Доброго времени суток друзья. На этом сайте вы можете найти много статей о такой напасти как компьютерные вирусы, о борьбе с ними и профилактике призванной не допустить заражения вашей системы. Совсем недавно появились две статьи посвященные защите съёмных носителей от вирусов (в простонародье флешек). Вот ссылки на эти статьи Защита флешки от вирусов. Часть 1 и Защита флешки от вирусов. Часть 2. В обоих этих статьях не раз упоминается термин «автозагрузка«, а по английски autorun.
Я вкратце описывал в тех статьях принцип работы автозагрузки и использование её вирусами в своих целях. Сегодня я бы хотел познакомить Вас по ближе с таким видом вирусов как autorun вирусы, чтобы вы уже не боялись и не паниковали при возникновении ситуаций, когда на флешке вдруг появляется файл с названием autorun.inf или что то подобное. После этой статьи выйдет третья по счету статья из цикла «Защита флешки от вирусов«, в которой вы узнаете об утилите защищающей вашу систему от авторун вирусов, проникающих в неё с флешь-накопителей, т.е. флешек. Ну, а в данной статье вы узнаете как о самом вирусе, так и о признаках заражения системы и флешки, а также источниках заражения. Поехали…
Autorun-вирус. Функции файла autorun.inf
Функция файла autorun.inf (в перев. с англ. auto – автоматический и run – запуск) в операционной системе Microsoft Windows заключается в автоматическом запуске программ и приложений со съёмных носителей. Вы спросите «А зачем это нужно?» А я вам отвечу: «А нужно это для нашего с вами удобства при установке драйверов и программ с накопителей». Такие файлы бывают практически на всех дисках, на которых записаны драйвера или другое программное обеспечение.
По своей структуре файл autorun.inf делится на блоки, параметры и значения. По своей сути файл autorun.inf указывает системе какое приложение необходимо запустить при подключении флешки к компьютеру. Для этого в нем достаточно прописать две строки:
[autorun]
open = имя_файла
Где: [autorun] – имя блока, open – имя параметра, имя_файла – значение, котрое содержит путь к исполняемому файлу — приложению.
Autorun-вирус. Как он действует?
Из описания функций файла autorun.inf т.е. автозагрузки нам понятно, что по своему предназначению изначально оно носит безобидный характер. Но, смекалистые вирусописатели стали использовать файл автозапуска как эффективный способ распространения вируса worm win32 autorun. Файл autorun.inf сам не является вирусом, он является лишь пусковым механизмом для autorun червя.
Autorun вирусами называются вирусы, распространяющиеся методом копирования исполняемого файла (т.е.своей копии) на съемные носители и прописывающиеся в файл автозапуска autorun.inf. Заражению подвергаются абсолютно все съёмные накопители (флешки, цифровые камеры, mp3-плееры, микро флешки и прочие устройства), если их не защитить должным образом от записи на диск (о том как их защитить я писал в этих статьях).
Autorun-вирус. Признаки заражения флешки.
Следует заметить, что наличие файла автозапуска на CD диске или флеш накопителе, не всегда указывает на его заражение вирусом. Например на CD-диске с игрой, наличие такого файла указывает скорее всего на то, что на диске присутствует инсталлятор игры. Но все же, наличие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) скорее должно вызвать у вас подозрение, так как в большинстве таких случаев с большой долей вероятности это означает, что на флешку проник autorun-червь.
Вот вам пример зараженного съемного диска:
autorun.inf jwgkvsq.vmx
На рисунке мы видим скрытый файл autorun.inf и скрытую папку RECYCLER. Из открытого программой «блокнот» файла автозапуска видим, что в нем прописан запуск файла по названием jwgkvsq.vmx (worm win32 autorun) из папки с флешки под названием RECYCLER. Эти файлы невозможно увидеть, при стандартной настройке Windows. Чтобы иметь возможность видеть скрытые файлы и папки делаем следующее:
Жмем Пуск —> далее Панель управления —> далее Параметры папок (в XP «Свойства папок»). В открывшемся окошке переходим во вторую вкладку «Вид«. Здесь в самом конце, внизу переставляем кнопку с «не показывать скрытые файлы, папки и диски» на «показывать скрытые файлы, папки и диски«.
Теперь мы не пропустим скрытые файлы и папки. Если вы увидели на флешке файл autorun.inf попытайтесь его открыть. Если при такой попытке система выдает сообщение о том, что доступ к файлу невозможен, то велика вероятность заражения системы вирусом worm autorun, который заблокировал доступ к этому файлу.
Autorun-вирус. Признаки заражения системы.
Большая часть autorun вирусов, проникая в систему, как правило меняют конфигурацию системы таким образом, чтобы пользователь не мог каким либо образом противостоять угрозе. Вот самые распространенные из них:
- При запуске диспетчера задач Windows появляется сообщение «Диспетчер задач отключен администратором» (о том как исправить такую ситуацию читайте в статье Диспетчер задач отключен администратором. Решение).
- При запуске редактора реестра Windows появляется сообщение «Редактирование реестра запрещено администратором системы».
- На дисках создается скрытый файл autorun.inf, а при удалении создается снова.
- Невозможно открыть или удалить файл autorun.inf. Windows сообщает, что доступ к файлу невозможен.
- При попытке открытия диска открывается диалог «Выберите программу для открытия этого файла»
- При попытке открытия диска он стал открываться в отдельном окне;
Из меню Проводника (в Xp) Сервис исчез пункт Свойства папки.
Autorun-вирус. Источники заражения.
Основными источниками заражения вирусом worm win32 autorun стали внешние накопители, так их стали использовать повсеместно и бесконтрольно. У каждого современного пользователя компьютером, есть своя флешка, свой цифровой плеер, цифровая камера с картой памяти и конечно же телефоны с микро-флешками. Проблема в том, что мы пользуемся этими устройствами бесконтрольно в различных местах и на различных компьютерах. Часто эти компьютеры не защищены антивирусом, не поддерживается актуальность антивирусных сигнатур. Таким образом любой из таких зараженных компьютеров может стать источником заражения вашего съёмного носителя, а в последствии и вашей системы. Источниками заражения к примеру могут быть:
- фотолаборатория, куда вы отдавали флеш-карту для распечатки фотографий;
- компьютер на работе;
- компьютер ваших друзей, где вы в гостях может быть подключали флешку;
- интернет-кафе и подобные публичные места.
В следующей статье я расскажу вам как защитить свою систему от флешки зараженной авторун вирусом.
Заключение:
Есть много способов защититься от autorun вирусов да и от всех других вирусов и напастей. Но я основным оружием против вирусов все же считаю элементарную осторожность, которой стоит придерживаться везде — в интернете ли, в гостях у друзей ли или в интернет кафе. Ну, а в сочетании осторожности с методами защиты флешки от вирусов, которые я описывал на этом сайте в предыдущих статьях, думаю вам не страшны ни какие авторун вирусы и всякие троянские кони с червями. 🙂
«Есть замечательная бесплатная антивирусная утилита "Зоркий глаз"
Советую всем.»
Посмотрите дополнительно тут
http://knowpc.ru/bezopasnost/autorun-virusy-sut-puti-zarazhenija-i-sposoby-borby/