Делаем антизаразную флэшку

Мне часто приходится работать с фирмами по договору аутсорсинга. Конечно, это очень удобно для обеих сторон – для фирмы не нужно держать собственного айтишника, а для меня — больше возможностей для заработка, т.к. можно брать десяток фирм на обслуживание. Естественно, часто приходится использовать флэшку на работе. И вот тут с ней масса сюрпризов. В наше время именно эта маленькая коробочка служит источником заразы компьютеров. Мигрируя с машины на машину, она вносит туда зловред (или малварь, это одно и тоже). И как положено каждому уважающему себя вирусу, он заразит, прежде всего, другую флэшку, вставленную в разъемы зараженного компьютера. Конечно, актуальность подобного заражения с каждым днем падает в силу развития антивирусов. Тем не менее, с этим мне приходилось сталкиваться лично. Итак, что делает подобный вирус (точнее, это уже троян, так как срабатывает он от ряда событий): 1. Он прописывается в системных папках флэшки типа Recycled , создает для своего запуска файл autorun.inf и подменяет ярлыки папок ссылкой на свое тело, скрывая настоящие от глаз пользователя. 2. На незащищенной машине все выглядит безобидно – кликнул по папке и все нужное появилось. Хотя на самом деле ваша система уже заражена. Конечно, пользователи Linux сразу могут заметить непорядок. Кроме того, те пользователи, у которых в настройках Windows стоит галка «Отображение скрытых папок» могут также увидеть, что папки были скрыты. Мы уже знаем, что вирус водит нас за нос. Тем не менее, пропускание флэшки через любой антивирус дает результат – тело вируса будет нейтрализовано, фэйковые ярлыки –удалены. Остается одна напасть — папки то скрыты! В ручную атрибуты файла не поменять. Нужно делать это программно. Самый простой способ –использовать системную команду Windows attrib. Она использует ряд параметров и может изменять различные атрибуты файлов. Как ее использовать можно найти в справке Windows. Просто я не хочу дублировать иноформацию. Я использовал эту команду в своем батнике-утилите. Любопытные могут посмотреть там. Итак, сделав видимыми нужные папки, нам нужно предпринять шаги по пресечению заражения. Для этого нужно создать собственный autorгn.inf. mkdir \\?\J:\AUTORUN.INF\LPT3 J здесь имя флэшки. Поменяете его на собственный путь. После запуска получим каталог с некорректным именем LPT3, находящийся в папке AUTORUN.INF — обычным способом ее уже не удалить, а значит, малварь не сможет создать файл autorun.inf, оставшись не у дел! Хотя это не дает стопроцентной защиты, тем не менее, способ весьма действенен. Вашу флэшку будет уже труднее заразить. Используя эти знания, я написал свой батник, который проделывает все эти действия. Скачать вы его можетездесь. Кидаете утилиту в корень флэшки и запускаете ее, нажимая на конопки, когда она этого попросит. Данная утилита исправит последствия вируса, однако, как я и говорил, надежной защиты не даст. Заведите себе хороший антивирус и постоянно обновляйте его базу.

Вячеслав «VeGA» Головлев

Рубрика: Хакинг

Комментарии

2 комментария на “Делаем антизаразную флэшку”
  1. sergkon:

    На много проще все это сделать в Total Commander. И смена атрибутов, и создание папок. А еще надо создать файлы, одноименные папкам, создаваемым вирусом (хоты бы recycler, recycled). Кстати все это еще и наглядно. В Тотале выбрать «Показывать системные и скрытые файлы»

    • Вячеслав "VeGA" Головлев:

      Проще, но не интересно. Ряд моих читателей хотят стать программистами. Поэтому гораздо лучше, чтобы они освоили написание bat-скриптов

Добавить комментарий

Внимание! Не будут добавляться комментарии в виде откровенного спама или прямого анкора на свои сайты. Все спамеры будут передаваться в базу Akismet

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: