CHAIKA

Главная | Регистрация | Вход		 Пятница, 26.04.2024, 17:43
Приветствую Вас Гость | RSS
Меню сайта
Категории каталога
Мои файлы [11]
Антивирус [49]
Аудио [18]
Графика [25]
Видео [21]
Крэк [18]
Закачка [26]
Запись, эмуляция [16]
Офис [48]
Система - контроль [11]
Система - оптимизация [27]
Система - восстановление [31]
Система - обслуживание [25]
Перевод [8]
Интернет [14]
Сеть [10]
Файлообмен [6]
Мультимедиа [24]
LIVE CD & USB [40]
Телевидение [13]
Операционные системы [40]
Тесты видеокарт [26]
Мини-чат
200
Главная » Файлы » Антивирус
VirusVaccine
[ ] 26.04.2009, 21:16
VirusVaccine

VirusVaccine - вакцина от вирусов с флэшек
Автор: Andy Дата публикации: 18/10/2007
Категория: Обмен опытом


Столкнувшись с рабочими станциями на приемных пунктах приема цифровых фотографий, я сильно удивился, что практически все они заражены вирусами. Даже где вирусов не было, наблюдались, явные следы прошедшей вирусной атаки, как-то: скрытое меню "Свойства папки ", запрет на запись в реестр, запрет на запуск диспетчера задач, и многое другое. Антивирус обновлялся каждый день, но это нисколько не помогало, и после лечения вирусы появлялись вновь. Ясно как день, что вирусы тащат на флэшках клиенты, и я решил разобраться в этой проблеме. Перелопатив кучу форумов и сайтов, я пришел к следующим выводам:
- в проблеме виноват механизм автозапуска в Windows XP
- антивирусы помогают очень слабо, так как вирусы, использующие Автозапуск часто изменяются, и антивирусы узнают о новой версии спустя, примерно, неделю.
- часто антивирус срабатывает ПОСЛЕ запуска вредоносного кода, убивает вирус, но не патчит ПОСЛЕДСТВИЯ вирусной атаки.

Изучим матчасть:

Многочисленные советы, связанные с автозагрузкой флэшек, крутятся вокруг ключа реестра
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" NoDriveTypeAutoRun.
Но это нисколько не помогает, и манипуляции с этим ключом не только вредны, но и опасны, так как отключает только Auto Play. Поясню, в чем дело:

В Windows XP за автозапуск отвечают две фичи - Auto Рlay и Auto Run.
Auto Play - это меню выбора, что сделать с внешним носителем, при его подключении - открыть, проиграть музыкальные файлы, просмотреть видео и тд. Фича очень удобная - не нужно кликать Мой Компьютер, выбирать диск и тд. Что, дизайнеру, который принимает заказы, очень удобно.
Auto Run же - это очень коварная фигня. Активизируется наличием файла AutoRun.inf в корне флэшки. Напрямую запуск исполняемых файлов при втыкании флэшки запрещен операционной системой, это позволено только компакт-дискам. Но появляется меню Автозапуск, которое еще становится главным, при кликанье на иконку диска в проводнике, вместо Открыть. Вот здесь и корень проблемы. Файл AutoRun.inf можно написать таким образом, что при втыкании флэшки Auto Рlay не сработает, и приходится кликать на иконку диска в проводнике. Вот тут-то и срабатывает вредоносный код, о котором антивирус может и не знать.
Для тестирования можете создать файл AutoRun.inf в корне флэшки, записать туда:

[autorun]
shellexecute= calc.exe
icon=master.ico

Скопировать в корень файл calc.exe из папки windows/system32, или любую программку, и любую иконку (файл *.ico), переименованную в master.ico.
Теперь вытащите флэшку, и воткните снова. Появится в проводнике ваша иконка, сработает Auto Play. Но при клике по иконке запустится калькулятор! Вместо которого мог бы быть вирус. Самое коварное, что вирусы файлу AutoRun.inf и своему телу ставят атрибут "скрытый", и его на флэшке часто и не видно.

Самурайское решение проблемы - отключить службу "Определение оборудования оболочки". Но в месте с ней и пропадет Auto Play, дизайнеры могут взбунтоваться.

