Мы в социальных сетях

Читайте свежие новости на наших страницах »»
 
Главная » Антивирусы    Статьи Как защитить флешку от вирусов
Новое «На деревне у Дедушки»





Как защитить флешку от вирусов

Печать E-mail

Защита флешки от вирусов - важная задача в контексте антивирусной безопасности вашего компьютера. Флешка является одним из основных путей миграции вирусов. При подключении флешки к компьютеру, зараженному вирусом, происходит инфицирование флешки с последующим переносом вредоносного кода на другие, не зараженные компьютеры. Как защитить компьютер от вирусов на флешке и как защитить флешку от проникновения на нее вируса? Давайте рассмотрим несколько способов того, как защитить от вредоносного кода свой флеш-накопитель, не забывая о том, что наипервейшим условием при этом будет использование комплексного антивирусного пакета программ, такого, например, как антивирус Dr.Web. А при наличии локальной сети или выхода в Интернет – надежного брандмауэра (сетевого экрана) и безопасного браузера.

Предупреждение! Внимание! Все перечисленные далее действия вы проделываете на свой страх и риск. Автор и администрация сайта не несут никакой ответственности за возможные последствия этих действий.

→ перейти к практике

 

Проблему защиты компьютера от вирусов, распространяемых посредством переносных флеш-накопителей (флешек) можно разделить на две основные задачи, решаемые в контексте обеспечения безопасности компьютеров и локальных сетей. Задачи защиты компьютера от вирусов на флешке и защиты флешки от вирусов являются разными гранями одной проблемы: предотвращение распространения вредоносных программ от одного компьютера к другому посредством флешек. Сразу оговоримся, что абсолютно надежных и стопроцентных способов не существует. Возможно только минимизировать риски и усилить барьеры на пути распространения подобного рода угроз. Борьба с вирусами подчиняется диалектическому закону противостояния снаряда и брони – те средства, которые надежно защищают вас сегодня – завтра окажутся недостаточными. О том, как защитить компьютер от вирусов на флешке, т.е. препятствовать проникновению вредоносного кода с уже инфицированной флешки на ваш ПК, мы поговорим в статье «Как защитить компьютер от вирусов на флешке». Это, так сказать, вторая линия обороны, если иметь ввиду защиту вашего ПК от вашей зараженной флешки, которая с легкостью может превратиться и в первую. Здесь мы обсудим тактику борьбы с вирусами еще на дальних подступах к нашей цитадели, т.е. к нашему компьютеру. Еще раз следует оговориться, что без надежной комплексной антивирусной программы, такой как Антивирус Dr.Web, антивирус Касперского или NOD 32 и др., все эти «народные» и полупрофессиональные методы защиты с большой долей вероятности могут оказаться бесполезными. Для успешного противодействия вирусам, у вас должен быть установлен грамотно настроенный антивирус (см.«Как правильно настроить антивирус Dr.Web»). Наша задача не подменять антивирусы, а дополнять их, создавать дополнительные барьеры на пути вредоносного кода. Автомобилистам хорошо знакома истина о том, что дополнительные противоугонные устройства существенно осложняют задачу угонщиков. Причем, эти устройства должны базироваться на разных принципах действия и лучше, если они будут нестандартными. Применение антивирусов и утилит, не конфликтующих между собой, а дополняющих друг друга по функционалу, наряду с «ручными» методами защиты, о которых мы поговорим ниже, и вашей осторожной и взвешенной политикой безопасности значительно снизят риск заражения вашего ПК вирусами и прочими «нечестивыми» вредоносными программами.

Способы заражения вирусами компьютера посредством флешки

О таком тривиальном способе, как заражение файлов на флешке мы говорить не будем. Упомянем только, не следует забывать о том, что при запуске какой-либо программы, расположенной на вашей флешке, подключенной к инфицированной машине, этот файл также инфицируется (если флешка не защищена от записи). Запускаясь на вашей машине, вредоносный код попадает уже к вам на компьютер со всеми вытекающими последствиями.
Большинство вирусов, распространяющихся посредством сменных носителей, используют автозапуск. Для обеспечения возможности запуска программ автоматически, при подключении флешки к ПК, необходимо наличие в корневом каталоге сменного носителя конфигурационного файла с именем «autorun.inf», где специальным образом прописывается запускаемая программа и другие полезные функции (метка диска, значок и т.д.). Естественно, что данная функциональная возможность была реализована для удобства пользователей. Но она-то и эксплуатируется вирусами чаще всего. Для своего автозапуска при подключении к ПК, а, следовательно, и распространения, вирус создает (или перезаписывает уже существующий) на флешке файл с именем «autorun.inf», в котором прописывается расположение другого файла (т.н. тела вируса) с вредоносным кодом, который и должен быть выполнен. Как уже понятно, вирусу, в дополнение к файлу autorun.inf, необходимо записать на флешку свое тело (программный код) в виде одного или нескольких файлов. Причем расширение этих файлов вовсе не обязательно должно быть exe, com, cmd или bat (а, например, vmx). Вот так – вставили флешку, сработал автозапуск, вредоносный код в памяти – компьютер заражен. А далее, как говорится, по плану.

О том, как предотвратить инфицирование ПК с флешек посредством автозапуска, мы поговорим ниже. А сейчас упомянем о прочих, но не менее эффективных способах, проникновения вредоносного кода на компьютер. Одни вирусы, например, делают ваши папки на флешке скрытыми и создают исполняемые (.exe) файлы с именами, идентичными именам ваших папок. Таким образом у тех пользователей, у которых не отображаются скрытые файлы и папки, а также расширения для зарегистрированных типов файлов, на флешке видны только, созданные вирусом, исполняемые файлы, причем визуально, структура диска вроде бы и не меняется. Ничего не подозревающий пользователь кликает на знакомое название своей папки и запускает вирус. Другие вирусы используют похожий метод, только вместо исполняемых файлов создают к папкам ярлыки, а тело вируса скрывается, например, в скрытой папке «RECYCLER». Нажимая на такой ярлык, пользователь сначала запускает на исполнение вредоносный код, а потом открывает содержимое своей папки. Заражение происходит для пользователя незаметно. Эффективным средством борьбы с вирусами, маскирующимися под файлы и папки пользователя, можно считать программу «Зоркий глаз», которая наличие скрытых папок, файлов и ярлыков на флешках, другие маскирующие признаки воспринимает как угрозу и отправляет их в карантин. Эта программа не имеет вирусных баз и не требует их обновлений. Разумеется, антивирусные программы также сканируют подключенную флешку на вирусы, но, во-первых, факт наличия ярлыка на флешке для них еще не повод для беспокойства, а, во-вторых, «Зоркий глаз» прекрасно подойдет как бесплатное дополнение к вашему основному антивирусу в качестве защиты (но не лечения) от вирусов на флешке.

Еще, например, существует такой интересный компьютерный червь, как Stuxnet (Rootkit.Win32.Stuxnet), который использует уязвимость нулевого дня ОС Windows в lnk-файлах и делает возможным удаленное выполнение кода, если отображается значок специально созданного ярлыка (Бюллетень по безопасности (Майкрософт) MS10-046 – Критический). Перейдите на страницу Бюллетеня по безопасности (Майкрософт) MS10-046, чтобы скачать обновление безопасности, исправляющую данную уязвимость для вашей версии Windows.

Для некоторых версий Windows обновления безопасности можно скачать по следующим ссылкам:

Для Windows XP с пакетом обновления 3 (SP3) - WindowsXP-KB2286198-x86-RUS.exe:

С сайта yootoo.ifolder.ru
 
2,88 Мб   скачать
  С сайта depositfiles.com
 
2,88 Мб   скачать

Для Windows Vista с пакетом обновления 1 (SP1) и 2 (SP2) - Windows6.0-KB2286198-x86.msu:

С сайта yootoo.ifolder.ru
 
4,26 Мб   скачать
  С сайта depositfiles.com
 
4,26 Мб   скачать

Windows 7 для 32-разрядных систем - Windows6.1-KB2286198-x86.msu:

С сайта yootoo.ifolder.ru
 
4,44 Мб   скачать
  С сайта depositfiles.com
 
4,44 Мб   скачать

Для инфицирования компьютера вирусу Stuxnet не требуется включенного автозапуска и наличие файла autorun.inf или запуска какого-либо файла с зараженной флешки – достаточно открыть для просмотра в файловом менеджере (например, Проводнике Windows) содержание зараженной флешки или папки на ней с включенным отображением значков (по умолчанию отображение значков в Windows включено). Но все же большинство вирусов использует автозапуск и папку RECYCLER для маскировки в ней файлов, содержащих тело вируса. В связи с этим и принимают очертания наши будущие мероприятия по защите флешек от вирусов.

Защита флешки от вирусов. Практика.

Таким образом, проблема защиты флешки от вирусов сводится к предотвращению автозапуска вируса с флешки и предотвращению записи тела вируса на флешку. В свою очередь, не допустить исполнение вредоносного кода самопроизвольно можно двумя способами: защитить компьютер от вирусов на флешке и предотвратить запись на флешку средств автозапуска вредоносного кода.

Радикальными методами защиты флешки является использование флешек с возможностью защиты от записи (write protect) или миниатюрных USB-кардридеров, использующих SD карты с возможностью защиты от записи. А также моделей устройств с аутентификацией по отпечатку пальца (Fingerprint access), поскольку у них уже существует файл autorun.inf, обеспечивающий запуск приложения аутентификации, и удалить его стандартными средствами невозможно. Но у этого решения два очевидных недостатка: необходимо не забывать включать режим защиты от записи и необходимость этот режим, рано или поздно, выключить для того, чтобы скопировать на флеш-накопитель информацию, возможно, и с инфицированной машины.

Далее, чтобы определиться с методами, вам необходимо выяснить какая файловая система у вашей флешки. Для этого кликните правой кнопкой мыши на значке флешки и в меню «Свойства» на вкладке «Общие» вы увидите информацию о файловой системе.

Сойства диска: файловая система

Нижеописанные методы защиты флешки от вирусов необходимо производить с правами администратора.

Методы защиты флешки от вирусов.

1) Препятствуем записи вирусами себя в автозапуск.

Метод основан на подмене файла autorun.inf одноименной папкой и защитой ее с использованием известной ошибки Windows.

Необходимо создать bat-файл (например, с именем flashprotect.bat) или
скачать иммунизатор flashprotect.bat
 
отсюда
Содержание bat-файла:

 

rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
rd /s /q "%~d0\System Volume Information"
attrib -s -h -r autorun.*
del autorun.*
mkdir %~d0\autorun.inf
mkdir "\\?\%~d0\autorun.inf\wlaswo.ru.."
attrib +s +r %~d0\autorun.inf
echo   > %~d0\recycled
echo   > %~d0\recycler
attrib +s +r +h %~d0\recycled
attrib +s +r +h %~d0\recycler
      

Здесь применен способ доступа к файлам, заключающийся в использовании локальных UNC-путей и стандартных консольных команд, при котором можно создавать файлы даже с запрещенными файловой системой именами.

Данный bat-файл необходимо скопировать на защищаемую флешку и запустить (обязательно! на флешке). В результате на флеш-накопителе будет создана папка с именем «autorun.inf», которую невозможно удалить средствами операционной системы. Вследствие наличия папки с таким именем вирус не сможет создать аналогичный файл или удалить эту папку (во всяком случае, пока они этого не умеют).

Предупреждение!

Внимание! Этот способ запрещается применять для защиты от вирусов флеш-накопителей, использующих возможности autorun (например, флешки с доступом по отпечатку пальца).

Подчеркнем, что данный метод защищает только от самопроизвольного исполнения вредоносного кода, а не от проникновения вируса на флешку, и только от вирусов, использующих автозапуск посредством autorun.inf. Но и это уже существенный барьер для проникновения вируса. Само тело уже «беззубого» вируса можно удалить, просканировав флешку антивирусной программой.

Чтобы препятствовать проникновению самого тела вируса на флешку, необходимо использовать преимущества файловой системы NTFS. В том случае, если вам позволяют обстоятельства, ведь не все устройства поддерживают файловую систему NTFS (см. документацию к вашему устройству).

Использование особенностей файловой системы NTFS.

Обращаем ваше внимание на то, что из-за особенностей файловой системы NTFS, использование ее на флеш-накопителях ведет к их увеличенному износу, несовместимости их с различными устройствами и к снижению их производительности. У нас нет данных о том, насколько изменяются вышеуказанные показатели, поэтому вам самим предстоит сделать выбор об использовании NTFS, исходя из своих приоритетов. См. Как конвертировать или отформатировать флешку в NTFS.

2) Тотальный метод защиты флешки от вирусов.

Метод основан на том, чтобы запретить создание и изменение любых объектов на флешке, кроме определенного пользователем каталога, посредством использования прав пользователей Windows.

Создаем на флешке папку, например «KEYDATA». В этой папке, и только в ней, в дальнейшем мы будем хранить все наши файлы. Затем кликаем на значке флешки правой кнопкой мыши и в контекстном меню выбираем пункт «Свойства». Переходим на вкладку «Безопасность».

