Autorun.inf
При использовании компьютера необходимо помнить о том, что ни одна система защиты от вирусов не способна снизить вероятность заражений до нуля. Антивирусная защита, какой бы надежной она ни была, всегда является лишь вторым эшелоном обороны от атаки компьютера вредоносными программами. На первом месте обеспечения безопасности всегда стоит грамотное поведение самого пользователя. При этом максимальный эффект обеспечивает только набор правил и комбинация методов, которые, работая совместно, повышают уровень безопасности компьютера и которым желательно следовать постоянно. Наиболее эффективное и полезное правило из всех — всегда будьте осторожны!
Для начала нужно выяснить, с какой стороны можно ждать беды. Проникновение злонамеренного программного обеспечения на компьютер и причинение вреда пользователю можно получить из различных источников — веб-сайты, папки общего доступа, электронная почта, сменные носители и т. д. На данный момент огромное число злоумышленных программ требуют участия пользователя для установки и запуска. Если соблюдать элементарную осторожность при открытии новых файлов, можно значительно сэкономить время и силы, которые будут потрачены на поиск и устранение заражения. Тысячи новых уникальных вредоносных кодов появляются ежедневно, количество вирусов, троянских и других зловредных программ постоянно растет. В большинстве случаев они распространяются через зараженные CD/DVD-диски, съемные переносные USB-устройства (флеш-накопители, внешние диски, МРЗ- плееры, цифровые камеры, мобильные телефоны и др.). Авторы злонамеренного программного обеспечения предпринимают массу усилий, пытаясь обойти существующие меры безопасности. Они используют различные уязвимости в системе для увеличения эффективности распространения вредоносного кода. При этом чаще всего применяется технология, основанная на функции автозапуска программ с дисков и прочих сменных носителей при их подключении к компьютеру или обращении к ним.
В корневой папке зараженного съемного носителя находится файл автоматического запуска Autorun.inf. Операционная система Windows использует этот файл для получения информации о тех действиях, которые необходимо применить при соединении устройства с компьютером, а данный файл содержат в себе сведения о программе, которая автоматически запустит часть хранящийся на устройстве информации.
Автозапуск приводит к тому, что система приступает к чтению данных с устройства сразу же после того, как носитель вставлен в это устройство. Эта функция успешно используется для распространения вредоносных программ. Модифицируя файл Autorun.inf соответствующими командами, вредоносные программы, которые хранятся на устройстве, могут автоматически запускаться при соединении данного устройства с компьютером. Поскольку вредоносный код выполняется в момент подключения, немедленно запускается исполняемый файл установки и, без вашего ведома, инсталлируется указанная программа. В результате этого происходит мгновенное заражение компьютера.
Чтобы предотвратить подобные механизмы распространения угроз и таким образом защититься от несанкционированного запуска программ:
отключите на компьютере функцию автоматического запуска оптического привода компакт-диска, флеш-накопителя, прочих съемных переносных USB- устройств и жестких дисков.
Запустите редактор "Локальной групповой политики": меню "Пуск" >>> "Выполнить" — в строке появившегося окошка написать "gpedit.msc" >>> нажать Ok. Откроется окно штатного редактора "Групповой политики".
Перейдите по адресу: Конфигурация компьютера \ Административные шаблоны \ Система.
(В левой части окна выбрать раздел "Конфигурация компьютера", в нем пункт "Административные шаблоны", далее "Система". Все пункты нужно разворачивать, нажимая на плюсики напротив названий, а выбирая "Система", необходимо щелкнуть на отображение папки).
В правом окошке появится список состояния системы.
Дважды щелкните по пункту "Отключить автозапуск" в правой части окна. В появившейся панели измените значение отвечающего за автозапуск параметра на "Включен". Из выпадающего списка выбрать "На всех дисководах".
Через данный интерфейс можно отключить автозапуск либо только для компакт-дисков (что в действительности включает в себя: неизвестные CD, сетевые диски и съемные накопители), либо вообще отключить автозапуск для всех устройств (автозапуск для жестких дисков и др.). Эта политика не отключает автозапуск воспроизведения музыкальных компакт-дисков.
Этот способ убирает пункт "Автозапуск" в контекстном меню "Проводника".
Обход автоматического воспроизведения при загрузке CD >>> Удерживайте нажатой клавишу SHIFT, когда в оптический привод вставляете компакт-диск. Отключите на компьютере функцию автоматического запуска оптического привода компакт-диска.
Запустите редактор "Реестра": меню "Пуск" >>> "Выполнить" — в строке появившегося окошка написать "regedit" >>> нажать Ok.
Откроется окно штатного редактора "Реестра".
Перейдите по адресу:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Cdrom.
(В левой части окна выбрать раздел HKEY_LOCAL_MACHINE, в нем пункт SYSTEM, далее CurrentControlSet, потом Services, выбрав внутри него пункт Cdrom. Все пункты нужно разворачивать, нажимая на плюсики напротив названий, а выбирая Cdrom, необходимо щелкнуть на отображение папки). В правом окошке появится список ключей, отвечающих за автозапуск.
Дважды щелкните по параметру AutoRun ... REG_DWORD ... 0x00000000 (_) в правой части окна. В появившейся панели измените значение, отвечающее за автозапуск компакт-диска (значение (0) = автозапуск отключен, значение (1) = автозапуск включен).
Этот способ не убирает пункт "Автозапуск" в контекстном меню CD-ROM, и открытие CD-диска из "Проводника" посредством двойного клика приведет к срабатыванию автозапуска.
