Блокировка запуска и распространения вирусов на USB флешке (недоперевод с англ)

4 Ноя

Введение
Поскольку использование флешки становится все более и более широко распространенным явлением и вредоносные программы начали использовать их в качестве средства распространения вирусни с машины на машину, хотя это проблема самих пользователей, но представляет большую опасность для IT специалистов, которые могут использовать тот же USB Stick в десятках компьютеров в течение одного дня и часто входят с административными привилегиями в систему, тем самым давая доступ к важной информации и распространению вирусов. Эта статья предназначена для IT специалистов (и не только для них), и как они могут снизить риск передачи инфекции на другие машины.

Описание проблемы
Вредоносная программа использует два основных метода для распространения вирусов через карты памяти. Во-первых, и менее серьезный — заражает исполняемые файлы на карте памяти так, что когда они работают на другуй машине, инфекция перемещается вместе с ними. Более распространенным, и более опасным, является распространение через autorun.inf, который Windows автоматически выполняет при подключении диска (флешки), это означает, что не требуется взаимодействия с пользователем. Conficker — один из самых распространенных вирусов и это один из самых распространенных способов распространения вирусов. Можно отключить функцию автозапуска в windows, но не всегда есть такая возможность.

Решение
Поскольку мы не можем полагаться на компьютер, чтобы предотвратить выполение файл autorun.inf, мы должны делать это с флешкой. Можно купить флешку с переключателем в режим только чтения.

Однако, если на флешке ФС FAT32, которая стоит на большинстве оных, за исключением некоторых из новых флешек на 8GB+, но мы можем создать быстро исправить используя шестнадцатеричный редактор, и базовые знания FAT32 таблице каталога.

Во-первых, мы создаем пустой autorun.inf файл на флешке, затем открываем диск в шестнадцатеричном редакторе. Неважно, если вы откроете физического диска или логический раздел, но если на диске более одного раздела, то лучше сделать его последним. Убедитесь, что диск открыт для чтения / записи разрешения, и что ничего не блокирует доступ к ней на тот момент. HxD Для Windows это небольшое, портативное шестнадцатеричном редакторе, если у вас ее еще нет.

Хотя это можно сделать с дисками с данными, но это безопаснее сделать на пустом носителе на всякий случай. Если нет, то убедитесь, что у вас есть копия информации или сделайте резервное копирование, только Вы несете ответственность за потерю информации с носителя.

Затем выполните поиск на диске для струнного AUTORUN, не как Unicode текста. Она должна найти его ближе к началу диска. Области мы заинтересованы в том, как следует.

41 55 54 4F 52 55 4E 20 49 4E 46 20 A U T O R U N I N F

Первые 8 байт файла (с пробелом в конце, потому что автозапуск только 7 символов), за которыми следуют 3 байта расширение файла (РСМД), за которыми следуют один байт на атрибуты файла. Именно это окончательное байт, который является искомым.

Текущее значение байт (0x20) только в архив битом. Что мы хотим сделать, это изменить этот байт на 0x40, который устанавливает бит устройства. Блок теперь будет выглядеть следующим образом.

41 55 54 4F 52 55 4E 20 49 4E 46 40 A U T O R U N I N F @

После этого был сохранен на диске, игнорируя все предупреждения, что это может повредить диске, мы тогда монтирования и размонтирования тома. Теперь при просмотре диске файл autorun.inf, можно видеть, но он не может быть удален, открыт, не редактируются, не перезаписаны, или его атрибуты изменены.

Когда флешка используется на заражонном компьютере, она не может заразиться, потому что при копировании файл autorun.inf будет ошибка.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.