Skip to content
 

Вакцинация сменных накопителей (прививка для флэшки)

Хочу рассказать о способах предотвращения заражения вирусами флэшек, популярных современных носителей данных, но и распространенных невольных переносчиков компьютерных вирусов. Это также касается любого другого носителя данных подключаемого через порт USB или иначе. Пусть это даже фотокамера, телефон, mp3-плэер или внешний жесткий диск, так или иначе, в системе они становятся доступны как съемные диски и могут быть просмотрены и изменены через любой файл-менеджер (например, проводник Windows). Это не касается систем с установленной и корректно настроенной антивирусной системой, с последними обновлениями и с периодическим полным сканированием. В таких системах риск заражения минимален. Но не все компьютеры достаточно безопасны, поэтому важно защитить сам съемный диск.

Возможны несколько случаев заражения при участии съемных дисков:

1. Если устройство подключается к зараженной системе, то, как правило, вирус сразу создает или модифицирует файл autorun.inf в корне подключенного съемного диска, указывая в нем параметры автоматического запуска со ссылкой на приложение-тело вируса, которое обычно прячется в корзину этого диска или в скрытую системную папку или просто копируется в корень. Таким образом, съемный диск становится зараженным.

Если теперь его подключить к не зараженной системе, где включен автозапуск для новых подключаемых дисков, то эта система благополучно заражается этим же вирусом, причем сама же его и запустит, следуя команде в файле autorun.inf .

2. При подключении флэшки к зараженной системе, заражаются все (или выборочно) файлы приложений (*.exe) на этой флэшке.

Таким образом, любая программа на флэшке станет небезопасна. Далее, подключив флэшку к любому компьютеру и запустив любое приложение с нее, мы получаем еще одну зараженную систему даже при отключенном автозапуске.

3. Также есть вирусы, помимо действий в п. 1, еще и подменяют папки на флэшке файлами приложений-вирусов со значком папки, а папки делают скрытыми. При настройках по-умолчанию в проводнике изменения в содержимом флэшки визуально можно не заметить. Далее вставив такую зараженную флэшку в не зараженный компьютер, если включен автозапуск, то происходит автоматическое заражение системы, а если отключен, то вручную, при попытке пользователя открыть какую либо «папку», которые уже не папки, а замаскированные под папки приложения-вирусы.

Существует множество решений таких проблем, есть специальные утилиты (например, Panda USB Vaccine), но хотелось бы обойтись стандартными средствами операционной системы. Пусть это будет Windows XP (или новее), т.к. нас интересует файловая система NTFS.

Есть некое правило золотой середины и в виртуальном, да и в любом прочем пространстве оно неизменно, поэтому в данном вопросе конкурируют два понятия: Безопасность и удобство. Т.е. чем выше одно, тем ниже другое, следовательно, наша задача найти оптимум – эту самую золотую середину. Здесь уже каждый для себя делает выбор, что ему важнее.

Повышение уровня защищенности диска от вирусов: блокировка файла autorun.inf

Лучший, на мой взгляд, способ защиты съемного диска предполагает смену файловой системы на съемном диске на NTFS, т.к. без нее, в данном случае, высокой безопасности не достичь.

Но если съемные диски, такие как флэшки и карты памяти, используются в фотокамерах или автомагнитолах, то их не всегда получится защитить таким образом. Т.к. в фотокамерах и автомагнитолах может не поддерживаться файловая система NTFS. В этом случае файловую систему оставляем неизменной (FAT32), а для защиты применяем средства против автозапускающихся вирусов, например ту же утилиту Panda USB Vaccine или способ, приведенный ниже.

Способ защиты от autorun-вирусов, заключается в блокировке попытки создания файла autorun.inf, путем создания не удаляемой папки с именем autorun.inf в корне диска. За счет того, что в одном каталоге не может быть двух одноименных файлов или папок, вирус не может создать или модифицировать файл автозапуска. Конечно вирусописатели далеко не глупые люди и данный способ защиты может быть не эффективен в некоторых случаях, но для большинства autorun-вирусов это сработает. При этом стоит помнить, что само тело вируса все равно будет скопировано на диск и опасность его ручного запуска остается.

Создать не удаляемую папку можно с помощью специальных команд, а для автоматизации этих действий можно создать пакетный (командный) файл.

Для этого создаем пустой текстовый файл и переименовываем его например в «block.cmd», но так, чтобы расширение сменилось именно на «cmd» (в проводнике должно быть включено отображение расширений файлов, либо воспользоваться другим файловым менеджером). Теперь нужно открыть его на редактирование и скопировать в него следующий текст:

attrib -s -h -r -a %cd%Autorun.inf

del \\?\%cd%Autorun.* /f /a /q

rd \\?\%cd%Autorun.inf /s /q

md \\?\%cd%Autorun.inf

md \\?\%cd%Autorun.inf\nul

echo > \\?\%cd%Autorun.inf\nul\prn

attrib +s +h +r +a %cd%Autorun.inf

Далее изменения в файле сохраняем. Если не уверены, что получится или не знаете как делать, то можно скачать готовый файл здесь (файл в архиве, нужно извлечь в текущую папку).

Полученный командный файл нужно скопировать в корень съемного диска и запустить.

В результате в корне указанного диска будет создана не удаляемая (обычными средствами) папка с именем autorun.inf, это будет препятствовать созданию вирусами одноименного файла.

Для удаления этой папки нужно выполнить команду или создать второй файл unblock.cmd (скачать) с текстом:

rd \\?\%cd%Autorun.inf /s /q

Запуск этой команды/файла из корня диска удалит не удаляемую папку autorun.inf.

Плюсы:

  • Нет необходимости менять файловую систему;
  • сохраняется совместимость с фотокамерами и автомагнитолами;
  • вакцинировать достаточно один раз (или каждый раз после форматирования).

Минусы:

  • Нет защиты от заражения приложений на носителе;
  • папку autorun.inf можно беспрепятственно переименовать или удалить указанным выше способом;
  • не будут автоматически запускаться специальные программы, если таковые предусмотрены для флэшки (например, приложение парольной защиты доступа к флэшке и т.п.)

Повышение уровня защищенности диска от вирусов: ограничение доступа к файлам средствами файловой системы NTFS

Второй способ позволяет сильно повысить уровень безопасности, но соответственно понизить удобство пользования носителем. Для этого используются возможности системы безопасности файловой системы NTFS.

Для начала нужно изменить файловую систему флэшки с FAT на NTFS.

Для этого можно воспользоваться командой:

convert  буква: /FS:NTFS /x

Где вместо буква нужно указать букву диска флэшки (например  convert f: /FS:NTFS /x ). Запускать команду следует либо через Пуск-выполнить, либо через обработчик команд Windows: Пуск – выполнить, cmd, ОК (Пуск – Программы – стандартные – Командная строка). Во втором случае после завершения работы программы можно будет просмотреть отчет о результате.

С самой флэшки запустить конвертацию не получится, т.к. операция пытается блокировать доступ к флэшке.

Программа конвертации требует для работы свободное место на флэшке, примерно 14-15 МБ, иначе выдаст ошибку.

При конвертации содержимое флэшки сохранится, но предварительно рекомендуется все-таки сделать резервную копию всех данных с флэшки на другой диск.

Нужно отметить, что при конвертации таким образом, быстродействие файловой системы может быть меньше, чем если бы флэшку отформатировать сразу в файловую систему NTFS.

Поэтому, если содержимое флэшки не имеет ценности, отсутствует или уже сохранено в другом месте, то лучше и проще сделать форматирование.

Для того, чтобы в Windows XP отформатировать съемный диск в файловую систему NTFS необходимо сменить политику оптимизации устройства.

Для этого нужно зайти в диспетчер устройств (Пуск-выполнить, devmgmt.msc, ОК или правой кнопкой Мой компьютер – Свойства – Оборудование – Диспетчер устройств), найти ветку Дисковые устройства и раскрыть ее (двойной щелчок), далее найти строку с названием флэшки и открыть ее свойства (двойной щелчок).

Далее перейти на закладку Политика. Здесь нужно выбрать вариант Оптимизировать для выполнения и нажать ОК.

Далее можно выполнить форматирование командой:

format буква: /FS:NTFS /x

Где вместо буква нужно указать букву диска флэшки (например format f: /FS:NTFS /x ). Запускать команду также следует либо через Пуск-выполнить, либо через обработчик команд Windows: Пуск – выполнить, cmd, ОК (Пуск – Программы – стандартные – Командная строка). Во втором случае после завершения форматирования можно будет просмотреть отчет о результате. Не забываем, что содержимое диска удалится.

Или же можно отформатировать флэшку средствами графического интерфейса Windows. Для этого нужно открыть Мой компьютер, правой кнопкой на флэшке, выбираем Форматировать…, выбрать файловую систему NTFS, нажать Начать и, по завершении, ОК,Закрыть.

Теперь, когда флэшка имеет файловую систему NTFS, доступом к ней можно управлять на очень гибком уровне. Это делается с помощью свойств безопасности файловой системы.На данном этапе уже нужно определиться какой баланс безопасности/удобства вам необходим.Я предлагаю разделить этот баланс на следующие возможные варианты:

  • Высокая безопасность, низкое удобство;
  • Средняя безопасность, среднее удобство;
  • Низкая безопасность, высокое удобство.
1. Высокая безопасность, низкое удобство

При этом будет закрыт от изменения корень и все папки в корне диска. Все исполняемые файлы на флэшки нужно закрыть от изменения и при каждом копировании на флэшку новых файлов приложений нужно будет заботиться о закрытии доступа к ним на изменение. Это предотвратит их заражение. Таким образом в корень флэшки нельзя будет ничего записать или создать, т.е. не будет, например, работать такая функция, как «Отправить на съемный диск». Все папки, расположенные в корне флэшки будут закрыты от удаления и переименования. Также нельзя будет создать новую папку в корне, поэтому нужно будет заранее, до изменения доступа, позаботится и создать необходимый набор папок. А уже внутри этих папок будет полный доступ на создание, удаление и изменение (кроме приложений).

Плюсы: максимально возможная защита флэшки от большинства вирусов стандартными средствами Windows.
Минусы: нельзя записывать файлы в корень диска, нужно следить за доступом к приложениям.

Порядок действий для установки защиты:

  1. Создать набор папок в корне для удобства распределения файлов по использованию.
  2. Перенести все файлы из корня флэшки в папки. Файлы можно и оставить в корне, но их нельзя будет как-либо изменить или удалить, поэтому если такие файлы нужны, можно их оставить.
  3. Открыть окно свойств флэшки (в Мой компьютер, правой кнопкой на диске – Свойства) и перейти на закладку Безопасность (если такой закладки нет, то нужно включить ее отображение: в панели управления, свойства папки, закладка Вид, снять флаг Использовать простой общий доступ к файлам, ОК). В списке Группы и пользователи нужно удалить все строки, кроме строки »Все», для этого выделяем строку и нажимаем кнопку Удалить или Delete на клавиатуре.
  4. Теперь нужно поставить флаг напротив строки Полный доступ в положение Разрешить и нажать на кнопку Применить. Операция может занять время, если файлов на флэшке много.
  5. Далее чтобы закрыть доступ на запись в корень диска и на изменение папок и файлов в корне, оставив полный доступ ко всем остальным файлам и папкам нужно нажать кнопку Дополнительно.
  6. В окне дополнительных параметров безопасности нужно нажать кнопку Добавить… и ввести слово «Все» (с большой буквы) в открывшемся окне выбора имени пользователя, нажать ОК.
  7. Откроется окно свойств элемента разрешений для всех пользователей. Здесь нужно запретить любой доступ на запись, причем только для корневого каталога и для файлов в нем, для этого в поле Применять нужно выбрать значение «Для этой папки и ее файлов» и поставить флажки в позицию запретить напротив строк, где есть слово Запись или Удалить, это строки: 6, 7, 8, 9, 10, 11, 13 и 14. Последние две строки нужны для дополнительной защиты от попыток изменения доступа. Флаг внизу окна (Применять эти разрешения к объектам и контейнерам только внутри этого контейнера) нужно обязательно поставить, чтобы не закрыть доступ к остальным файлам. Далее нажать ОК.
  8. Далее повторяем действия пункта 6. Затем еще раз в окне элемента разрешения, но уже для подпапок нужно запретить удаление. Для этого в поле Применять выбрать значение «Только для подпапок» и поставить флажки в позицию запретить напротив строк: 8, 9, 10, 11. Флаг внизу окна (Применять эти разрешения к объектам и контейнерам только внутри этого контейнера) также нужно обязательно поставить. ОК.
  9. Далее, уже в окне дополнительных параметров безопасности, проверить, должны быть три строки элементов разрешений: две на запрет особые и на разрешение Полный доступ. Нажать кнопку Применить. На вопрос ответить Да. Применение может занять время. Окно свойств диска можно закрыть, нажав ОК.
  10. Теперь нужно защитить приложения от изменений, для этого зайти проводником (или другим файл-менеджером) на флэшку и нажать F3 (запустить поиск файлов), если помощник спросит что искать, выбираем файлы и папки. Ищем файлы по маске, в поле «Часть имени файла или имя файла целиком» ввести «*.exe» , нажать Найти. После того, как все приложения найдутся, выделить их всех, нажав Ctrl+A. Далее правой кнопкой на выделенном списке – Свойства, закладка Безопасность, и выполнить действия аналогично пункту 7 (только поставить флаги).
  11. Теперь каждый раз, при копировании новых приложений на флэшку, необходимо закрывать к ним доступ на запись, или же просто периодически выполнять действия из пункта 10.
2. Средняя безопасность, среднее удобство

