Простой рецепт от многих вирусов.




В последние несколько месяцев стали весьма популярны различные autorun-вирусы - ко мне ежедневно приходят люди, которым сбрасываю на флешки новые версии налоговской программы. Так вот, не менее чем на 90% приносимых флешек, оказываются различные модификации вредоносных программ, которые распространяются через авторан на сменных носителях - т.е., автозапуск содержимого, ну знаете, вылазит такое надоедливое окошко и начинает домогаться у вас о том, что следует сделать:





Причем я не знаю ни одного человека, который бы хоть раз эту функцию осознанно и успешно использовал - обычно судорожно нажимают отмену, потому что мы сами лучше знаем, что делать с содержимым диска, хотя и windows пытается переубедить нас в обратном. Таким образом, опция, изначально задуманная для уменьшения количества телодвижений пользователя, оказалась невостребованной, весьма неудобной, и, плюс ко всему этому, большинство юзеров и рады бы отключить ее, но не знают, как это сделать.

Но не только в телодвижениях дело. читать дальшеЕсли на флешке присутствует файл с именем autorun.inf и соответствующим содержимым, то при открытии флешки система выполнить сценарий, прописанный в этом самом файле. Казалось бы, изначально удобная и нужная фича: вставил носитель, открыл его, и тут же запустилось что надо - сначала это было реализовано на компакт-дисках, но по умолчанию работает и для флешек, а также локальных дисков. Но главное отличие флешки от диска в том, что ее содержимое может быть легко модифицировано - чем с успехом и пользуется целая армия вирусов, распространяющихся через сменные носители (практика показывает, что файл autorun.inf на флешке с 99.9% вероятностью является вирусным сценарием - за исключением случаев, когда вы сами написали этот файл для удобства работы). Для успешного распространения необходимо соблюсти всего лишь три условия: 1) автозапуск должен быть разрешен (что сделано по умолчанию) 2) пользователь должен открыть диск проводником (что случается весьма часто) и 3) отсутствие реакции антивируса (моя практика показывает, что более чем в половине случаев антивируса или нет вообще, или он сто лет в обед как последний раз обновлялся, или в упор не видит заразу - особенно грешит этим говнотворение по имени AVAST). И все, вирус ваш. Не верите? Пожалуйста. Создайте текстовый файл с таким содержимым:

[autorun]
open = calc.exe
shell\Open\Command=calc.exe
shell\Open\Default=1
shell\Explore\Command=calc.exe
shell\Autoplay\Command=calc.exe

И скопируйте его на флешку. Или даже просто на любой локальный диск. Это абсолютно безопасно, а при открытии диска в проводнике у вас будет запускаться стандартный калькулятор. Как вы понимаете, если этот файл будет создан вирусом, то запускаться будет совсем не калькулятор, а сами угадайте, что. Плюс к этому, искомый файлик, созданный вирусом, наверняка будет иметь атрибуты "системный" и(или) "скрытый", как результат - его не будет видно в проводнике, если только вы не меняли настройки отображения папок. Таким образом, вирус, однажды записавшийся на флешку, будет заражать все компьютеры, где выполнены вышеописанные три условия, а зараженные компьютеры будут, в свою очередь, заражать все вставляемые в них флеш-накопители: флешки, телефоны, плейеры, фотоаппараты и т.п.

Чтобы удалить autorun.inf, не выполняя его, используйте "Пуск" - "Выполнить" - "del Х:\autorun.inf", где Х - буква диска, на котором находится приговоренный к удалению файл автозапуска.

Причем, наличие обновляемого антивируса не дает никакой гарантии. На данный момент у меня скопилась коллекция из трех десятков разновидностей авторан-вирусов, из которых:

- NOD32v2.5 - видит все вирусы
- Kaspersky (проверка на сайте) - не обнаружил 4 вируса
- Dr.Web (проверка на сайте) - не обнаружил 1 вирус
- AVAST!v4Pro - не обнаружил 9 вирусов

Поэтому, дабы раз и навсегда избавиться от возможности подцепить заразу на флешке, я рекомендую вам просто отключить автозапуск - то самое окошко с выбором действия и возможность автоматического старта калькулятора чего угодно. Отключение автозапуска дает вам 100% гарантию того, что вы никогда не подцепите авторан-вирус, независимо от того, видит его ваш антиврус или нет; ну разве что вы сами руками запустите исполняемый вирусный файл. Как это сделать? Есть два варианта - редактирование локальной политики безопасности ("пуск" - "выполнить" - "gpedit.msc" - "конфигурация компьютера" - "административные шаблоны" - "система" - свойство "отключить автозапуск") или редактирование реестра ("[HKCU(HKLM)\Software \Microsoft\Windows \CurrentVersion\Policies \Explorer\NoDriveTypeAutoRun").

Чтобы не вдаваться в дебри, я предлагаю вам просто скачать рег-файл и запустить его: iddd.ru/files/noAutoRun.reg На воспрос о добавлении информации в реестр ответьте утвердительно. Чтобы изменения вступили в силу, необходимо перезапустить Explorer, а если вы не знаете, как это сделать, то просто перезагрузите компьютер. После этой операции автозапуск на флешках и жестких дисках будет отключен. Таким образом, вы получаете два преимущества: во-первых, перестанет вылазить надоедливое окно автозапуска при вставке флешки, и во-вторых, все авторан-вирусы, как существующие, так и те, которые появятся впоследствии, идут лесом. Если же вы вдруг соскучитесь по автозапуску и захотите вернуть его назад, то инструкция микрософт вам в помощь.

И помните: каким бы ни был секс, главное - чтобы он был защищенным. ©