Что делать, если вкладка «Безопасность» у вас не отображается:

В проводнике Windows выбираем пункт меню «Сервис → Свойства папки…», далее переходим на вкладку «Вид»:

Сойства диска: файловая система

Убираем флажок с пункта «Использовать простой общий доступ к файлам (рекомендуется)». В результате этой операции вкладка «Безопасность» будет отображаться. Возвращаемся к вкладке «Безопасность» в свойствах флешки.

В списке «Группы и пользователи» находим группу «Все». Если такой группы нет, то создаем ее. Для этого нажимаем кнопку «Добавить»:

Сойства диска: файловая система
В появившемся окне нажимаем кнопку «Дополнительно»:
Сойства диска: файловая система
Затем кнопку «Поиск»:
Сойства диска: файловая система
В появившемся списке выбираем группу «Все» [1] и нажимаем «OK» [2].
Сойства диска: файловая система
В следующем окне в списке «Введите имена выбираемых объектов (примеры):» видим появившуюся группу «Все» и также нажимаем «OK».
Сойства диска: файловая система
Далее в списке «Группы и пользователи» удаляем последовательно все группы пользователей [1] за исключением группы «Все»[2], нажимая кнопку «Удалить»[3]:
Сойства диска: файловая система
Для группы пользователей «Все» оставляем только следующие разрешения: «Список содержимого папки» и «Чтение»[1] и нажимаем «ОК»:
Сойства диска: файловая система

Теперь переходим от настроек прав доступа флешки к настройкам папки KEYDATA, созданной нами ранее. Кликаем на значке папки правой кнопкой мыши и переходим к вкладке «Безопасность». Для группы пользователей «Все»[1] устанавливаем максимальные разрешения, выставив флажок в списке разрешений в пункте «Полный доступ» (в результате все флажки в поле «Разрешить» должны быть установлены):

Сойства диска: файловая система

Теперь давайте проверим, что у нас получилось. Если все действия были выполнены нами правильно, то мы должны получить следующие результаты. При попытке создания или копирования какого-либо файла в корневую папку диска должна возникать ошибка:

Сойства диска: файловая система
Сойства диска: файловая система
При переименовании папки KEYDATA также должна возникать ошибка:
Сойства диска: файловая система

Напротив, внутри папки KEYDATA мы должны иметь возможность создавать, удалять или копировать туда любые объекты.

В результате мы получаем флешку, на которую ни мы, ни вирусы ничего не смогут записать, кроме как в выбранную нами папку KEYDATA. Из недостатков данного метода можно указать то, что меню «Отправить» проводника Windows работать не будет и то, что все свои файлы мы вынуждены будем сохранять только внутри одной папки на флешке.

Для полной параноидальности (хоть это и избыточно) мы можем добавить на флешку папку autorun.inf (см. п.1) и в дополнение удалить у папки autorun.inf все разрешения для всех пользователей методом, указанным выше. Только добавление папки autorun.inf необходимо производить до изменения разрешений для флешки.

3) Создание защищенной папки RECYCLER.

Метод основан на подмене папки, внутри которой очень часто вирусы маскируют свое тело, на защищенный файл с тем же именем.

Создаем на флешке текстовый документ. Затем изменяем его имя на «RECYCLER» (без расширения). На запрос системы об изменении расширения отвечаем положительно. Далее присваиваем файлу атрибут «Только чтение»:

Сойства диска: файловая система

Далее по правому клику мыши выбираем «Свойства → Безопасность» и удаляем все группы пользователей. Если при попытке удаления группы пользователей выдается сообщение об ошибке, то необходимо удалить наследование прав пользователя от родительского объекта. Для этого нажимаем кнопку «Дополнительно»:

Сойства диска: файловая система
и, в появившемся окне убираем флажок с пункта «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне»:
Сойства диска: файловая система
в появившемся окне выбираем «Удалить»:
Сойства диска: файловая система
В результате получаем файл без расширения с именем «RECYCLER», который невозможно удалить средствами Windows.
Сойства диска: файловая система

Как уже говорилось, многие вирусы предпочитают маскировать свои файлы в папке именно с этим именем, т.к. скрытая папка с именем «RECYCLER» присутствует на всех жестких дисках ПК и является системной папкой корзины (в ОС Windows 7 аналогичная папка именуются «$RECYCLE.BIN», поэтому, на всякий случай, можете создать таким же методом и файл с именем «$RECYCLE.BIN»). Но при удалении файлов с флешек они не помещаются в корзину и такая папка не создается (в отличие от USB жестких дисков).

Кстати, в эксперименте проведенном автором, известный вирус Conficker (Net-Worm.Win32.Kido, Win32.HLLW.Shadow.based, Downadup) не смог проникнуть на флешку, имеющую защищенную папку autorun.inf и защищенный файл RECYCLER. Но с удовольствием поселился на незащищенной флешке, используя именно файл autorun.inf и скрытую папку RECYCLER, где и был впоследствии идентифицирован антивирусом Dr.Web как вирус Win32.HLLW.Shadow.based.

Хотелось бы обратить ваше внимание на то обстоятельство, что отображение в проводнике Windows скрытых файлов и папок, а также расширений для зарегистрированных типов файлов, позволяет невооруженным взглядом обнаружить признаки заражения флешки. Полезным могла бы стать привычка у пользователя, при подключении любого съемного носителя, удерживать клавишу «Shift» для предотвращения автозапуска.

Некоторые признаки инфицирования флешки вирусом.

Данный перечень не является исчерпывающим и будет впоследствии дополняться по мере накопления необходимой информации.

  1. Компьютер «не отдает» флешку
  2. Наличие на флешке скрытых файлов и папок (если вы, конечно, сами не сделали их таковыми).
  3. Наличие на флешке ярлыков. (Если задержать курсор на ярлыке, то всплывет подсказка, в которой будет указан путь до запускаемого файла).
  4. Каждая папка на флешке открывается в новом окне.
  5. Наличие на флешке папок с именами «RECYCLER», «TEMP», «TMP» и других подозрительных объектов. К примеру, такие папки Temporary files, Common files, Users, $RECYCLE.BIN, ProgramData, а тем более файлы pagefile.sys, boot.ini и др. распологаются только на системном разделе и не могут распологаться на флешке, это явный признак маскировки вируса. Если вы обнаружите что-то подобное на вашей флешке, то немедленно просканируйте ее антивирусом, а затем удалите их с флешки. Будьте внимательны, не удалите одноименные системные объекты на жестком диске вашего ПК.
  6. Наряду со своими папками, которые вдруг стали скрытыми, вы видите одноименные ярлыки или исполняемые файлы с расширением «exe»
  7. Наличие на флешке временных файлов вида «~wtr4132.tmp» или других с расширением «tmp».
  8. Наличие в корневом каталоге флешки файла «autorun.inf».

Факт наличия данных признаков, сам по себе, еще не обязательно свидетельствует о том, что ваша флешка заражена, а только требует вашего повышенного внимания и необходимости проверки флешки надежным антивирусным программным обеспечением.

— * —

По мере накопления необходимой информации, требований времени, совершенствования вирусного и антивирусного программного обеспечения данная статья будет обновляться и пополняться. Если у Вас есть какие-либо замечания и дополнения, то автор будет рад получить их от Вас через форму обратной связи на этом сайте.

И да прибудет с Вами сила антивирусного программного обеспечения, Вашей бдительности и здорового скепсиса.

 

С уважением, Ваш Константин Макарыч.

 


Если Вам понравился данный материал, расскажите о нем вашим знакомым, нажав на одну из кнопочек социальных сетей ниже. Будем Вам очень благодарны!

Последнее обновление 23.10.13 20:04
 
Если Вы можете качественно дополнить нашу статью, задать интересный вопрос или готовы исправить ошибку, то мы будем только рады. Заранее Вам благодарны!

Статьи по теме

Информация
Система Orphus

Флешки

Купить Dr.Web

Dr.Web для мобильных - в подарок!
Купить Dr.Web от 247,50 руб.

Антивирус Dr.Web для Windows обеспечивает многоуровневую защиту от всех типов вирусов системной памяти, файловой системы и всех сменных носителей.


Dr.Web® Security Space — первоклассное решение для комплексной защиты ПК от интернет-угроз: вирусов, руткитов, почтовых червей, хакерских утилит, спама, фишинга, зараженных веб-страниц.


Продлить Dr.Web

Продлить лицензию на Антивирус Dr.Web для Windows от компании «Доктор Веб» теперь просто! Проверка производится автоматически.


Продлить лицензию на Dr.Web Security Space от компании «Доктор Веб» теперь просто! Без предъявления преды­дущего серийного номера.


Подписка на новости

Оформить подписку на rss-ленту новостей сайта «На деревне у Дедушки».

Введите свой email адрес:

Помощь сайту

Внести вклад в развитие сайта «На деревне у Дедушки» можно, пожертвовав любую сумму на один из кошельков:
410012008240104
   
R514043210273
Z774566451232
U163944348759

Красная кнопка

Не нажимать!