Как защитить флешку от вирусов
Как защитить флешку от вирусов.
Год 2009-й начался с открытия того, что одним из путей попадания на компьютер вирусов, ворующих пароли от сайтов, стали зараженные flash-накопители (usb-флешки). Чаще всего схема заражения выглядит следующим образом: компьютер пользователя, использующего небезопасное ПО, подвергается заражению вирусом, похищающим пароли доступа к основным службам сайта, способным мигрировать в том числе при помощи flash-накопителей. Подключение любого flash-накопителя к зараженному компьютеру приводит к заражению этого накопителя, и уже он разносит "заразу" на другие компьютеры, в оффлайне, и при обнаружении подключения к Интернет передает в распределенную сеть найденные на новом компьютере пароли, после чего цикл заражений продолжается.
Именно поэтому использование брандмауэров и безопасных браузеров не может гарантировать полной защиты от кражи паролей к сайту. Остается порекомендовать использовать качественное антивирусное программное обеспечение, а также можно воспользоваться рядом "народных" рецептов, помогающих защитить флешку от вирусов в Windows.
Вирусы. Флэшки. Автозапуск. Теория.
Для обеспечения возможности запуска (и размножения) при подключении флеш-накопителя вирус создает (либо перезаписывает) на нем файл с именем autorun.inf, в котором описываются программы, которые должны стартовать при подключении данного диска (автозагрузка). В данном файле вирус прописывает путь к собственному телу, т.е. исполняемому коду, чаще всего это exe-файл с произвольным именем. Обратите внимание, чаще всего оба эти файла имеют атрибуты "скрытый" и "системный", поэтому не отображаются при стандартной настройке Windows.
Перейдем к практической стороне проблемы, которая имеет два аспекта.
1. Предотвратить заражение собственного компьютера от произвольно подключенной флеш-карты.
2. Защитить собственную флеш-карту от возможного заражения.
Перейдем к практической стороне проблемы, которая имеет два аспекта.
1. Предотвратить заражение собственного компьютера от произвольно подключенной флеш-карты.
2. Защитить собственную флеш-карту от возможного заражения.
Внимание! Все перечисленные далее действия вы проделываете на свой страх и риск. Авторы проекта не несут никакой ответственности за возможные последствия этих действий.
Защита компьютера от вирусов на флешке. Отключаем автозагрузку.
Для надежной защиты собственного компьютера от вирусов на usb-флешках достаточно отключить автозагрузку (автозапуск) на всех дисках, подключаемых к компьютеру. Это можно сделать, воспользовавшись специальными программами (Anti autorun), либо выполнив ряд несложных действий (подразумевается, что все дальнейшие действия делаются с правами администратора).
Внимание! Этот и описанные ниже способы блокируют работу флэш-накопителей, использующих возможности autorun (например, флешки с доступом по отпечатку пальца).
Итак, для защиты компьютера от автостарта на флешках (и заодно от попадания вирусов) выполните следующие действия:
Пуск – Выполнить - gpedit.msc
Конфигурация компьютера
Административные шаблоны
Система - Отключить автозапуск
Правой кнопкой мыши: Свойства - Включена - Всех дисководах - Применить.
Полностью отключить автозагрузку со всех дисков можно также, воспользовавшись редактором реестра, открыв ветвь HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer и в значении двоичного параметра "NoDriveTypeAutoRun", и вместо "95" (или "91") прописать "FF" (известны недостатки этого способа в Windows Vista). В XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому может потребоваться создание соответствующего раздела и параметра NoDriveTypeAutoRun, управляющего автозагрузкой устройств. Не стоит забывать о том, что все изменения в реестре вступают в силу после перезагрузки.
Следующий метод представляет более расширенные возможности удаления потенциально опасных брешей в безопасности системы, связанных, в том числе и с автозапуском. Именно этот способ является рекомендуемым.
Создайте произвольный reg-файл (например, с именем noautorun.reg) и следующим содержимым:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
После чего запустите данный файл, и на вопрос системы о внесении изменений отвечайте "Да".
Отключить автозапуск временно (например, при отсутствии прав администратора), на период подключения устройства (флэшки) можно, удерживая нажатой клавишу Shift. При этом открывать флешку рекомендуется не через "Мой компьютер" (иначе автозапуск сработает), а через Проводник.
Внимание! Этот и описанные ниже способы блокируют работу флэш-накопителей, использующих возможности autorun (например, флешки с доступом по отпечатку пальца).
Итак, для защиты компьютера от автостарта на флешках (и заодно от попадания вирусов) выполните следующие действия:
Пуск – Выполнить - gpedit.msc
Конфигурация компьютера
Административные шаблоны
Система - Отключить автозапуск
Правой кнопкой мыши: Свойства - Включена - Всех дисководах - Применить.
Полностью отключить автозагрузку со всех дисков можно также, воспользовавшись редактором реестра, открыв ветвь HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer и в значении двоичного параметра "NoDriveTypeAutoRun", и вместо "95" (или "91") прописать "FF" (известны недостатки этого способа в Windows Vista). В XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому может потребоваться создание соответствующего раздела и параметра NoDriveTypeAutoRun, управляющего автозагрузкой устройств. Не стоит забывать о том, что все изменения в реестре вступают в силу после перезагрузки.
Следующий метод представляет более расширенные возможности удаления потенциально опасных брешей в безопасности системы, связанных, в том числе и с автозапуском. Именно этот способ является рекомендуемым.
Создайте произвольный reg-файл (например, с именем noautorun.reg) и следующим содержимым:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
После чего запустите данный файл, и на вопрос системы о внесении изменений отвечайте "Да".
Отключить автозапуск временно (например, при отсутствии прав администратора), на период подключения устройства (флэшки) можно, удерживая нажатой клавишу Shift. При этом открывать флешку рекомендуется не через "Мой компьютер" (иначе автозапуск сработает), а через Проводник.
Защищаем флешку от вирусов.
Вторым аспектом безопасности флеш-накопителей является задача препятствия проникновению на флешку вирусов с зараженного компьютера. Поскольку флеш-карта используется в основном для передачи файлов с одного компьютера на другой, сложно гарантировать то, что один из компьютеров-участников этой передачи не окажется зараженным.
Весьма радикальным методом является использование флеш-устройств с возможностью защиты от записи (write-protect) или миниатюрных USB-кардридеров, использующих SD-карты с возможностью защиты от записи. Достаточно защищенными от проникновения вирусов являются некоторые модели флешек с аутентификацией по отпечатку пальца (Fingerprint access). Такая защита вызвана особенностью архитектуры подобных флешек, поскольку у них уже существует файл autorun.inf, обеспечивающий запуск приложения аутентификации, и удалить его стандартными средствами невозможно.
Однако, данное решение имеет ряд недостатков. Наиболее очевидный это необходимость каждый раз включать и выключать (и помнить об этом!) режим защиты от записи. И если однажды "полениться" или забыть включить такую защиту, информация пользователя может оказаться под угрозой. Другой недостаток проявляется в случае, если требуется "забрать" файлы с потенциально опасного компьютера (компьютера, на котором может быть вирус). В этом случае режим защиты флешки от записи придется отключить, и путь для вирусов будет свободен. Поэтому ограничимся изложенными выше общими рекомендациями по использованию флеш-накопителей с защитой от записи, и рекомендуем применять их в соответствии с вышеописанными методами.
Ранее для защиты USB-флешки от вирусов считалось достаточным создать на ней пустой файл autorun.inf и назначить ему права "только для чтения". В этом случае вирус не мог создать там собственный файл автозагрузки, поскольку такой файл уже существовал и имел соответствующие атрибуты.
Современные вирусы научились обходить эту "уловку"! Автор лично столкнулся с этим, обнаружив вирус на флешке, "защищенной" таким образом после посещения одной полиграфической фирмы.
На данный момент весьма действенным представляется следующий способ (актуально для флешек с FAT-32). Создается bat-файл (например, с именем flashprotect.bat) и следующим содержимым:
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir "?%~d0AUTORUN.INF.."
attrib +s +h %~d0AUTORUN.INF
После этого данный файл копируется на флешку (обязательно!) и запускается с флешки. При этом создается папка с именем Autorun.inf, которую невозможно удалить средствами системы (используется известная ошибка Windows). Вследствие наличия папки с таким именем вирус не может создать аналогичный файл, и удалить такую папку тоже не может (по крайней мере, современные вирусы этому еще не научились).
Внимание! Этот способ запрещается применять для защиты от вирусов флеш-накопителей, использующих возможности autorun (например, флешки с доступом по отпечатку пальца).
Весьма радикальным методом является использование флеш-устройств с возможностью защиты от записи (write-protect) или миниатюрных USB-кардридеров, использующих SD-карты с возможностью защиты от записи. Достаточно защищенными от проникновения вирусов являются некоторые модели флешек с аутентификацией по отпечатку пальца (Fingerprint access). Такая защита вызвана особенностью архитектуры подобных флешек, поскольку у них уже существует файл autorun.inf, обеспечивающий запуск приложения аутентификации, и удалить его стандартными средствами невозможно.
Однако, данное решение имеет ряд недостатков. Наиболее очевидный это необходимость каждый раз включать и выключать (и помнить об этом!) режим защиты от записи. И если однажды "полениться" или забыть включить такую защиту, информация пользователя может оказаться под угрозой. Другой недостаток проявляется в случае, если требуется "забрать" файлы с потенциально опасного компьютера (компьютера, на котором может быть вирус). В этом случае режим защиты флешки от записи придется отключить, и путь для вирусов будет свободен. Поэтому ограничимся изложенными выше общими рекомендациями по использованию флеш-накопителей с защитой от записи, и рекомендуем применять их в соответствии с вышеописанными методами.
Ранее для защиты USB-флешки от вирусов считалось достаточным создать на ней пустой файл autorun.inf и назначить ему права "только для чтения". В этом случае вирус не мог создать там собственный файл автозагрузки, поскольку такой файл уже существовал и имел соответствующие атрибуты.
Современные вирусы научились обходить эту "уловку"! Автор лично столкнулся с этим, обнаружив вирус на флешке, "защищенной" таким образом после посещения одной полиграфической фирмы.
На данный момент весьма действенным представляется следующий способ (актуально для флешек с FAT-32). Создается bat-файл (например, с именем flashprotect.bat) и следующим содержимым:
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir "?%~d0AUTORUN.INF.."
attrib +s +h %~d0AUTORUN.INF
После этого данный файл копируется на флешку (обязательно!) и запускается с флешки. При этом создается папка с именем Autorun.inf, которую невозможно удалить средствами системы (используется известная ошибка Windows). Вследствие наличия папки с таким именем вирус не может создать аналогичный файл, и удалить такую папку тоже не может (по крайней мере, современные вирусы этому еще не научились).
Внимание! Этот способ запрещается применять для защиты от вирусов флеш-накопителей, использующих возможности autorun (например, флешки с доступом по отпечатку пальца).
В данной статье намеренно не рассматриваются такие способы защиты флешек от вирусов, как использование возможностей файловой системы NTFS (это чревато быстрым износом флешки из-за особенностей этой системы, потерей производительности и несовместимостью с различными устройствами) и использование файловой системы exFAT (она появилась только в Windows Vista). За рамками настоящей статьи остались и вопросы лечения (удаления) вирусов и файлов на уже зараженных носителях.
Желаем удачи, и помните распространяя эту информацию среди друзей и знакомых вы помогаете им избежать заражения вирусом, а значит защищаете себя от возможных проблем! Статья охраняется нормами законодательства об авторским праве, при перепечатке и использовании ссылка на SiteGuard.ru обязательна!
© Д. Цветов, SiteGuard.ru
Желаем удачи, и помните распространяя эту информацию среди друзей и знакомых вы помогаете им избежать заражения вирусом, а значит защищаете себя от возможных проблем! Статья охраняется нормами законодательства об авторским праве, при перепечатке и использовании ссылка на SiteGuard.ru обязательна!
© Д. Цветов, SiteGuard.ru