Tworzenie pliku autorun.inf. Czy da się tak zablokować?

Triniti888 (Pawel Pieczyrak) 2011-02-04 18:42:58 UTC #1

Witam. W mojej szkole, najprawdopodobniej za przyczyną wirusów po podłączeniu pendrive od razu tworzony jest plik autorun.inf. A co by było, gdyby utworzyć pusty plik na pendrive, nadać mu nazwę autorun.inf i dać go tylko do odczytu ? Czy wirusy dałyby rade nadpisać go z takimi uprawnieniami ?

Z góry dziękuje za odpowiedź.

PWmeess (Pepe1983) 2011-02-04 19:06:45 UTC #2

Jest takie rozwiązanie opracowane przez Pandę, nazywa się dokładnie Panda USB Vaccine.

Zasada działania jest dokładnie taka jak opisałeś - program tworzy zablokowany plik autorun.inf -którego nie da się modyfikować, ani w żaden sposób usunąć (tylko przez format można się go pozbyć)

Sam korzystam z tego od chyba już 2 lat i działa świetnie - polecam!

Ściągniesz go za darmo z:

http://download.cnet.com/Panda-USB-Vacc ... 09938.html

Piotr92 (Piotrkijak) 2011-02-04 19:25:31 UTC #3

Triniti888 , wyłącz po prostu autorun w Windowsie i problemu nie będzie, albo przeglądaj pendrive;a przez total commander, lub inny program tego typu.

-- Dodane 04.02.2011 (Pt) 20:28 --

Tu masz opisane jak wyłączyć autorun dla dysków wymiennych: http://x86.pl/wylaczenie-autouruchamian ... -pendrive/

scripter1 (scripter1) 2011-02-04 20:18:54 UTC #4

Po pierwsze to trzeba zacząć od zabezpieczenia dysków przed tworzeniem takiego pliku przez wirusy sposobem opisanym przez PWmeess (tak samo zabezpiecza USBFix, chyba oba programy kasują z dysku już utworzone pliki autorun.inf) - to na wypadek przeniesienia dysku na inny komputer.

Po drugie trzeba zabezpieczyć się przed możliwością infekcji przez autoran.inf z przyniesionego przez kogoś zarażonego pena.

Metoda z wyłączeniem autouruchamiania jest skuteczna tylko na niektóre wirusy.

Lepsza jest metoda wyłączenia przetwarzania pliku autorun.inf ponieważ wtedy te pliki są ignorowane całkowicie tak że nawet nie jest wczytywana ikona zadeklarowana w tym pliku (niektóre wirusy wykorzystują bug związany z obsługą ikon które po wyłączeniu autouruchamiania nadal są wczytywane) a za to po włożeniu płyty otworzy się jej folder żeby można było przeglądać zawartość bo autouruchamianie nie jest wyłączone (według mnie to duża zaleta).

Ewentualnie jak ktoś jest paranoikiem to może zastosować wszystkie te metody razem.

W win xp aby wyłączyć przetwarzanie pliku autorun.inf należy utworzyć plik o rozszerzeniu .reg (a potem dodać go do rejestru) o następującej treści:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

Sam przetestowałem tą metodę i sprwdza się bardzo dobrze.

Dla visty i win 7 wpis będzie taki sam lub podobny (nie mam jak tego sprawdzić ale google na pewno pomoże).

-- Dodane 04.02.2011 (Pt) 21:35 --

Więcej info na temat wyłączenia przetwarzania autorun.inf (http://en.wikipedia.org/wiki/AutoRun#In ... le_mapping), na temat wyłączenia autoodtwarzania też tam jest.

Triniti888 (Pawel Pieczyrak) 2011-02-05 08:27:37 UTC #5

Problem w tym, że na komputerach w szkole nie mamy uprawnień admina, więc chciałbym już w domu zabezpieczyć swojego pendrive przed przenoszeniem się syfu.

Piotr92 (Piotrkijak) 2011-02-05 09:18:35 UTC #6

W takim razie nie ma potrzeby, bo na ograniczonym koncie wirus nie uruchomi się..

scripter1 (scripter1) 2011-02-05 10:39:39 UTC #7

Nie byłbym tego aż taki pewien, wirusy potrafią być bardzo cwane.

Poza tym jakby to co napisałeś było prawdą to by to oznaczało że tamte kompy nie są zainfekowane albo że zainfekował je ich administrator.

Triniti888 , podłącz do kompa wszystkie swoje peny i użyj Panda USB Vaccine lub UsbFix, one służą właśnie do takiego ich zabezpieczenia.

Ale dodatkowo radziłbym ci zabezpieczyć swój komputer na wypadek że ktoś przyjdzie do ciebie ze swoim zainfekowanym penem wyłączając przetwarzanie pliku autorun.inf metodą opisaną przeze mnie powyżej.

Triniti888 (Pawel Pieczyrak) 2011-02-07 11:11:43 UTC #8

Ok. Dzięki Wam za informacje.

GarrD (Dawid Czernek) 2011-02-07 15:34:01 UTC #9

Triniti888 , zastosuj program:

wykonaj pełny skan i daj log.

Triniti888 (Pawel Pieczyrak) 2011-02-11 23:09:19 UTC #10

GarrD

U mnie na komputerze jest Linux, więc te autoruny są niezbyt szkodliwe. Chcę tylko zabezpieczyć swój pendrive, aby ktoś inny nie dostał syfu przez niego.

scripter1 (scripter1) 2011-02-12 09:11:34 UTC #11

Triniti888 , w takim razie wprowadziłeś nas w błąd i ten wątek powinien być w dziale linux a nie windows.

Fakt że masz linuxa a nie masz windowsa (tak zrozumiałem z twojej wypowiedzi) znacznie komplikuje sprawę bo USBFix oraz Panda USB Vaccine są programami windowsowymi a nie dasz rady samodzielnie utworzyć takiego foldera zablokowanego przez plik o niepoprawnej nazwie (przynajmniej ja nie znam na to metody).

Możesz spróbować uruchomić te programy pod wine lub na virtualu zainstalować windowsa i pod nim je odpalić ale szczerze mówiąc nie mam pojęcia czy będą miały odpowiednie uprawnienia aby skutecznie utworzyć takie zabezpieczenie (np. linux może w locie skorygować niepoprawną nazwę na poprawną i zabezpieczenie nie będzie skuteczne).

Najlepiej by było zainstalować sobie tymczasowo na innym dysku windowsa i odpalić jeden z tych programów lub skorzystać u kogoś z takiej możliwości.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem