Как защитить флешку от вирусов

Защита флешки от вирусов - важная задача в контексте антивирусной безопасности вашего компьютера. Флешка является одним из основных путей миграции вирусов. При подключении флешки к компьютеру, зараженному вирусом, происходит инфицирование флешки с последующим переносом вредоносного кода на другие, не зараженные компьютеры. Как защитить компьютер от вирусов на флешке и как защитить флешку от проникновения на нее вируса? Давайте рассмотрим несколько способов того, как защитить от вредоносного кода свой флеш-накопитель, не забывая о том, что наипервейшим условием при этом будет использование комплексного антивирусного пакета программ, такого, например, как антивирус Dr.Web. А при наличии локальной сети или выхода в Интернет – надежного брандмауэра (сетевого экрана) и безопасного браузера.

Проблему защиты компьютера от вирусов, распространяемых посредством переносных флеш-накопителей (флешек) можно разделить на две основные задачи, решаемые в контексте обеспечения безопасности компьютеров и локальных сетей. Задачи защиты компьютера от вирусов на флешке и защиты флешки от вирусов являются разными гранями одной проблемы: предотвращение распространения вредоносных программ от одного компьютера к другому посредством флешек. Сразу оговоримся, что абсолютно надежных и стопроцентных способов не существует. Возможно только минимизировать риски и усилить барьеры на пути распространения подобного рода угроз. Борьба с вирусами подчиняется диалектическому закону противостояния снаряда и брони – те средства, которые надежно защищают вас сегодня – завтра окажутся недостаточными. О том, как защитить компьютер от вирусов на флешке, т.е. препятствовать проникновению вредоносного кода с уже инфицированной флешки на ваш ПК, мы поговорим в статье «Как защитить компьютер от вирусов на флешке». Это, так сказать, вторая линия обороны, если иметь ввиду защиту вашего ПК от вашей зараженной флешки, которая с легкостью может превратиться и в первую. Здесь мы обсудим тактику борьбы с вирусами еще на дальних подступах к нашей цитадели, т.е. к нашему компьютеру. Еще раз следует оговориться, что без надежной комплексной антивирусной программы, такой как Антивирус Dr.Web, антивирус Касперского или NOD 32 и др., все эти «народные» и полупрофессиональные методы защиты с большой долей вероятности могут оказаться бесполезными. Для успешного противодействия вирусам, у вас должен быть установлен грамотно настроенный антивирус (см.«Как правильно настроить антивирус Dr.Web»). Наша задача не подменять антивирусы, а дополнять их, создавать дополнительные барьеры на пути вредоносного кода. Автомобилистам хорошо знакома истина о том, что дополнительные противоугонные устройства существенно осложняют задачу угонщиков. Причем, эти устройства должны базироваться на разных принципах действия и лучше, если они будут нестандартными. Применение антивирусов и утилит, не конфликтующих между собой, а дополняющих друг друга по функционалу, наряду с «ручными» методами защиты, о которых мы поговорим ниже, и вашей осторожной и взвешенной политикой безопасности значительно снизят риск заражения вашего ПК вирусами и прочими «нечестивыми» вредоносными программами.

О таком тривиальном способе, как заражение файлов на флешке мы говорить не будем. Упомянем только, не следует забывать о том, что при запуске какой-либо программы, расположенной на вашей флешке, подключенной к инфицированной машине, этот файл также инфицируется (если флешка не защищена от записи). Запускаясь на вашей машине, вредоносный код попадает уже к вам на компьютер со всеми вытекающими последствиями.
Большинство вирусов, распространяющихся посредством сменных носителей, используют автозапуск. Для обеспечения возможности запуска программ автоматически, при подключении флешки к ПК, необходимо наличие в корневом каталоге сменного носителя конфигурационного файла с именем «autorun.inf», где специальным образом прописывается запускаемая программа и другие полезные функции (метка диска, значок и т.д.). Естественно, что данная функциональная возможность была реализована для удобства пользователей. Но она-то и эксплуатируется вирусами чаще всего. Для своего автозапуска при подключении к ПК, а, следовательно, и распространения, вирус создает (или перезаписывает уже существующий) на флешке файл с именем «autorun.inf», в котором прописывается расположение другого файла (т.н. тела вируса) с вредоносным кодом, который и должен быть выполнен. Как уже понятно, вирусу, в дополнение к файлу autorun.inf, необходимо записать на флешку свое тело (программный код) в виде одного или нескольких файлов. Причем расширение этих файлов вовсе не обязательно должно быть exe, com, cmd или bat (а, например, vmx). Вот так – вставили флешку, сработал автозапуск, вредоносный код в памяти – компьютер заражен. А далее, как говорится, по плану.

О том, как предотвратить инфицирование ПК с флешек посредством автозапуска, мы поговорим ниже. А сейчас упомянем о прочих, но не менее эффективных способах, проникновения вредоносного кода на компьютер. Одни вирусы, например, делают ваши папки на флешке скрытыми и создают исполняемые (.exe) файлы с именами, идентичными именам ваших папок. Таким образом у тех пользователей, у которых не отображаются скрытые файлы и папки, а также расширения для зарегистрированных типов файлов, на флешке видны только, созданные вирусом, исполняемые файлы, причем визуально, структура диска вроде бы и не меняется. Ничего не подозревающий пользователь кликает на знакомое название своей папки и запускает вирус. Другие вирусы используют похожий метод, только вместо исполняемых файлов создают к папкам ярлыки, а тело вируса скрывается, например, в скрытой папке «RECYCLER». Нажимая на такой ярлык, пользователь сначала запускает на исполнение вредоносный код, а потом открывает содержимое своей папки. Заражение происходит для пользователя незаметно. Эффективным средством борьбы с вирусами, маскирующимися под файлы и папки пользователя, можно считать программу «Зоркий глаз», которая наличие скрытых папок, файлов и ярлыков на флешках, другие маскирующие признаки воспринимает как угрозу и отправляет их в карантин. Эта программа не имеет вирусных баз и не требует их обновлений. Разумеется, антивирусные программы также сканируют подключенную флешку на вирусы, но, во-первых, факт наличия ярлыка на флешке для них еще не повод для беспокойства, а, во-вторых, «Зоркий глаз» прекрасно подойдет как бесплатное дополнение к вашему основному антивирусу в качестве защиты (но не лечения) от вирусов на флешке.

Еще, например, существует такой интересный компьютерный червь, как Stuxnet (Rootkit.Win32.Stuxnet), который использует уязвимость нулевого дня ОС Windows в lnk-файлах и делает возможным удаленное выполнение кода, если отображается значок специально созданного ярлыка (Бюллетень по безопасности (Майкрософт) MS10-046 – Критический). Перейдите на страницу Бюллетеня по безопасности (Майкрософт) MS10-046, чтобы скачать обновление безопасности, исправляющую данную уязвимость для вашей версии Windows.

Для некоторых версий Windows обновления безопасности можно скачать по следующим ссылкам:

Для Windows XP с пакетом обновления 3 (SP3) - WindowsXP-KB2286198-x86-RUS.exe:

	С сайта yootoo.ifolder.ru		2,88 Мб	скачать
	С сайта depositfiles.com		2,88 Мб	скачать

Для Windows Vista с пакетом обновления 1 (SP1) и 2 (SP2) - Windows6.0-KB2286198-x86.msu:

	С сайта yootoo.ifolder.ru		4,26 Мб	скачать
	С сайта depositfiles.com		4,26 Мб	скачать

Windows 7 для 32-разрядных систем - Windows6.1-KB2286198-x86.msu:

	С сайта yootoo.ifolder.ru		4,44 Мб	скачать
	С сайта depositfiles.com		4,44 Мб	скачать

Для инфицирования компьютера вирусу Stuxnet не требуется включенного автозапуска и наличие файла autorun.inf или запуска какого-либо файла с зараженной флешки – достаточно открыть для просмотра в файловом менеджере (например, Проводнике Windows) содержание зараженной флешки или папки на ней с включенным отображением значков (по умолчанию отображение значков в Windows включено). Но все же большинство вирусов использует автозапуск и папку RECYCLER для маскировки в ней файлов, содержащих тело вируса. В связи с этим и принимают очертания наши будущие мероприятия по защите флешек от вирусов.

Таким образом, проблема защиты флешки от вирусов сводится к предотвращению автозапуска вируса с флешки и предотвращению записи тела вируса на флешку. В свою очередь, не допустить исполнение вредоносного кода самопроизвольно можно двумя способами: защитить компьютер от вирусов на флешке и предотвратить запись на флешку средств автозапуска вредоносного кода.

Радикальными методами защиты флешки является использование флешек с возможностью защиты от записи (write protect) или миниатюрных USB-кардридеров, использующих SD карты с возможностью защиты от записи. А также моделей устройств с аутентификацией по отпечатку пальца (Fingerprint access), поскольку у них уже существует файл autorun.inf, обеспечивающий запуск приложения аутентификации, и удалить его стандартными средствами невозможно. Но у этого решения два очевидных недостатка: необходимо не забывать включать режим защиты от записи и необходимость этот режим, рано или поздно, выключить для того, чтобы скопировать на флеш-накопитель информацию, возможно, и с инфицированной машины.

Далее, чтобы определиться с методами, вам необходимо выяснить какая файловая система у вашей флешки. Для этого кликните правой кнопкой мыши на значке флешки и в меню «Свойства» на вкладке «Общие» вы увидите информацию о файловой системе.

Нижеописанные методы защиты флешки от вирусов необходимо производить с правами администратора.

1) Препятствуем записи вирусами себя в автозапуск.

Метод основан на подмене файла autorun.inf одноименной папкой и защитой ее с использованием известной ошибки Windows.

Необходимо создать bat-файл (например, с именем flashprotect.bat) или

скачать иммунизатор flashprotect.bat

отсюда

rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
rd /s /q "%~d0\System Volume Information"
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\autorun.inf
mkdir "\\?\%~d0\autorun.inf\wlaswo.ru.."
attrib +s +r %~d0\autorun.inf
echo   > %~d0\recycled
echo   > %~d0\recycler
attrib +s +r +h %~d0\recycled
attrib +s +r +h %~d0\recycler
      

Данный bat-файл необходимо скопировать на защищаемую флешку и запустить (обязательно! на флешке). В результате на флеш-накопителе будет создана папка с именем «autorun.inf», которую невозможно удалить средствами операционной системы. Вследствие наличия папки с таким именем вирус не сможет создать аналогичный файл или удалить эту папку (во всяком случае, пока они этого не умеют).

Подчеркнем, что данный метод защищает только от самопроизвольного исполнения вредоносного кода, а не от проникновения вируса на флешку, и только от вирусов, использующих автозапуск посредством autorun.inf. Но и это уже существенный барьер для проникновения вируса. Само тело уже «беззубого» вируса можно удалить, просканировав флешку антивирусной программой.

Чтобы препятствовать проникновению самого тела вируса на флешку, необходимо использовать преимущества файловой системы NTFS. В том случае, если вам позволяют обстоятельства, ведь не все устройства поддерживают файловую систему NTFS (см. документацию к вашему устройству).

Обращаем ваше внимание на то, что из-за особенностей файловой системы NTFS, использование ее на флеш-накопителях ведет к их увеличенному износу, несовместимости их с различными устройствами и к снижению их производительности. У нас нет данных о том, насколько изменяются вышеуказанные показатели, поэтому вам самим предстоит сделать выбор об использовании NTFS, исходя из своих приоритетов. См. Как конвертировать или отформатировать флешку в NTFS.

2) Тотальный метод защиты флешки от вирусов.

Метод основан на том, чтобы запретить создание и изменение любых объектов на флешке, кроме определенного пользователем каталога, посредством использования прав пользователей Windows.

Создаем на флешке папку, например «KEYDATA». В этой папке, и только в ней, в дальнейшем мы будем хранить все наши файлы. Затем кликаем на значке флешки правой кнопкой мыши и в контекстном меню выбираем пункт «Свойства». Переходим на вкладку «Безопасность».

Что делать, если вкладка «Безопасность» у вас не отображается:

В проводнике Windows выбираем пункт меню «Сервис → Свойства папки…», далее переходим на вкладку «Вид»:

Убираем флажок с пункта «Использовать простой общий доступ к файлам (рекомендуется)». В результате этой операции вкладка «Безопасность» будет отображаться. Возвращаемся к вкладке «Безопасность» в свойствах флешки.

В списке «Группы и пользователи» находим группу «Все». Если такой группы нет, то создаем ее. Для этого нажимаем кнопку «Добавить»:

Теперь переходим от настроек прав доступа флешки к настройкам папки KEYDATA, созданной нами ранее. Кликаем на значке папки правой кнопкой мыши и переходим к вкладке «Безопасность». Для группы пользователей «Все»[1] устанавливаем максимальные разрешения, выставив флажок в списке разрешений в пункте «Полный доступ» (в результате все флажки в поле «Разрешить» должны быть установлены):

Теперь давайте проверим, что у нас получилось. Если все действия были выполнены нами правильно, то мы должны получить следующие результаты. При попытке создания или копирования какого-либо файла в корневую папку диска должна возникать ошибка:

Напротив, внутри папки KEYDATA мы должны иметь возможность создавать, удалять или копировать туда любые объекты.

В результате мы получаем флешку, на которую ни мы, ни вирусы ничего не смогут записать, кроме как в выбранную нами папку KEYDATA. Из недостатков данного метода можно указать то, что меню «Отправить» проводника Windows работать не будет и то, что все свои файлы мы вынуждены будем сохранять только внутри одной папки на флешке.

Для полной параноидальности (хоть это и избыточно) мы можем добавить на флешку папку autorun.inf (см. п.1) и в дополнение удалить у папки autorun.inf все разрешения для всех пользователей методом, указанным выше. Только добавление папки autorun.inf необходимо производить до изменения разрешений для флешки.

3) Создание защищенной папки RECYCLER.

Метод основан на подмене папки, внутри которой очень часто вирусы маскируют свое тело, на защищенный файл с тем же именем.

Создаем на флешке текстовый документ. Затем изменяем его имя на «RECYCLER» (без расширения). На запрос системы об изменении расширения отвечаем положительно. Далее присваиваем файлу атрибут «Только чтение»:

Далее по правому клику мыши выбираем «Свойства → Безопасность» и удаляем все группы пользователей. Если при попытке удаления группы пользователей выдается сообщение об ошибке, то необходимо удалить наследование прав пользователя от родительского объекта. Для этого нажимаем кнопку «Дополнительно»:

Как уже говорилось, многие вирусы предпочитают маскировать свои файлы в папке именно с этим именем, т.к. скрытая папка с именем «RECYCLER» присутствует на всех жестких дисках ПК и является системной папкой корзины (в ОС Windows 7 аналогичная папка именуются «$RECYCLE.BIN», поэтому, на всякий случай, можете создать таким же методом и файл с именем «$RECYCLE.BIN»). Но при удалении файлов с флешек они не помещаются в корзину и такая папка не создается (в отличие от USB жестких дисков).

Кстати, в эксперименте проведенном автором, известный вирус Conficker (Net-Worm.Win32.Kido, Win32.HLLW.Shadow.based, Downadup) не смог проникнуть на флешку, имеющую защищенную папку autorun.inf и защищенный файл RECYCLER. Но с удовольствием поселился на незащищенной флешке, используя именно файл autorun.inf и скрытую папку RECYCLER, где и был впоследствии идентифицирован антивирусом Dr.Web как вирус Win32.HLLW.Shadow.based.

Хотелось бы обратить ваше внимание на то обстоятельство, что отображение в проводнике Windows скрытых файлов и папок, а также расширений для зарегистрированных типов файлов, позволяет невооруженным взглядом обнаружить признаки заражения флешки. Полезным могла бы стать привычка у пользователя, при подключении любого съемного носителя, удерживать клавишу «Shift» для предотвращения автозапуска.

Данный перечень не является исчерпывающим и будет впоследствии дополняться по мере накопления необходимой информации.

1. Компьютер «не отдает» флешку
2. Наличие на флешке скрытых файлов и папок (если вы, конечно, сами не сделали их таковыми).
3. Наличие на флешке ярлыков. (Если задержать курсор на ярлыке, то всплывет подсказка, в которой будет указан путь до запускаемого файла).
4. Каждая папка на флешке открывается в новом окне.
5. Наличие на флешке папок с именами «RECYCLER», «TEMP», «TMP» и других подозрительных объектов. К примеру, такие папки Temporary files, Common files, Users, $RECYCLE.BIN, ProgramData, а тем более файлы pagefile.sys, boot.ini и др. распологаются только на системном разделе и не могут распологаться на флешке, это явный признак маскировки вируса. Если вы обнаружите что-то подобное на вашей флешке, то немедленно просканируйте ее антивирусом, а затем удалите их с флешки. Будьте внимательны, не удалите одноименные системные объекты на жестком диске вашего ПК.
6. Наряду со своими папками, которые вдруг стали скрытыми, вы видите одноименные ярлыки или исполняемые файлы с расширением «exe»
7. Наличие на флешке временных файлов вида «~wtr4132.tmp» или других с расширением «tmp».
8. Наличие в корневом каталоге флешки файла «autorun.inf».

Факт наличия данных признаков, сам по себе, еще не обязательно свидетельствует о том, что ваша флешка заражена, а только требует вашего повышенного внимания и необходимости проверки флешки надежным антивирусным программным обеспечением.

— * —

По мере накопления необходимой информации, требований времени, совершенствования вирусного и антивирусного программного обеспечения данная статья будет обновляться и пополняться. Если у Вас есть какие-либо замечания и дополнения, то автор будет рад получить их от Вас через форму обратной связи на этом сайте.

И да прибудет с Вами сила антивирусного программного обеспечения, Вашей бдительности и здорового скепсиса.

С уважением, Ваш Константин Макарыч.

Если Вам понравился данный материал, расскажите о нем вашим знакомым, нажав на одну из кнопочек социальных сетей ниже. Будем Вам очень благодарны!