Система Orphus

понедельник, 26 января 2009 г.

Флешка без вирусов 2.0

В пердыдущем посте "Флешка без вирусов" я рассказывал об одном спобобе защиты флешек от авторан-вирусов.
В этот раз речь пойдет об этой же защите, но несколько улучшенной ;)

На днях пришел новый гарант. Он уже поставляется не на двд диске, как раньше, а на 16 гагобайтной флешке. Кстати, флешка у меня в убунте не захотела определяться, не стал разбираться почему. При чем тут гарант? А при том, что открыв флешку в фаре я увидел много интересных папок и файлов, это меня и навело на мысль, как улучшить защиту флешки :)

А теперь к делу =)
Как использовать:
1. Качаем скрипт тут
2. Кладем в корень флешки (плеера, жестного и т.д. гланое чтобы ФС была FAT32), именно в корень
3. Запускаем

Как это работает:
Скрипт удаляет файлы и папки с флешки (см. ниже, то что обозначено папками - это файлы и наборот). После чего, создает след. папки:
Autoexec.bat
autorun.bat
autorun.bin
Autorun.exe
AUTORUN.INF
comment.htt
copy.exe
DA.exe
desktop.ini
folder.htt
fun.xls.exe
host.exe
svhost.exe
toy.exe
winfile.exe
autorun.cmd
autorun.wsh
autorun.vb
autorun.js
autorun.vba
autorun.com
autorun.pif
autorun.ws
autorun.hta
autorun.htt
В этих папках создеется специальный файл с имененм "..", т.е. ссылка на каталог уровнем выше, поэтому эту папку просто так не удалить. К тому же файл и папка с одним и тем же именем в одном и том же каталоге существовать вместе не могут, что не дает фирусу создать файл.

А после папок создаются файлы:
Recycled
RECYCLER
System Volume Information
temp
Но файлы эти можно уже удалить через обычный Delete, как сделать их неудаляемыми я не нашел. Но они не только от вирусов помогают, но и от винды :) Думаю назначение папок с таким имененем в винде понятно и так. И естественно винда не может создать такие папки, что очень даже хорошо, особенно на внешнем жестком диске.

Далее всем файлам и папкам (естественно, которые скрипт создает) присваиваются атрибуты скрытый, системный, только для чтения. Чтобы не мозолили глаза юзерам в проводнике.


Ссылка на скрипт

Похожие статьи

20 коммент.:

sadmitry комментирует... понедельник, 26 января 2009 г., 21:59:00 GMT+2

Мне вот интересно. Раз это дистрибутив, то почему нельзя было на аппаратном уровне запретить запись на флешку ? Ну хорошо, не на аппаратном, на уровне firmware самой флешки ? И не надо городить этот огород с кучей файлов и папок. А если завтра появится зараза, создающая другие файлы ?

Angel 2S2 комментирует... вторник, 27 января 2009 г., 9:56:00 GMT+2

sadmitry, дело не в этом.
Флешки с защитой на аппаратном уровне есть, там перемычка есть, поставил ее в положение off, т.е. замок закрытый, и все, записи нет. Но такие флешки трудно сейчас найти. Я сам долго искал их, нашел одну, китайскую, но она медленная как черепаха. А вот почему производители не выпускают их я, естественно, не знаю.
firmware? А какой смысл в него встраивать защиту от записи? Если же сделать защиту и программку, с помощью которой можно будет включить/выключить запись, то какой тогда толк от такой флешки? Вирусмейкеру (вирусописателю) не составит больших проблем дезасемблезировать эту прогу и узнать как включать/выключать запись. Т.ж. можно будет и без дезасемблезирования выяснить все это. Пусть будет много разных этих прог, т.е. у каждого производителя своя, все равно толку мало будет от этого. В общем смысл нулевой.
Зараза-то появляется новая каждый час, если не минуту. Прикол в другом. Файлы и папки приведенные в этом посте, выбраны из наиболее частых, т.е. такие имена встречаются чаще, чем другие (по моему опыту), поэтому я выбрал именно их. К тому же, обратите внимение на папку "AUTORUN.INF". Если есть на флешке файл (именно файл) с таким именем, то с флешки автоматом можно запустить любой файл/программу, если не отключен автозапуск флешек в самой винде, который указан в файле "AUTORUN.INF". Именно благодаря этой папке ("AUTORUN.INF"), а ее удалить почти не возможно, вирус с флешки не запустится, т.к. не сможет создать файл "AUTORUN.INF" (немного запутанно, но думаю поймете). Т.е. получается, что другие папки, в принципе, не нужны, но хуже от них не будет, поэтому я их и включил в скрипт.
А вот файлы, которые создает скрипт, нужны для того, чтобы не возможно было создать папки с таким именем. Они особенно полезны на внешнем жестком диске (USB HDD), т.к. винда сама создает на них папку "System Volume Information" и "Recycled" (или "RECYCLER", точне не помню, т.к. виндой давно не пользовался). Первая как правило создается, если включена служба восстановления, но бывает, что даже если отключена эта служба, папка все равно создается. Вторая папка создается когда удаляешь файл в корзину, правда не всегда эта папка создается почему-то.

