаются пожелания по усовершенствованию этого скрипта.
Спасибо за пропаганду IT-гигиены! Чем больше людей отключат способы автоматического запуска вирусов на своих компьютерах, тем меньше проблем будет у всех.
В этой статье, на мой взгляд, не хватает упоминания важности использования правильного файлового менеджера вместо стандартного Проводника. Причины как минимум две:
1) Для визуализации Проводник использует folder.htt файлы, которые запросто приводят к запуску вредоносного кода без согласия пользователя,
2) Проводник читает иконки из .lnk-файлов, что (из-за давней ошибки в реализации) может привести к запуску вредоносного кода, если .lnk-файл "правильно" сформирован.
По этой причине лучше никогда не заходить Проводником на чужие носители данных (да и на свои не стоит), а пользоваться файловым менеджером без стандартных windows-компонент. Это защитит от застарелых уязвимостей в реализации некоторых библиотек этой операционной системы.
Спасибо, Илья!
Ценные замечания, я поищу способы решения и чуток перепишу статью на днях.
Илья, я переписал статью с учетом ваших замечаний и внес небольшие дополнения в reg-файл чтобы закрыть уязвимость с lnk-файлами. Спасибо за помощь!
В августовском отчёте 2nd-International-Security-Barometer.pdf компания Panda Security предоставила данные о том, что USB-устройства были повинны в каждом четвертом случае заражения компьютеров в 2009 году.
Неплохая статья
полезная для пользователей ХР
Выключение авторана это только когда ты первый раз её вставляеш!!! но когда ты в эксплорере просматриваеш это и есть автозапуск
а вообще это только что голова не болела ...
самая реальна безопасность для флэшки это знать куда ты её вставляеш и для чего и самое главное какую полезную информацию ты получиш
Здравствуйте! Специально для этих целей разрабатывал утилиту.
Возможности:
1) Удаление Autorun.inf автоматически при вставке флэшки
2) Иммунизация флэшки для дальнейшего противодействия заражению
3) Решение наиболее известных проблем (восстановление файла Hosts, разблокировка диспетчера задач, редактора реестра, Safe Mode).
4) Отключение автозапуска всех дисков системы
5) Управление автозагрузкой, процессами.
Утилита бесплатна.
Сайт: http://usbantivirus.s-soft.org
Есть ещё один простой способ "пассивной защиты". Используя свойство файловой системы, что файл и папку на одном уровне нельзя назвать одинаково (папка отличается от файла лишь другим атрибутом), создаём на флешке следующие папки:
Autorun.inf - эту папку создать обязательно
Folder.htt
Desktop.ini - эти две на всякий случай
Я их делаю скрытыми. Самое интересное, что когда вирус пытается залезть на флешку и создать файл Autorun.inf, то он снимает атрибут "скрытый" с одноимённой папки. Для меня это показатель, что надо проверить флешку на наличие скрытых exe-файлы. Потом я опять скрываю папку и жду следующего сигнала.
Можно для ещё большего спокойствия создать файлы, совпадающие с разными вариантами названий корзин, в которых вирусы часто прячут свои "тела", например:
$RECYCLE.BIN - Vista/Win7
Recycler - XP
Recycle
Recycled - пару раз замечал, что вирусы создают подобные папки.
Также вирусы иногда создают скрытые папки различного названия со значками корзин.
При определённых настройках Винды на внешних носителях таки создаются корзины. Но в реальности (ИМХО разумеется) они там не нужны.
И, конечно, обязательно последуйте совету автора статьи и установите параметр "показывать скрытые файлы и папки" и снимите птичку с "скрывать расширения для зарегистрированных типов файлов", ибо всё, написанное мною выше, не спасёт от exe-вируса, маскирующегося под вашу папку, которую он предварительно скрыл (а иногда и удалил вовсе).
Дмитрий, спасибо за дополнения. Хороший вы способ придумали.
Это не я придумал - я просто дополнил