• 23724
  • 335
  • 37
Нравится блог?
Подписывайтесь!

Панацея для флэшки

Давненько я не писал, из-за отсутствия времени.

Сегодня хотелось бы рассказать вам, о том, как противостоять тем вирусам, которые распространяются через файл autorun.inf. Все мы знаем, что при включенном автозапуске (по умолчанию он включен), Windows автоматически считывает данные с autorun.inf, и мы по ошибке можем при открытии флэшки запустить вирус.

Как это лечить? Вы конечно можете купить флэшку с джампером r/w only, но это не решение.

Для начала вам нужна флэшка с FS FAT32. Читая инфо про структуру файловой системы, мы можем увидеть, что бит 0x40 означает device bit. Т.е. с помощью проводника нельзя удалить, изменить, открыть такой файл. Нам понадобится hex редактор, для того, чтобы напрямую открыть флэшку в нем (предварительно сделайте бэкап данных). Заранее создайте файл autorun.inf и ищите среди всего мусора в hex'е строчку autorun в НЕ Unicode. Когда вы его найдете, он будет выглядет примерно так:

 

41 55 54 4F 52 55 4E 20 49 4E 46 20
A U T O R U N I N F

 

Первые семь байтов - это имя файла, далее пробел и расширение файла. А вот последний бит (0x20 означает archive bit). Вот его нам стоит поменять на 40 (0x40)

 

41 55 54 4F 52 55 4E 20 49 4E 46 40
A U T O R U N I N F @

 

Теперь размонтируем флэшку и заново примонтируем. Не думаю, что у вас получится удалить файл :) И заразе тоже это не удастся. Удачного дня!

 

P.S. Это не спасение от вирусов, которые инфицируют PE заголовки.

frost_uw
7 апреля 2009, 8:51
853

Загрузка...

Комментарии

Werser
0
0
Достаточно создать директорию с именем "autorun.inf"
А что мешает вирусу удалить его?
Werser
0
0
Могу только догадываться, выяснять некогда.
Этот способ у меня работает порядка двух лет.
везет вам :) На моей практике встречаются те, которые сначала удаляют, а потом заново создают :(
А можно мне один такой на какой-нибудь фейлообменник?
Я подозреваю, что используются функции winapi, которые в принципе не удаляют директории. Хочу проверить на досуге свои догадки.
как подхвачу, так сразу скину :)
юзаю такой способ уже год с небольшим, действительно помогает.
GN_
0
0
KB967715 www.microsoft.com
И отключить либо через реестр, либо через политику )
А если я не дома, и на том компе запущен автозапуск?
p1ay3r
0
0
у меня на всех на всех локальных и флеш дисках программа USBguard создала директорию "autorun.inf" в которой лежит ридми от USBguard и файл который не удалить))
аха :) Правда, через Total Commander удаляется :)
Хм, а что мешает поставить нормальный антивирус? Ставьте и никаких проблем.
Не всегда в универах, школах, инэт-клубах есть антивирус, не всегда... Так что лучше так, что бы наверняка :)
Чаще всего этот способ используется малой частью вирусов, а в тех местах, которые вы указали, вирусов обычно не один и не два. Так что это слабый финт. Лучше позаботьтесь о своём домашнем компьютере, а на общественные еста забейте. Хотя я и почистил и защитил свой компьютер в компьютерном классе университета.
А дома мне не от чего защищаться :) freebsd + debian делают свое дело :) А этот пост я написал для того, чтобы поделится с людьми очередным способом борьбы с такой заразой. Каждый вправе знать.
Кстати чем не вариант?
Если уж суете свою флешку куда не надобно, проверте потом ее антивиром перед запуском. Авторан уж отключить не проблема, в Висте 5 раз спросит, прежде чем запустить.
повторяю, это я не написал потому что у меня с этим проблемы, а потому что может быть людям пригодится. Со стороны выглядит так, будто все думают, что я излил вам душу, и все мне советуют, что делать. Если вам это не пригодилось, может пригодится другим.
Жомарт просто предложил альтернативу Вашему варианту.
Я его поддержал. Не нужно в штыки воспринимать. Каждому свое.
Darmen
0
0
Есть очень хорошая программка, с помощью которой можно "вакцинировать" флешку.
Panda USB and AutoRun Vaccine - murl.kz
Защищает файл autorun.inf от записи.
проблема в том, что не везде эти программы есть
kren
0
0
Кстати, та что от панды, вакцинирует именно вышеописанным способом
masya
0
0
в тотал команедере удалил руками файл и все
kren
0
0
Я форматнул флеху в NTFS и запретил занись в корень.
frost_uw ну зачем тут hex редактор? Поставил флешку жми шифт,открой Тотал коммандер и снеси ауторан.инф и рестарт...
а для того, чтобы вирус не смог autorun.inf перезаписать на свой. В итоге при дабл-клике на флешку по умолчанию не запустится бинарник вируса.