Что вы имели ввиду под "Раз это дистрибутив"?

sadmitry комментирует... вторник, 27 января 2009 г., 18:28:00 GMT+2

Что вы имели ввиду под "Раз это дистрибутив"?

Вы там говорили про "Гарант".
Только то, что носитель должен быть Read-Only.
Как CD/DVD. И тогда нет смысла в создании всех этих файлов и папок.

Но даже если это обычная флешка - есть возможность грохнуть папку AUTORUN.INF нестандартными средствами. Просто пока вирусмейкеры до этого не додумались.

Angel 2S2 комментирует... вторник, 27 января 2009 г., 18:44:00 GMT+2

А... теперь понятно все... =)))
Тут я с вами полностью согласен. Вот взять например мегафон/билайн-модем, он определяется как сидиром (хотя там флешка вшита) :) А у гаранта обычная флешка, точно такую же можно и в магазе купить. На флешке просто наклейка и все. А нет защиты от записи еще наверное потому, что они ведь не каждый раз будут новую флешку выдавать, а обновлять гарант на самой флешке и потом ее возвращать обратно =)


Да, папки эти грохнуть можно и через тот-же скрипт, если его немного изменить (правда я не проверял, но теоретически сработать должно) :)

Анонимный комментирует... воскресенье, 15 февраля 2009 г., 11:40:00 GMT+2

К автору:
Что первая, что вторая статья сводятся к одной фразе "правда не всегда эта папка создается почему-то". Человек, ты пишешь чтобы писАть или чтобы пИсались другие? Твои "скрипты" и решения проблем подпорками будут работать только пока вирус не начнёт меняться. Устанешь статьи катать.

Решение этой задачи не простое. А ОЧЕНЬ простое.
Слушай. Существуют флешки SDHC (скорость записи около 20 мб/с,ёмкостью до 32гб, размером с 5 рублей), в которые ВСТРОЕН переключатель защиты записи. Тебе уже смешно? Нет ещё? Тогда я расскажу дальше. А ещё существуют кард-ридеры.
Размеры их очень снизились за последнее время.
Тут тебе уже смешно, я уверен.
SDHC флешка может быть отформатирована в любой файловой системе.

Люди, не делайте каменных велосипедов!
Думайте головой!

Angel 2S2 комментирует... понедельник, 16 февраля 2009 г., 10:53:00 GMT+2

Скрипт работает, что первый, что второй, это 100%. Главное соблюдать условия: скопировать в корень флешки и оттуда запустить. Файловая система должна быть FAT32 (на более ранних не проверял, но теоретически работать должно). На NTFS папки тоже создадутся, но их можно будет удалить без проблем, через тот же FAR/TC. Хотя все папки тут не нужны, достаточно только autorun.inf, т.к. именно одноименный файл отвечает за автозапуск. Остальные делаю просто так, как говорится, на всякий пожарный, ну и чтобы каждый раз не вычищать тело вирусяг.
Скрипты не претендуют на полноценную защиту, а являются дополнением к ней. На счет "срока работы" я с тобой согласен. Но... за все время использования этого метода защиты, а начинал я с простого создания папки autotun.inf через проводник, мне еще ни один вирус не попадался, который обходил эту оборону. А флешку я втыкаю в оооооочень большое кол-во разнообразных компов, в т.ч. в те, где есть вирусы на все 100% (не в моей компетентности их вычищать), например, интернет-кафе (админам говорил, а им хоть бы хны).

Твой метод меня рассмешил, да! Но не по той причине, по которой ты ожидал, а по другой. По какой? Глупость!!! Да-да, именно глупость твоего подхода. И вот почему:
Допустим ты пришел к другу Васе переписать фильм, снял защиту, закатал фильм и довольный до чертиков. А у этого Васи как раз есть вирус, который закатался тебе на флешку, пока защита от записи была отключена. Хорошо, у тебя комп защищен как следует, автозапуск флешек отключен и т.д. и т.п. Но(!) ты не пошел сразу домой, т.к. тебе позвонил Петя и попросил помочь решить проблему с компом, поэтому ты направился к нему. Посмотрев, что с компом, тебе понадобилась программка с твоей флешки. Ты ее втыкаешь и... вауля... ты подарил Пете вирус, который принес от Васи (оказалось, что у пети не отключен автозапуск флешек).
Про shift можешь помолчать, я знаю про него. Но так же знаю, что этот фокус можно обойти и даже видел малварь, которая этот трюк проворачивает. И кстати, простое отключение автозапуска с дисков через реестр тоже обходится. Помогает только если через реестр запретить винде читать файлы autorun.inf, но тогда и CD/DVD приводы лишаются автозапуска.
Получается, что твой подход работает только до того момента пока ты защиту от записи не отключишь, а рано или поздно все равно придется отключить на какое-то время и, возможно, потом забудешь включить. Хотя... признаюсь честно: иногда такой подход оправдан, но не всегда реализуем (читай след. абзац).

Про флешки с защитой от записи я, кстати, писал, читать надо внимательнее. Эти SDHC флешки (точнее карты памяти) не у всех есть, картридеры тоже не все любят. Многие (точнее большинство) предпочитают обычные флешки, в т.ч. я, к тому же почти у всех они уже есть. А что с ними делать? На помойку выкидывать? Вот для этого мой метод будет хорош и является даже лучшим вариантом на сегодняшний день. К тому же с моим методом такой ситуации как в примере с Васей-Пашей не вышло бы (я имею ввиду только авторан-вирусы). Хотя совместить твой и мой подходы ни кто и никому не мешает, будет только лучше.

По твоему комменту еще такое впечатление складывается, что ты считаешь, что обычные флешки нельзя отформатировать в любую файловую систему... нндааа... К твоему удивлению МОЖНО!!! У меня флешка на 8 гигов с 3 разделами ext2, NTFS, FAT32 для linux'а, рабочих виндовых "админских" программ, всего остального, соответственно. NTFS настроен на запрет чтения (точнее вообщем туда доступ закрыт) из корня для всех, что является не плохой защитой от чайников и ламеров (вдруг забуду флешку или надо будет отойти и оставить флешку в компе, а у меня там есть программы, с помощью которых можно напрочь убить винду, если руки кривые), а заодно и вирусы не доберутся до файлов, пока защиту не снимут, а умеют это делать еще далеко не все, очень далеко. Как же тогда я сам захожу на этот раздел? Очень просто: Пуск -> Выполнить -> X:\folder -> [enter]. ext2 винда не видит, следовательно вирусы курят в сторонке, зато полноценный линукс на флешке всегда под рукой, а благодаря этому, если есть подозрения, что машина вирусована, я всегда могу перезагрузить почти любую машину, загрузиться в линуксе с флешки и забрать все что мне надо с этой машины.

Анонимный комментирует... пятница, 6 марта 2009 г., 10:29:00 GMT+2

Спасибо огромное! У меня поселился вирус Autorun.exe, форматирование его не убивало, твое решение помогло! :) БЛАГОДАРЮ!

Angel 2S2 комментирует... пятница, 6 марта 2009 г., 10:46:00 GMT+2

Не за что :)
Но(!) форматирование убивает все, что есть на диске/флешке. У тебя проблема в другом: вирус живет в твоей системе и после форматирования заново записывается на флешку. А этот скрипт (ProtectAutorun.cmd) создает "неудаляемую" папку Autorun.exe и поэтому вирус не может записать файл.
Проверь систему!!!

Вот линки на две лучших бесплатных антивирусных утилиты (имхо):
http://avptool.virusinfo.info/ - бесплый антивирусный сканер от каспера
http://z-oleg.com/secur/avz/download.php - утилита avz, это не антивирь, но очень хорошо выявляет всякую гадость в системе, в т.ч. руткиты

Анонимный комментирует... четверг, 12 марта 2009 г., 14:37:00 GMT+2

Респект автору за проделанную работу!

Анонимный комментирует... четверг, 26 марта 2009 г., 18:49:00 GMT+2

скрипт запускаю но он мне не чего не создает!!!
запускаю в Ubuntu 8.10

Angel 2S2 комментирует... четверг, 26 марта 2009 г., 18:55:00 GMT+2

Скрипт надо запускать из под Windows, только из под Windows, т.к. это обычный cmd скрипт винды. Еще важно, чтобы файл лежал в корне флешки.

FagotAdmin комментирует... понедельник, 13 апреля 2009 г., 13:04:00 GMT+3

Молодчага, на моей страничке я вылаживал нечто подобное и не только для флэш, но и для системы.
Почитай посмотри скрипты, может что нужное найдеш для своего.

FagotAdmin комментирует... понедельник, 13 апреля 2009 г., 13:05:00 GMT+3

И еще одно уважаемые чайники, если не в силах защитить хоть как то свои флэшки, слушайтесь хотя бы старших по званию...

Angel 2S2 комментирует... понедельник, 13 апреля 2009 г., 13:16:00 GMT+3

Спасибо, посмотрю на досуге :)

За комплимент и поддержку респект и уважуха :))

Анонимный комментирует... вторник, 8 декабря 2009 г., 5:16:00 GMT+2

Папки очень даже удаляемые, а автор, судя по всему очеь высокого о себе мнения...
Данный скрипт не единственный в своем роде
USB_Anti_Autorun
MiniAntiAutorun
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=31652&start=0#lt
AutoStop
Ссылку не помню, google в помощь.

если снимаете атрибуты через
attrib -s -h -r autorun.*
то зачем перечислять по отдельности Все autorun'ы???
Аналогично по удалению файлов
Чем вообще объясняется такое количество папок?
Эпицентр распространения вирусов - Файл AUTORUN.INF, достаточно вместо него создать папку...

Angel 2S2 комментирует... вторник, 8 декабря 2009 г., 10:50:00 GMT+2

Про названные вами скрипты я знаю и очень даже давно. Когда я впервые сделал этот скрипт, т.е. за долго до того, как опубликовал (тогда я еще не вел блог), мне еще не попадались подобные на глаза. А на счет высокомерия вы глубоко ошибаетесь.

Файлы удаляемые, да. Но вот папки просто так не удалишь, даже со снятыми атрибутами! Справедливо это для ФС FAT32, но на NTFS все удаляется без проблем.

Так много файлов сделал просто от балды... Точнее уже не помню зачем.
А... Вспомнил: т.к. скрипт писал в первую очередь для себя, то сделал эти папки, т.к. вирусы с такими именами мне попадались наиболее часто и мне попросту надоело каждый раз удалять эти файлы.

Ну а такие файлы - Recycled, RECYCLER, System Volume Information, temp - и папка - desktop.ini - тоже не помешают, т.к. там очень любят размещаться вирусы, а флешка же имеет ограниченный цикл перезаписи (не спорою, вири не много пишут, но все же). А вот через файл desktop.ini вири тоже могу распространяться, за счет иконок (*.ico).

F@got@dmin комментирует... вторник, 8 декабря 2009 г., 11:26:00 GMT+2

To Анонимный

Да, и папки и файлы можно удалить. Но есть одно НО! Многие черви и трояны которые сейчас буйствуют не умеют пока сносить такую защиту. Это конечно пока, но время выиграно, и пока в 95% случаев эта защита работает.
Не нужно судить автора, он старался для всех. Лучше напишите что то свое, что действительно по вашему мнению более действенная защита.

Angel 2S2 комментирует... вторник, 8 декабря 2009 г., 11:31:00 GMT+2

В продолжение коммена от F@got@dmin:

Удалить можно все, что угодно :) Тут действует закон: "Все, что сделано человеком, человеком может быть и сломано" :) Поэтому любая защита (не только в компах) это всего-лишь временное решение.

Действительно, анонимус, если вы считаете, что подобную защите реализовать можно как-то более лучшим образом, то напиши свой скрипт/утилиту/тулзу...

Анонимный комментирует... среда, 9 декабря 2009 г., 6:52:00 GMT+2

Неудаляемые папки это хорошо, но ничего не мешает вирусу переименовать папку-файл и создать новый. Интересно, возможно ли создать файл(папку) которую даже переименовать нельзя? Или это из области фантастики?

Angel 2S2 комментирует... среда, 9 декабря 2009 г., 12:44:00 GMT+2

Да, вы правы. Но пока, лично я еще не видел малвари, которая умеет переименовывать папки такие :)

Нет ничего не возможного :) Можно сделать файл, который не только нельзя будет переименовать/удалить, но даже прочитать/скопировать/переместить, т.е. вообщем ничего с ним нельзя будет сделать. Для этого есть замечательная прога - Panda USB and AutoRun Vaccine. На хабре уже давно разжевали ее и как она работает.

Отправить комментарий