Красивое решение - удаление раздела реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints.
Только удалите этот раздел вообще, не на просто очистите содержимое. После перезагрузки Windows снова создаст его, но только с нужными нам параметрами. Эксперименты с этим ключом показали, что после очистки лучше еще поставить на этот раздел реестра защиту на запись в него, иначе на некоторых системах AutoRun восстанавливается после перезагрузки.

Так как я человек ленивый, я решил написать скрипт, для автоматического патчения системы - очень уж утомительно Regedit-ом лазить по реестру. На одном из форумов я нашел отличную заготовку под мой скрипт, и переделал ее для своих целей. (Все копирайты сохранены.) Итак, встречайте:

VirusVaccine

Работает с операционной системой Windows XP SP2. Под другими операционками эффект от применения скрипта возможно, будет не так эффектен. Под Windows Vista скрипт не тестировался.

Скрипт VirusVaccine - это инструмент для удаления некоторых вирусов из системы, удаление последствий вирусной атаки, отключения AutoRun со съемных носителей (Auto Play остается!), удаление вредоносных файлов autorun.inf со всех дисков (файл AutoRun.inf от VirUpdate сохраняется!).
Скрипт устраняет следующие вредоносные последствия вирусной атаки:

Восстанавливает доступ к реестру
Восстанавливает доступ к диспетчеру задач
Восстанавливает меню Сервис - Свойства Папки
Восстанавливает отображение скрытых файлов и папок
Восстанавливает запуск исполняемых файлов
Блокирует меню "Автозапуск" при наличии файла AutoRun.inf на диске

Следует отметить, что доступ к реестру скрипт восстанавливает, если не заблокирован запуск программы reg.exe (управление ключами реестра из командной строки) вирусом. Если он все-таки заблокирован, и появляется ошибка - "Доступ к реестру запрещен Администратором Системы" придется воспользоваться альтернативой программой доступа к реестру, например Vilma Registry Explorer. Ей нужно поправить ключ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. Установить параметр DisableRegistryTools в 0 или вообще удалить его.
После этого VirusVaccine доделает все остальное.

Работа со скриптом

Распакуйте архив с VirusVaccine в любой каталог. Вместе со скриптом VirusVaccine.cmd в папке будет исполняемый файл subinacl.exe. Файл этот - это расширение командной оболочки для работы с правами файлов и реестра из командной строки. Создан Майкрософт для администраторов сетей. В скрипте VirusVaccine используется для запрета на запись в ветку реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints.
При первом запуске скрипта копируется в системную папку WINDOWS.

Далее кликаем по файлу VirusVaccine.cmd. Появится заставка, следуем указанием на экране. Скрипт предложит создать точку восстановления нажатием клавишей R. Лучше, конечно, сделать это, на всякий случай.



Заставка

После этого скрипт посмотрит и удалит подозрительные процессы и файлы в системе, и предложит заблокировать файл AutoRun.inf.



Блокировка AutoRun

А после - удалить подозрительные AutoRun.inf со всех дисков. AutoRun.inf от скрипта VirUpdate не удаляется.



Удаление вредных AutoRun.inf со всех дисков

Если вы имеете несколько пользователей в системе, необходимо запустить VirusVaccine.cmd под каждым пользователем!

Недостатки скрипта - не будут запускаться файлы автозапуска с компакт-дисков, (не будет отображаться заставка при вставке СД, например от игрушек ), не защищает от вирусов, замаскированных под папки.

И совет на последок:
Если вы имеете свою флэшку, сделайте на нем иконку, прописав ее в AutoRun.inf:

[autorun]
icon=master.ico

Файл AutoRun.inf скопируйте на флэшку еще раз, в качестве резервной копии. Всем этим файлом поставьте атрибут "скрытый". И теперь вы всегда будете знать, что ваша флэшка заражена вирусом, если при включении иконка флэшки не отобразится.
Пока все. Пишите.

Доступно только для пользователей

Категория: Антивирус | Добавил: chaika2
Просмотров: 641 | Загрузок: 0 | Рейтинг: 0.0/0 |
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа
Поиск
Друзья сайта
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Деревенька
  • Районная сеть Чайка.Net

    • Помогло? Скажи спасибо!
    Статистика
    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    Copyright MyCorp © 2024 |