(сейчас это уже не актуально, так как вирусы начали распространятся через багу в lnk файлах
narken
0
0
Ловите прогу и забудьте про аутораны. www.exnax.narod.ru Помогает реально. Притом бесплатно и разработчик из Казахстана. Точнее Байконур.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Что дал Казахстану переход к трехступенчатой судебной системе?

Что дал Казахстану переход к трехступенчатой судебной системе?

С 1 января 2016 года Казахстан перешел на трехступенчатую судебную систему. Данные изменения действуют уже более 8 месяцев, и в данной публикации мы попробуем разобраться, что это дало Казахстану?
RuSnake
вчера / 11:50
  • 10949
  • 1
В октябре 2016 года состоится VII съезд судей Казахстана

В октябре 2016 года состоится VII съезд судей Казахстана

Проведение съездов судей позволяет принимать стратегические решения по вопросам развития судебной системы и способствует укреплению принципов независимости судейского сообщества.
elawkz
23 сент. 2016 / 13:45
  • 10575
  • 0
О законе законов: Замолвите слово о справедливости

О законе законов: Замолвите слово о справедливости

Акимат г. Астаны предлагал собственнику компенсацию...4 тенге 13 тиын за землю. Потолкуем о справедливости?
mirabeisenova
23 сент. 2016 / 16:39
  • 10249
  • 5
Тебе не повезло – ты родился мужчиной в Казахстане. Пародия по мотивам «Письмо дочери»

Тебе не повезло – ты родился мужчиной в Казахстане. Пародия по мотивам «Письмо дочери»

Весь день сверкал в фейсбуке пост Дамира Баймолдина о нелегкой доле казахстанских женщин. Ну, и я решил внести свою лепту в душетрепещущую тему.
distemper2011
19 сент. 2016 / 11:18
  • 11706
  • 30
Я –живой пример того, что для начала собственного дела не нужны большие деньги

Я –живой пример того, что для начала собственного дела не нужны большие деньги

Сегодня утром ко мне позвонила тетя и сообщила, что хочет открыть свое дело, но не знает с чего начать и не уверена, хватит ли ей первоначального капитала. Вы не представляете, как она удивилась, когд
toskanbayev_a
21 сент. 2016 / 16:45
  • 9742
  • 27
Тохтар Тулешов: Чистосердечное признание. Кто слил в сеть?

Тохтар Тулешов: Чистосердечное признание. Кто слил в сеть?

Ведется расследование в отношении лиц, причастных к распространению снимков чистосердечного признания Тохтара Тулешова в сети...
TangoInHarlem
19 сент. 2016 / 17:25
  • 8689
  • 11
Кызылорда: перезагрузка, или что изменилось за последние несколько лет

Кызылорда: перезагрузка, или что изменилось за последние несколько лет

В преддверии Дня города мы решили вспомнить, как росла и развивалась наша родная Кызылорда в последние годы. Хотим поделиться своей любовью к родному городу с читателями Юви в этой фотоподборке ...
socium_kzo
22 сент. 2016 / 10:09
  • 6463
  • 6
Сватовство в Казахстане или Заберите скорее мою дочь к себе

Сватовство в Казахстане или Заберите скорее мою дочь к себе

Всю мою сознательную жизнь мне приходилось ходить в гости. В гостях неплохо, не спорю. Бесплатная еда и напитки. В особо продвинутых семьях ещё предоставляются услуги Free Wi-Fi. В особо весёлых...
almatinec_92
23 сент. 2016 / 9:33
25 годовщину независимости от колониального гнета Киргизия встретила вот так...

25 годовщину независимости от колониального гнета Киргизия встретила вот так...

Трехлетний Исхак стал звездой киргизских СМИ и соцсетей на прошлой неделе. Его фотография, спящего на улице среди окурков на картонке, вызвала шок в обществе. В принципе это подобное фото можно...
Shpak
20 сент. 2016 / 15:52