Защита usb-носителя от autorun.inf

В последнее время трояны и вирусы, распространяющиеся через автозапуск с usb-накопителей, стали серьезной головной болью. Проблема потребовала от разработчиков Windows даже пересмотра политики автозапуска. Как защитить свой компьютер, то есть отключить этот самый автозапуск, в КГ уже не раз писали. Сегодня мы защитим свою флешку от заражения с других машин.

Наверное, каждому, кто вынужден часто переносить данные из разных мест на usb-накопителях, знакома ситуация, когда приносишь такую флешку домой, и антивирус рапортует о целом зоопарке. Она всего-то побывала в паре-тройке компьютеров, а ее уже нужно чистить. Это вредоносные программы прописались в автозапуске. Идея защиты флешек от таких вирусов родилась почти сразу после их появления. Если вирус записывает себя в файл autorun.inf, сделаем так, чтобы он этого сделать не смог. Итак.

1-й способ

Самый простой. Создаем в корне autorun.inf и ставим права «Только чтение», «Скрытый», «Системный» и «Архивный». Права можно установить через какой-нибудь Total Commander или FAR. Для файла на вкладке "Безопасность" для всех запрещаются следующие опции (подразумевается, что мы уже отформатировали флешку под NTFS):

- Создание файлов/запись данных.
- Запись атрибутов.
- Запись дополнительных атрибутов.
- Удаление.
- Смена разрешений.
- Смена владельца.

Можно также немного развить тему. Содержимое файла может быть таким:

[autorun]
Icon=icon.ico
Label=имя_флешки

Теперь можно скопировать в корневой каталог icon.ico и у вас будет флешка с персональной иконкой. К недостаткам способа относится то, что троян или вирус может действовать от имени пользователя SYSTEM и менять атрибуты. Тогда он удалит наш файл и запишет вместо него свой. Такие трояны не так уж и редки.

2-й способ

Можно кроме файла создать еще и папку autorun.inf с такими же правами доступа. Оригинальной находкой, которая реализует этот способ, является утилита Flash Desinfector. Она не только создает такую папку, но и помещает в нее не удаляемый обычными средствами файл "lpt3.This folder was created by Flash_Disinfector". «Неудаляемым» он является потому, что в названии присутствует имя системного устройства. Меня сначала это даже позабавило, но способ удалить его все же быстро нашелся. Достаточно запустить консоль cmd из папки autorun.inf и выполнить команду “del *.*”. Но пока такой способ защиты срабатывает неплохо.

3-й способ

Опять же, форматируем флешку в NTFS. Создаем рабочую папку, ставим в ее свойствах полный доступ. Далее заходим в свойства самой флешки и запрещаем запись, оставляя чтение и выполнение. Вирус не сможет ничего записать в корень, в то время как в папку можно спокойно записывать. Опять же, если он запускается с системными правами, то этот способ может не пройти.

4-й способ

Самый радикальный. На старых флешках есть аппаратные переключатели в режим чтения. Если вам нужно переносить небольшой объем данных, при этом ничего не копируя на сам накопитель, это самый лучший вариант. К сожалению, найти флешку большого объема с переключателем сейчас трудно.

Все вышесказанное также относится и к usb-винчестерам и любым другим съемным накопителям. Напоследок замечу, что запрет автозапусков со всех дисков – это не очень удобно. Например, зачем отключать автозапуск видео или аудиодисков? Для контроля автозапуска существует замечательная утилита USB Disk Security. Она работает в фоновом режиме и запускается, когда вы вставляете внешний накопитель в ПК. Затем она проверяет корневой каталог на наличие вредных автозапусков и предлагает их удалить в случае чего.

Алексей Голованов


Компьютерная газета. Статья была опубликована в номере 27 за 2010 год в рубрике soft

©1997-2024 Компьютерная газета