Существует ли надежный способ вакцинации съемных носителей от вредоносного ПО autorun.inf?
Там, где я живу (Боливия), кажется, что около 2/3 USB-накопителей, с которыми я сталкиваюсь, имеют вредоносное ПО, которое выполняется через autorun.inf и пытается заразить хост-машину. Большая часть доступа в Интернет здесь осуществляется на общедоступных компьютерах, где безопасность и предотвращение вредоносных программ зачастую неэффективны.
После прочтения о Panda USB Vaccine недавно я предложил "вакцинировать" USB-флешки своих коллег, чтобы предотвратить вредные последствия этой чумы (автозапуск отключен на всех наших машинах, но коллеги часто работают с домашних компьютеров, которые так и продолжали работать), Вакцина работает путем создания безвредных autorun.inf и пытается предотвратить его замену другими программами (я полагаю, через владение / разрешения, но я не Windows, поэтому я не знаю).
Это, казалось, работало хорошо до недавнего времени, когда многие диски начали появляться с мошенниками autorun.inf файлы снова. Я хотел бы попытаться понять, как это могло произойти и стоит ли испытывать другие подобные применения вакцины.
Иными словами, реально ли ожидать, что любая вакцина со съемным носителем будет работать или существуют непреодолимые лазейки (если так, то каковы лазейки)?
3 ответа
Если оставить пустой файл autorun.inf и установить права доступа к файлу, чтобы его нельзя было изменить, вирусы не будут ожидать таких уловок. Для более сложных вирусов, которые ожидают этого, довольно просто для вируса переопределить защищенный файл autorun.inf (хотя, допустимо, это помогает уничтожить какой-то более старый вирус). Как вы можете догадаться, эта лазейка не может быть закрыта, за исключением случаев, когда USB-накопитель полностью не записывается.
Довольно распространенной практикой является покупка USB-накопителя с переключателем записи и включайте переключатель записи только тогда, когда вам нужно записать данные, и только на доверенных компьютерах.
Хороший трюк - отключить autorun.inf полностью со всех ваших машин. Сохраните следующий код в блокноте и убедитесь, что он имеет .reg расширение, а не .txt и запустить его.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Вы можете полностью отключить autorun.inf. Я думаю, что вы могли бы сделать это через настройки оборудования для каждого устройства или отключить его для всех в реестре.
Больше информации о том, как его отключить: