Вирусы, проникающие на компьютер через USB-накопители, используют стандартные в ОС Windows функции автозапуска программ установщиков и оболочек-меню…
Автор: Егоров Владимир, 10 класс
Руководитель: Талантов Владимир Михайлович, учитель информатики и ИКТ
Вирусы, проникающие на компьютер через USB-накопители, используют стандартные в ОС Windows функции автозапуска программ установщиков и оболочек-меню. Для борьбы с этими вредоносными объектами чаще всего используют программы-антивирусы. Но очень часто пользователи жалуются на то, что при наличии антивирусной программы произошло заражение компьютера. Это можно объяснить также тем, что разрешенные действия в операционной системе разрешены и антивирусной программе и она пропускает сам факт переноса вредоносного кода на компьютер. Возможно предположить, что используя стандартные же методы работы и защиты, предусмотренные в операционной системе Windows, можно научится избавляться от вредоносных программ еще до их переноса на компьютер пользователя и активации.
Целью работы является анализ и исследование распространения, внедрения и работы вирусов, переносимых с помощью флэш-карт и разработка рекомендаций и оптимальных методов борьбы с ними. Объект исследования — вирусы, распространяемые посредством автозапуска инсталляторов или оболочек, использующих файл autorun.inf.
Иногда при попытке открыть флэшку (или локальный диск) щелчком левой кнопки мыши появляется сообщение об ошибке, что невозможно открыть флэшку, т.к. отсутствует какой-либо файл, как правило, autorun.inf. В таком случае нужно открывать флэшку (или локальный диск), вызывая правой кнопкой мыши контекстное меню (выбрать пункт Проводник или Открыть). Такое поведение флэшки обусловлено тем, что она была заражена вирусом, прописавшим ей автозапуск для дальнейшего распространения заразы. После чего она была пролечена антивирусом (или файл autorun.inf был удален вручную), но запись об автозапуске флэшки осталась в Реестре Windows.
Следует отметить, что в последнее время очень широко распространены всевозможные USB-шные (флэшечные) вирусы, специально созданные для съемных носителей информации и распространяемые при помощи этих носителей.
Как происходит заражение. На зараженном ПК эти вирусы являются резидентными – они постоянно находятся в оперативной памяти и отслеживают порты USB на предмет подключения съемных носителей. При подключении носителя он проверяется вирусом, заражен ли он уже таким вирусом. Если нет, то вирус копирует на носитель исполняемый файл, а для автоматического запуска вируса при каждом открытии в корневой директории носителя создается файл autorun.inf.
Например, вирус создает в корневой директории носителя файл autorun.inf со следующим содержимым:
[AutoRun]
open=RavMon.exe
shell\open=ґтїЄ(&O)
shell\open\Command=RavMon.exe
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command=»RavMon.exe
При открытии флэшки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windowsключи, которые изменяют параметры запуска и открытия флэш-носссителей. Так в контекстном меню дисков вместо пунктов Открыть, Проводник – появляются пункты ґтїЄ(O), ЧКФґ№ЬАнЖч(X).
В чем заключается проблема и как ее решить. Проблема заключается в том, что после лечения флэшки (или локального диска) файл autorun.inf и ключи Реестра, созданные вирусом, остаются, и при попытке открытия носителя левой кнопкой мыши появляется сообщение об ошибке.
В таком случае открываем носитель щелчком правой кнопки мыши (из контекстного меню выбераем Проводник или Открыть). Как правило, при этом диск раскрывается. Если же появится окно Выбор программы с сообщением Выберите программу для открытия этого файла. Файл (Буква_диска), в поле Программы по умолчанию будет выделен Internet Explorer, с помощью которого можно открыть диск, щелкнув кнопку OK. Если в поле Программы нет Internet Explorer (или с его помощью раскрыть диск не удается), щелкнем кнопку Обзор… и выберем Проводник Windows (\WINDOWS\explorer.exe) –> OK –> OK. Раскрыв диск, найдем файл autorun.inf и удаляем его. Если не помогает и этот способ, тогда в адресной строке проводника набираем имя носителя (букву и двоеточие) и кнопка переход. Далее поступаем вышеописанным способом.
Эти действия должны сопровождаться стандартными процедурами разрешающими просмотр скрытых и системных файлов, изменением некоторых параметров Реестра. В процессе работы были разработаны командные файлы, скрипты и файлы реестра, которые автоматизируют процессы поиска и удаления как файла autorun.inf, так и вирусов, которые распространяются через автозапуск. Кроме этого, удалось создать файлы реестра, которые восстанавливают некоторые важные значения системы: возвращение пункта Показывать срытые файлы.., изменеие свойств флэш-носителя, открытие скрытых папок на флэшках.
Как уберечься от вирусов. Анализируя поведение вируса и способы его распространения были разработаны рекомендации, позволяющие уберечься от заражения как флэшек, так и компьютера:
1. Подключая чужую флэшку к компьютеру необходимо или полностью отключить автозапуск, или удерживать нажатой клавишу Shift – автозапуска не произойдет.
2. Включить показ скрытых и системных файлов (будьте осторожны при удалении файлов в этом случае).
3. Отформатировать флэшку в файловой системе NTFS и создать на ней защищенный от записи файл autorun.inf, который запускает на выполнение нужную Вам программу, которая хранится на флэшке (это может быть антивирус).
4. Создать на флэшке папку autorun.inf с атрибутами скрытая, системная, только для чтения (это можно сделать с помощью программ-оболочек).
5. Храните копии важной информации на разных носителях.
6. Используете для частого использования на разных компьютерах флэшки малого объема и защищенные описанными выше способами.
Признаки заражения. Первый признак «заразы» на флэшке – ниоткуда взявшиеся папки Temporary files, Common files, Temp data, $RECYCLE.BIN, а тем более файлы pagefile.sys, boot.ini и прочие. Это строго системная информация, и она может храниться только на одном разделе с Windows. На логическом диске, а тем более на флэшке, ее быть НЕ МОЖЕТ! Если же они есть, значит, это какие-то «куски» вируса маскируются. Все указанные выше файлы нужно удалить с накопителя, но будьте внимательны, НЕ удалите эти файлы по ошибке с системного раздела жесткого диска. Это может привести к краху Windows.
Разработанные в процессе выполнения работы командные файлы, файлы реестра и рекомендации по предотвращению заражения флеш-вирусами, позволяют избавиться от возможного проникновения опасных вирусов на Ваш компьютер. Мы можете смело пользоваться защищенными флэшками для переноса информации с компьютера на компьютер. Проделанная работа показала, что справиться в вредоностными программами, распространяемыми с помощью флэш-носителей, можно средствами самой операционной системы. В заключение хочется сказать, что существует еще один, абсолютный на сегодняшний день, способ борьбы не только с флэш-фирусами, но и с практически любыми вирусами – это использование альтернативных операционных систем, таких как OCLinux.
