Автоуголок
Как защитить флешку от вирусов |
![]() |
![]() |
Проблему защиты компьютера от вирусов, распространяемых посредством переносных флеш-накопителей (флешек) можно разделить на две основные задачи, решаемые в контексте обеспечения безопасности компьютеров и локальных сетей. Задачи защиты компьютера от вирусов на флешке и защиты флешки от вирусов являются разными гранями одной проблемы: предотвращение распространения вредоносных программ от одного компьютера к другому посредством флешек. Сразу оговоримся, что абсолютно надежных и стопроцентных способов не существует. Возможно только минимизировать риски и усилить барьеры на пути распространения подобного рода угроз. Борьба с вирусами подчиняется диалектическому закону противостояния снаряда и брони – те средства, которые надежно защищают вас сегодня – завтра окажутся недостаточными. О том, как защитить компьютер от вирусов на флешке, т.е. препятствовать проникновению вредоносного кода с уже инфицированной флешки на ваш ПК, мы поговорим в статье «Как защитить компьютер от вирусов на флешке». Это, так сказать, вторая линия обороны, если иметь ввиду защиту вашего ПК от вашей зараженной флешки, которая с легкостью может превратиться и в первую. Здесь мы обсудим тактику борьбы с вирусами еще на дальних подступах к нашей цитадели, т.е. к нашему компьютеру. Еще раз следует оговориться, что без надежной комплексной антивирусной программы, такой как Антивирус Dr.Web, антивирус Касперского или NOD 32 и др., все эти «народные» и полупрофессиональные методы защиты с большой долей вероятности могут оказаться бесполезными. Для успешного противодействия вирусам, у вас должен быть установлен грамотно настроенный антивирус (см.«Как правильно настроить антивирус Dr.Web»). Наша задача не подменять антивирусы, а дополнять их, создавать дополнительные барьеры на пути вредоносного кода. Автомобилистам хорошо знакома истина о том, что дополнительные противоугонные устройства существенно осложняют задачу угонщиков. Причем, эти устройства должны базироваться на разных принципах действия и лучше, если они будут нестандартными. Применение антивирусов и утилит, не конфликтующих между собой, а дополняющих друг друга по функционалу, наряду с «ручными» методами защиты, о которых мы поговорим ниже, и вашей осторожной и взвешенной политикой безопасности значительно снизят риск заражения вашего ПК вирусами и прочими «нечестивыми» вредоносными программами. Способы заражения вирусами компьютера посредством флешкиО таком тривиальном способе, как заражение файлов на флешке мы говорить не будем. Упомянем только, не следует забывать о том, что при запуске какой-либо программы, расположенной на вашей флешке, подключенной к инфицированной машине, этот файл также инфицируется (если флешка не защищена от записи). Запускаясь на вашей машине, вредоносный код попадает уже к вам на компьютер со всеми вытекающими последствиями. О том, как предотвратить инфицирование ПК с флешек посредством автозапуска, мы поговорим ниже. А сейчас упомянем о прочих, но не менее эффективных способах, проникновения вредоносного кода на компьютер. Одни вирусы, например, делают ваши папки на флешке скрытыми и создают исполняемые (.exe) файлы с именами, идентичными именам ваших папок. Таким образом у тех пользователей, у которых не отображаются скрытые файлы и папки, а также расширения для зарегистрированных типов файлов, на флешке видны только, созданные вирусом, исполняемые файлы, причем визуально, структура диска вроде бы и не меняется. Ничего не подозревающий пользователь кликает на знакомое название своей папки и запускает вирус. Другие вирусы используют похожий метод, только вместо исполняемых файлов создают к папкам ярлыки, а тело вируса скрывается, например, в скрытой папке «RECYCLER». Нажимая на такой ярлык, пользователь сначала запускает на исполнение вредоносный код, а потом открывает содержимое своей папки. Заражение происходит для пользователя незаметно. Эффективным средством борьбы с вирусами, маскирующимися под файлы и папки пользователя, можно считать программу «Зоркий глаз», которая наличие скрытых папок, файлов и ярлыков на флешках, другие маскирующие признаки воспринимает как угрозу и отправляет их в карантин. Эта программа не имеет вирусных баз и не требует их обновлений. Разумеется, антивирусные программы также сканируют подключенную флешку на вирусы, но, во-первых, факт наличия ярлыка на флешке для них еще не повод для беспокойства, а, во-вторых, «Зоркий глаз» прекрасно подойдет как бесплатное дополнение к вашему основному антивирусу в качестве защиты (но не лечения) от вирусов на флешке. Еще, например, существует такой интересный компьютерный червь, как Stuxnet (Rootkit.Win32.Stuxnet), который использует уязвимость нулевого дня ОС Windows в lnk-файлах и делает возможным удаленное выполнение кода, если отображается значок специально созданного ярлыка (Бюллетень по безопасности (Майкрософт) MS10-046 – Критический). Перейдите на страницу Бюллетеня по безопасности (Майкрософт) MS10-046, чтобы скачать обновление безопасности, исправляющую данную уязвимость для вашей версии Windows. Для некоторых версий Windows обновления безопасности можно скачать по следующим ссылкам: Для Windows XP с пакетом обновления 3 (SP3) - WindowsXP-KB2286198-x86-RUS.exe:
Для Windows Vista с пакетом обновления 1 (SP1) и 2 (SP2) - Windows6.0-KB2286198-x86.msu:
Windows 7 для 32-разрядных систем - Windows6.1-KB2286198-x86.msu:
Для инфицирования компьютера вирусу Stuxnet не требуется включенного автозапуска и наличие файла autorun.inf или запуска какого-либо файла с зараженной флешки – достаточно открыть для просмотра в файловом менеджере (например, Проводнике Windows) содержание зараженной флешки или папки на ней с включенным отображением значков (по умолчанию отображение значков в Windows включено). Но все же большинство вирусов использует автозапуск и папку RECYCLER для маскировки в ней файлов, содержащих тело вируса. В связи с этим и принимают очертания наши будущие мероприятия по защите флешек от вирусов. Защита флешки от вирусов. Практика.Таким образом, проблема защиты флешки от вирусов сводится к предотвращению автозапуска вируса с флешки и предотвращению записи тела вируса на флешку. В свою очередь, не допустить исполнение вредоносного кода самопроизвольно можно двумя способами: защитить компьютер от вирусов на флешке и предотвратить запись на флешку средств автозапуска вредоносного кода. Радикальными методами защиты флешки является использование флешек с возможностью защиты от записи (write protect) или миниатюрных USB-кардридеров, использующих SD карты с возможностью защиты от записи. А также моделей устройств с аутентификацией по отпечатку пальца (Fingerprint access), поскольку у них уже существует файл autorun.inf, обеспечивающий запуск приложения аутентификации, и удалить его стандартными средствами невозможно. Но у этого решения два очевидных недостатка: необходимо не забывать включать режим защиты от записи и необходимость этот режим, рано или поздно, выключить для того, чтобы скопировать на флеш-накопитель информацию, возможно, и с инфицированной машины. Далее, чтобы определиться с методами, вам необходимо выяснить какая файловая система у вашей флешки. Для этого кликните правой кнопкой мыши на значке флешки и в меню «Свойства» на вкладке «Общие» вы увидите информацию о файловой системе.
Нижеописанные методы защиты флешки от вирусов необходимо производить с правами администратора. Методы защиты флешки от вирусов.1) Препятствуем записи вирусами себя в автозапуск.Метод основан на подмене файла autorun.inf одноименной папкой и защитой ее с использованием известной ошибки Windows. Необходимо создать bat-файл (например, с именем flashprotect.bat) или
Содержание bat-файла:
Данный bat-файл необходимо скопировать на защищаемую флешку и запустить (обязательно! на флешке). В результате на флеш-накопителе будет создана папка с именем «autorun.inf», которую невозможно удалить средствами операционной системы. Вследствие наличия папки с таким именем вирус не сможет создать аналогичный файл или удалить эту папку (во всяком случае, пока они этого не умеют). Подчеркнем, что данный метод защищает только от самопроизвольного исполнения вредоносного кода, а не от проникновения вируса на флешку, и только от вирусов, использующих автозапуск посредством autorun.inf. Но и это уже существенный барьер для проникновения вируса. Само тело уже «беззубого» вируса можно удалить, просканировав флешку антивирусной программой. Чтобы препятствовать проникновению самого тела вируса на флешку, необходимо использовать преимущества файловой системы NTFS. В том случае, если вам позволяют обстоятельства, ведь не все устройства поддерживают файловую систему NTFS (см. документацию к вашему устройству). Использование особенностей файловой системы NTFS.Обращаем ваше внимание на то, что из-за особенностей файловой системы NTFS, использование ее на флеш-накопителях ведет к их увеличенному износу, несовместимости их с различными устройствами и к снижению их производительности. У нас нет данных о том, насколько изменяются вышеуказанные показатели, поэтому вам самим предстоит сделать выбор об использовании NTFS, исходя из своих приоритетов. См. Как конвертировать или отформатировать флешку в NTFS. 2) Тотальный метод защиты флешки от вирусов.Метод основан на том, чтобы запретить создание и изменение любых объектов на флешке, кроме определенного пользователем каталога, посредством использования прав пользователей Windows. Создаем на флешке папку, например «KEYDATA». В этой папке, и только в ней, в дальнейшем мы будем хранить все наши файлы. Затем кликаем на значке флешки правой кнопкой мыши и в контекстном меню выбираем пункт «Свойства». Переходим на вкладку «Безопасность». Что делать, если вкладка «Безопасность» у вас не отображается:
В списке «Группы и пользователи» находим группу «Все». Если такой группы нет, то создаем ее. Для этого нажимаем кнопку «Добавить»:
Теперь переходим от настроек прав доступа флешки к настройкам папки KEYDATA, созданной нами ранее. Кликаем на значке папки правой кнопкой мыши и переходим к вкладке «Безопасность». Для группы пользователей «Все»[1] устанавливаем максимальные разрешения, выставив флажок в списке разрешений в пункте «Полный доступ» (в результате все флажки в поле «Разрешить» должны быть установлены):
Теперь давайте проверим, что у нас получилось. Если все действия были выполнены нами правильно, то мы должны получить следующие результаты. При попытке создания или копирования какого-либо файла в корневую папку диска должна возникать ошибка:
Напротив, внутри папки KEYDATA мы должны иметь возможность создавать, удалять или копировать туда любые объекты. В результате мы получаем флешку, на которую ни мы, ни вирусы ничего не смогут записать, кроме как в выбранную нами папку KEYDATA. Из недостатков данного метода можно указать то, что меню «Отправить» проводника Windows работать не будет и то, что все свои файлы мы вынуждены будем сохранять только внутри одной папки на флешке. Для полной параноидальности (хоть это и избыточно) мы можем добавить на флешку папку autorun.inf (см. п.1) и в дополнение удалить у папки autorun.inf все разрешения для всех пользователей методом, указанным выше. Только добавление папки autorun.inf необходимо производить до изменения разрешений для флешки. 3) Создание защищенной папки RECYCLER.Метод основан на подмене папки, внутри которой очень часто вирусы маскируют свое тело, на защищенный файл с тем же именем. Создаем на флешке текстовый документ. Затем изменяем его имя на «RECYCLER» (без расширения). На запрос системы об изменении расширения отвечаем положительно. Далее присваиваем файлу атрибут «Только чтение»:
Далее по правому клику мыши выбираем «Свойства → Безопасность» и удаляем все группы пользователей. Если при попытке удаления группы пользователей выдается сообщение об ошибке, то необходимо удалить наследование прав пользователя от родительского объекта. Для этого нажимаем кнопку «Дополнительно»:
Как уже говорилось, многие вирусы предпочитают маскировать свои файлы в папке именно с этим именем, т.к. скрытая папка с именем «RECYCLER» присутствует на всех жестких дисках ПК и является системной папкой корзины (в ОС Windows 7 аналогичная папка именуются «$RECYCLE.BIN», поэтому, на всякий случай, можете создать таким же методом и файл с именем «$RECYCLE.BIN»). Но при удалении файлов с флешек они не помещаются в корзину и такая папка не создается (в отличие от USB жестких дисков). Кстати, в эксперименте проведенном автором, известный вирус Conficker (Net-Worm.Win32.Kido, Win32.HLLW.Shadow.based, Downadup) не смог проникнуть на флешку, имеющую защищенную папку autorun.inf и защищенный файл RECYCLER. Но с удовольствием поселился на незащищенной флешке, используя именно файл autorun.inf и скрытую папку RECYCLER, где и был впоследствии идентифицирован антивирусом Dr.Web как вирус Win32.HLLW.Shadow.based. Хотелось бы обратить ваше внимание на то обстоятельство, что отображение в проводнике Windows скрытых файлов и папок, а также расширений для зарегистрированных типов файлов, позволяет невооруженным взглядом обнаружить признаки заражения флешки. Полезным могла бы стать привычка у пользователя, при подключении любого съемного носителя, удерживать клавишу «Shift» для предотвращения автозапуска. Некоторые признаки инфицирования флешки вирусом.Данный перечень не является исчерпывающим и будет впоследствии дополняться по мере накопления необходимой информации.
Факт наличия данных признаков, сам по себе, еще не обязательно свидетельствует о том, что ваша флешка заражена, а только требует вашего повышенного внимания и необходимости проверки флешки надежным антивирусным программным обеспечением. — * — По мере накопления необходимой информации, требований времени, совершенствования вирусного и антивирусного программного обеспечения данная статья будет обновляться и пополняться. Если у Вас есть какие-либо замечания и дополнения, то автор будет рад получить их от Вас через форму обратной связи на этом сайте. И да прибудет с Вами сила антивирусного программного обеспечения, Вашей бдительности и здорового скепсиса.
С уважением, Ваш Константин Макарыч.
Если Вам понравился данный материал, расскажите о нем вашим знакомым, нажав на одну из кнопочек социальных сетей ниже. Будем Вам очень благодарны! |
|||||||||||||||||||||||||||||||||||||||||||||||||||
Последнее обновление 23.10.13 20:04 |
Статьи по теме
Купить Dr.Web
Dr.Web для мобильных - в подарок!
|
Антивирус Dr.Web для Windows обеспечивает многоуровневую защиту от всех типов вирусов системной памяти, файловой системы и всех сменных носителей. |
Dr.Web® Security Space — первоклассное решение для комплексной защиты ПК от интернет-угроз: вирусов, руткитов, почтовых червей, хакерских утилит, спама, фишинга, зараженных веб-страниц. |
Продлить Dr.Web
Продлить лицензию на Антивирус Dr.Web для Windows от компании «Доктор Веб» теперь просто! Проверка производится автоматически. |
Продлить лицензию на Dr.Web Security Space от компании «Доктор Веб» теперь просто! Без предъявления предыдущего серийного номера. |
Подписка на новости

Помощь сайту

![]() |
410012008240104 |
![]() |
R514043210273 |
Z774566451232 | |
U163944348759 |
Красная кнопка
Не нажимать!