Защищаем флешки от autoran’ов

На сегодняшний день головная боль почти всех владельцев флешек — это т.н. аутораны. Сам ауторан не вирус — это файл, в котором прописаны команды, исполняемые операционной системой в момент вставки флешки в ПК и сам по себе он абсолютно не опасен.

Например, на моей флешке прописан ауторан, который запускает нужную мне программу, когда я вставляю флешку в компьютер.

Совсем другое дело, когда этот файл используется вирусописателями для своих нужд: они прописывают туда команды для запуска своих зловредных программ, и в этом случае, после запуска флешки, вирусы как блохи перескакивают на компьютер пользователя. Т. е. ауторан это спусковой крючок для запуска вирусов, ружьем же выступает флешка. Причем и сам этот файл также копируется на жесткие диски пользователя, и на ПК пользователя запускается системный процесс, который следит за usb портами, и в случае вставки незараженной флешки, всё происходит в обратном порядке — autoran прыгает с ПК пользователя на флешку. Т.к. пользователей ПК все больше и больше, владельцев флеш носителей еще больше (все MP3 плееры, карты фотоаппаратов и т. д.) эти аутораны распространяются с пугающей скоростью. Кого только не приносят ученики в школу! Всякой твари по паре — тут тебе и трояны, и сетевые черви любых модификаций и окрасов.

Естественно хорошего в этом абсолютно ничего нет. Последствия самые разные — от очередного вылета операционной системы до появления порнозапросов при работе в Интернете. Поэтому я предпочитаю бороться с этой заразой методами, скажем так профилактики. Естественно на это уходит какое то время, но оно не сравнимо с временем потраченном, например, на переустановку Windows после вирусной атаки.

Какие же способы защиты от этой гадости сущестуют на сегодняшний день?

Ну во-первых советуют отключать автозапуск как службу, дело хорошее, но если при отключенном автозапуске вы вставите зараженную флешку, то да — она не запустится, но после того, как вы ее откроете руками, вирус все равно будет у вас в компьютере.

Самое главное и простое — иметь на машине рабочий антивирус со свежими антивирусными базами, какой из них лучше — спор бессмысленный, я лично привык к Касперскому, но не могу утверждать, что он защитит мой компьютер на 100\% .

В качестве дополнительной защиты я делаю еще следующее:
открываем любое окно, в строке меню находим Сервис -> Свойства папки -> Вид и снимаем галочку с «скрывать защищенные системные файлы и папки» и отмечаем «показывать скрытые файлы и папки».

Внимание! Если вы не уверены в своей некриворукости, лучше этого не делайте — у вас на компьютере будут видны все системные файлы и папки, и если вы что-нибудь удалите не то, это может привести к краху Windows!

В чем смысл?

Например, я вставляю чужую флешку и вижу там что-то непонятное скрытое:

В ста случаях из ста это вирусы и если ваш антивирус при проверке этих папок молчит это очень плохо.
У меня пока такого не было (тьфу три раза). Естественно, я все эти непонятки всегда удаляю.

Примечание: если на вашем ПК не получается установить показ скрытых файлов и папок, то вариантов всего два: или ваша машина заражена, или она была заражена и пролечена, но следы вирусов остались. Дело в том, что многие зловреды в первую очередь блокируют показ скрытых файлов и папок и потому не видны неискушенному пользователю. Как восстановить эту функцию выходит за рамки этой статьи и обсуждаться не будет.

Также в своей практике я очень широко использую защиту флешек путем разграничения прав доступа к корню флехи. Защита работает на 100\% (на сегодняшний день) и почти все флехи, которые попадают мне в руки на работе, я от вирусов закрываю, много времени это не занимает, делается постепенно, но головной боли намного меньше.

Способ радикальный, несложный, но все что будет описано ниже вы делаете на свой страх и риск, автор не несет никакой ответственности в случае порчи или потери информации, или наступления иных действий влекущих за собой те, или иные негативные последствия.

Внимание! Ни в коем случае не применяйте описанную ниже методику для флеш-плееров, карт памяти фотоаппаратов и т. д. — только для обычных флешек!

В чем смысл защиты?

Дело в том, что в файловой системе NTFS имеется возможность разграничить права доступа. Т. е. можно выставить права для записи и исполнения только для одного пользователя и только на одном компьютере. Т. е. на другой машине будет нельзя что-то записывать и запускать — пользователь то другой! И еще одно важное замечание: авторан прописывается только в корень флешки — это то окно, которое мы видим, когда ее открываем.
Ну, а теперь представьте такую ситуацию: на корень флешки мы установили полные права для своего домашнего компьютера, за которым мы следим, на котором заведомо нет вирусов, а всех остальных пользователей на чужих зараженных машинах, мы в правах ограничили. Теперь мы вставляем нашу флеху в зараженный компьютер, авторан это обнаруживает и с радостным криком устремляется на нашу флешку, а прав для записи в ее корень у него нет! Ну невозможно это сделать! Не изобрели пока таких вирусов!

Хорошо, скажете вы, но если мне что-то потребуется записать на чужом компе? Зачем мне флешка, которой я могу пользоваться только на своей машине?
Для этого в корне флешки создадим еще одну папку, и для нее выставим для всех пользователей полные права — т. е. внутри можно будует создавать другие папки, записывать любые файлы на всех, без исключения машинах. Но ауторан, внутрь этой папки пролезть не сможет — он умеет прописываться только в корне флешки!

Последовательность действий.

1. Сохраняем с флешки всю важную информацию

2. Форматируем флеху в NTFS. Если у вас Виста, или Семерка проблем ну будет — ПКМ (правой кнопкой мыши) по флешке -> Форматировать -> Тип файловой системы NTFS.
Если у вас ХР, то тут маленько сложнее:
нужна или специальная программа, или используем командную строку, команду convert,
пример convert e: /fs:ntfs, вместо е подставляем свою букву для вашей флешки (в случае использования этой команды алгоритм действий изменится, но если вы работаете с командной строкой, то разберетесь).

Я рекомендую программу hp usb disk storage format tool. В Интернете ее найти не проблема, сама программа несложная:

В DEVICE выбираем нашу флеху, файловая система NTFS, и жмем кнопку Start

3. Идем путем уже описанным выше: Сервис -> Свойства папки -> Вид и снимаем галочку с чекбокса «использовать простой общий доступ к файлам и папкам (рекомендуется)»

4. ПКМ по нашей отформатированной флешке -> Свойства и идем в раздел Безопасность (раньше его не было)

5.Жмем Изменить и удаляем всех пользователей и все группы:

6. После удаления выбираем добавить и впечатываем своего пользователя, у меня это пользователь Root -> OK
Внимание: еще раз напоминаю, что компьютер должен быть чистым от вирусов, доверенным, за которым вы постоянно следите! И вы, естественно, должны работать с правами администратора.

7. Выставляем для этого пользователя Полные права:

8. Аналогично добавляем группу пользователей Все, но галочек никаких не добавляем, т.к. Все в правах у нас будут ограничены.

9. Создаем на флешке папку, называем ее например Рабочая и также идем Свойства -> Безопасность.
Теперь маленький финт ушами — идем в раздел Дополнительно -> Изменить разрешения

Жмем Добавить и опять впечатываем Все:

После нажатия ОК у вас появится такое окно, выставляем для Все полные права (это у нас общая папка и мы в нее на всех машинах будем записывать, все что нам потребуется) -> OK:

Снимаем галочку «Добавить разрешения. наследуемые от родительских объектов» -> «Удалить» -> OK:

Все, дело сделано! В корень вашей флешки можно записывать только на одной машине, на чужой машине можно записывать и удалять файлы только в папке Рабочая. Вы на 100\% защищены от ауторанов, по крайней мере на сегодняшний день. И естественно, на вашей доверенной машине тоже должно быть всегда чисто.

Возможно поначалу вам покажется, что все это сложно, но уверяю вас, что если вы поймете принцип защиты, то у вас будет уходить на все телодвижения не более 5 минут с перекуром, или чашкой кофе.

Подводные камни: после установки защиты вы не сможете на чужой машине пользоваться разделом контекстного меню Отправить что-либо на флешку. Для меня это не критично, привык. И еще: в файловой системе NTFS есть понятие «отложенная запись», не буду вдаваться в детали, но будьте аккуратнее при вытаскивании флешки, обязательно используйте безопасное извлечение устройства.

Удачи!

Алексей Кулагин, учитель информатики шк.№ 3 г. Нерехты Костромской области