Профилактические меры позволяют избежать заражения компьютера и предотвратить новую угрозу еще до того, как она нанесет вред пользователю. Система защиты компьютера от вредоносных программ, которая содержит комплекс методов, является важным аспектом обеспечения безопасности. Сделать защиту компьютера пользователя более надежной — непростая задача, требующая знаний об особенностях работы операционной системы и о способах использования ее слабых мест.
Виктор Ходько
Для начала нужно выяснить, с какой стороны можно ждать беды. Проникновение злонамеренного программного обеспечения на компьютер и причинение вреда пользователю можно получить из различных источников — веб-сайты, папки общего доступа, электронная почта, сменные носители и т. д. На данный момент огромное число злоумышленных программ требуют участия пользователя для установки и запуска. Если соблюдать элементарную осторожность при открытии новых файлов, можно значительно сэкономить время и силы, которые будут потрачены на поиск и устранение заражения. Тысячи новых уникальных вредоносных кодов появляются ежедневно, количество вирусов, троянских и других зловредных программ постоянно растет. В большинстве случаев они распространяются через зараженные CD/DVD-диски, съемные переносные USB-устройства (флеш-накопители, внешние диски, МРЗ- плееры, цифровые камеры, мобильные телефоны и др.). Авторы злонамеренного программного обеспечения предпринимают массу усилий, пытаясь обойти существующие меры безопасности. Они используют различные уязвимости в системе для увеличения эффективности распространения вредоносного кода. При этом чаще всего применяется технология, основанная на функции автозапуска программ с дисков и прочих сменных носителей при их подключении к компьютеру или обращении к ним.
В корневой папке зараженного съемного носителя находится файл автоматического запуска Autorun.inf. Операционная система Windows использует этот файл для получения информации о тех действиях, которые необходимо применить при соединении устройства с компьютером, а данный файл содержат в себе сведения о программе, которая автоматически запустит часть хранящийся на устройстве информации.
Автозапуск приводит к тому, что система приступает к чтению данных с устройства сразу же после того, как носитель вставлен в это устройство. Эта функция успешно используется для распространения вредоносных программ. Модифицируя файл Autorun.inf соответствующими командами, вредоносные программы, которые хранятся на устройстве, могут автоматически запускаться при соединении данного устройства с компьютером. Поскольку вредоносный код выполняется в момент подключения, немедленно запускается исполняемый файл установки и, без вашего ведома, инсталлируется указанная программа. В результате этого происходит мгновенное заражение компьютера.
Чтобы предотвратить подобные механизмы распространения угроз и таким образом защититься от несанкционированного запуска программ:
отключите на компьютере функцию автоматического запуска оптического привода компакт-диска, флеш-накопителя, прочих съемных переносных USB- устройств и жестких дисков.
Перейдите по адресу: Конфигурация компьютера \ Административные шаблоны \ Система.
(В левой части окна выбрать раздел "Конфигурация компьютера", в нем пункт "Административные шаблоны", далее "Система". Все пункты нужно разворачивать, нажимая на плюсики напротив названий, а выбирая "Система", необходимо щелкнуть на отображение папки).
В правом окошке появится список состояния системы.
Дважды щелкните по пункту "Отключить автозапуск" в правой части окна. В появившейся панели измените значение отвечающего за автозапуск параметра на "Включен". Из выпадающего списка выбрать "На всех дисководах".
Через данный интерфейс можно отключить автозапуск либо только для компакт-дисков (что в действительности включает в себя: неизвестные CD, сетевые диски и съемные накопители), либо вообще отключить автозапуск для всех устройств (автозапуск для жестких дисков и др.). Эта политика не отключает автозапуск воспроизведения музыкальных компакт-дисков.
Этот способ убирает пункт "Автозапуск" в контекстном меню "Проводника".
Обход автоматического воспроизведения при загрузке CD >>> Удерживайте нажатой клавишу SHIFT, когда в оптический привод вставляете компакт-диск. Отключите на компьютере функцию автоматического запуска оптического привода компакт-диска.
Запустите редактор "Реестра": меню "Пуск" >>> "Выполнить" — в строке появившегося окошка написать "regedit" >>> нажать Ok.
Перейдите по адресу:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Cdrom.
(В левой части окна выбрать раздел HKEY_LOCAL_MACHINE, в нем пункт SYSTEM, далее CurrentControlSet, потом Services, выбрав внутри него пункт Cdrom. Все пункты нужно разворачивать, нажимая на плюсики напротив названий, а выбирая Cdrom, необходимо щелкнуть на отображение папки). В правом окошке появится список ключей, отвечающих за автозапуск.
Дважды щелкните по параметру AutoRun ... REG_DWORD ... 0x00000000 (_) в правой части окна. В появившейся панели измените значение, отвечающее за автозапуск компакт-диска (значение (0) = автозапуск отключен, значение (1) = автозапуск включен).
Этот способ не убирает пункт "Автозапуск" в контекстном меню CD-ROM, и открытие CD-диска из "Проводника" посредством двойного клика приведет к срабатыванию автозапуска.
Профилактические меры позволяют избежать заражения компьютера и предотвратить новую угрозу еще до того, как она нанесет вред пользователю. Система защиты компьютера от вредоносных программ, которая содержит комплекс методов, является важным аспектом обеспечения безопасности. Сделать защиту компьютера пользователя более надежной — непростая задача, требующая знаний об особенностях работы операционной системы и о способах использования ее слабых мест.
Виктор Ходько
Компьютерная газета. Статья была опубликована в номере 21 за 2009 год в рубрике soft