При этом будет закрыт от изменения весь корень диска. В корень флэшки нельзя будет ничего записать или создать. Функция  »Отправить на съемный диск» не будет работать.

Плюсы: защита флэшки от autorun-вирусов и копирования тела вируса (папки корзины, где прячется вирус, не будут создаваться).
Минусы: нельзя записывать файлы в корень диска. Приложения на флэшке могут быть заражены.

Порядок действий для установки защиты:

Нужно выполнить последовательность пунктов из предыдущего варианта по 9 пункт.

3. Низкая безопасность, высокое удобство

Закрывается от изменений только файл/папка Autorun.inf в корне диска, при этом его нельзя ни удалить, ни переименовать. Можно создавать и изменять в корне все остальные файлы/папки. Не нужно заботиться о закрытии доступа на изменение приложений.

Плюсы: высокое удобство, функциональность флэшки не ограничена. Защита от autorun-вирусов.

Минусы: тело вируса может быть скопировано на флэшку, а приложения могут быть заражены.

Порядок действий для установки защиты:

  1. Создать пустой файл Autorun.inf (расширение .inf) в корне флэшки.
  2. Выполнить действия аналогично пунктам 3 и 7 из 1 варианта, но только для одного файла Autorun.inf.

Безопасность системы

Также не стоит забывать, что доступ к безопасности файловой системы NTFS могут получить и вирусы тоже, поэтому полностью надежного способа защиты флэшки не существует. Даже если полностью запретить запись на флэшку (бывают такие переключатели на них Read only), все равно, как только пользователю нужно будет что-нибудь записать на флэшку, вирусы тоже смогут это сделать какая бы ни была установлена защита.

Поэтому безопасным должен быть сам компьютер и операционная система. А это достигается только соблюдением ряда правил самим пользователем:

  1. Антивирус должен быть установлен обязательно, хотя бы бесплатный, он должен автоматически регулярно обновлять базы и делать полное сканирование всей системы. Если хватает ресурсов, то очень желателен постоянно включенный монитор антивируса.
  2. Если монитор антивируса отключен, то все новые файлы, которые появляются на компьютере, не важно каким образом, с флэшки, с интернета или с оптического диска, необходимо сразу же сканировать антивирусом.
  3. Если не нужен автозапуск дисков и устройств, то рекомендуется остановить и отключить службу «Определение оборудования оболочки», это запретит любой автозапуск (Пуск -Выполнить, «services.msc», ОК. Найти указанную службу в списке, двойной щелчок на ней, тип запуска – Отключить, Стоп, ОК). При этом автозапуск некоторых оптических (CD, DVD) дисков все равно будет срабатывать. Для полного же отключения автозапуска нужно сделать корректировки в реестре (Пуск – Выполнить, «regedit», ОК, найти ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, параметр NoDriveTypeAutoRun, двойной щелчок, значение = ff (шестнадцатеричное)) или запустить файл из архива.

2 комментария

  1. Евгений:

    обычно файлы на зараженной машине скрыты ,  поэтому для неопытных
    пользователей советую использовать winrar для поиска удаления
    обнаружения скрытых файлов в тч autorun.inf

    • Иван Тихомиров:

      Да, как вариант, если он установлен в системе. Как альтернатива всяким прочим файловым менеджерам.

      Но в запасе иметь что-то вроде Total commander, Far и т.п. все же тоже рекомендуется.

Написать отзыв