| Джефферсон | Дата: Суббота, 18.10.2014, 01:11 | Сообщение # 1 |
 Председатель комитета начальников штабов
Группа: SEAL
Сообщений: 15263
Награды: 50
Репутация: 539
Статус: Offline
| В этой теме пойдёт речь об одной из самых актуальных проблем современной IT-безопасности - заражении персональных компьютеров вирусами, использующих для своего распространения подмену Autorun.inf современных USB-накопителей. Также будет рассмотрен процесс защиты флешек с помощью программы POLYGON51 AGENT с индексом версии 2.0.17.0 или выше
Общие сведения
Итак, каким же образом происходит инфицирование компьютеров и накопителей? Дело в том, что по умолчанию в корневой папке любого USB-диска находится специальный скрытый файл Autorun.inf системного назначения - с его помощью Windows определяет параметры автозапуска при подключении флешки к USB-порту (или же просто при подключении любого диска к ПК). В частности, в этом файле содержится информация (путь) к исполняемому файлу (программе), который следует запускать автоматически при подключении носителя информации.
С бурным ростом в последние 10 лет распространённости USB-накопителей многие вирусы стали использовать описанный выше функционал как для внедрения в систему (заражение ПК), так и для распространения (заражение USB-накопителя). В частности, такой способ использует Conficker - один из наиболее опасных по сей день компьютерных червей. Он и аналогичные ему вредоносные программы, проникнув на незащищённый компьютер, начинают мониторинг новых носителей информации. В случае, если к компьютеру подключается USB-флешка, вирус записывает себя на неё и модифицирует Autorun.inf таким образом, чтобы путь к запускаемой автоматически программе вёл именно на исполняемый файл вируса.
Проще говоря, вирус, находясь на заражённом ПК, использует USB-флешки как "переносчик заразы" - при подключении инфицированных флешек к "здоровым" компьютерам они тоже становятся "заразными", развивая масштабы эпидемии.
Вакцинация ПК
Как же защитить свой ПК от USB-угроз? Прежде всего, следует проверить наличие последних версий пакетов обновления для вашей операционной системы - SP3 для Windows XP, SP2 для Windows Vista и SP1 для Windows Seven. Далее следует принудительно отключить выполнение Autorun со всех типов накопителей. Сделать это можно при помощи программы POLYGON51 AGENT. Для этого следует перейти на вкладку "Инструменты" и щёлкнуть по кнопке "Отключить автозапуск с USB-drive"
Скриншот:
После этого компьютер перестанет самостоятельно искать на дисках всех типов файл Autorun.inf и выполнять прописанные в нём действия.
Примечание: Автозапуск может сработать при двойном щелчке по пиктограмме диска в окне "Мой компьютер". Более безопасный способ - щёлкнуть правой клавишей мыши и выбрать пункт "Открыть" или "Проводник". Старайтесь поступать именно так при подключении к своему ПК "чужих" флешек.
Вакцинация USB-Drive
С USB-накопителями дела обстоят чуть сложнее - 100%-го метода защиты здесь нет. В целом, защита в данном случае направлена на запрет изменения заведомо "чистого" файла Autorun.inf, зависит от файловой системы диска и препятствует его инфицированию с высокой степенью надёжности. POLYGON51 AGENT самостоятельно способен определить тип файловой системы и предпринять наиболее оптимальные меры.
Примечание: Все процедуры вакцинации следует выполнять на "здоровом" USB-накопителе, в идеале - предварительно полностью отформатированном!
FAT 32
Как правило, USB-флешки и карты памяти всех типов (в отличие от USB-HDD, которые также подвержены риску заражения) отформатированы с использованием именно этой файловой системы ввиду поддержки её большинством типом устройств (к примеру, автомагнитол или цифровых фотоаппаратов). Для проведения процедуры вакцинации следует перейти на вкладку "Инструменты" программы POLYGON51 AGENT и нажать на кнопку "Поставить защиту". В появившемся окне необходимо указать диск, который вы хотите защитить, и нажать на кнопку "Сохранить". Далее от вас не потребуется никаких действий - программа всё выполнит самостоятельно.
Скриншот:
Методика защиты заключается в создании защищённой от удаления папки Autorun.inf, содержащую подпапку с некорректным именем - удалить её стандартными средствами невозможно. При настройках Проводника Windows по умолчанию визуально эта папка не будет видна - проверить её наличие можно, создав в корне диска новую папку и попытавшись переименовать её в "Autorun.inf" - компьютер должен сообщить об ошибке:
Кроме того, ошибка должна возникнуть и при попытке удалить защищённую папку:
Если, по каким-либо причинам вы захотите убрать защиту - произведите аналогичную процедуру, нажав на кнопку "Снять защиту".
NTFS
USB-носители большого объёма (например, USB-HDD) часто форматируются с использованием файловой системы NTFS. Процедура вакцинации в данном случае более сложная, однако позволяет практически полностью исключить поражение диска вирусом.
Методика защиты в данном случае двухэтапная. На первом этапе следует предпринять действия, идентичные методу защиты при использовании FAT 32 - следует перейти на вкладку "Инструменты" программы POLYGON51 AGENT и нажать на кнопку "Поставить защиту" с последующим выбором защищаемого диска. Однако теперь процедура будет иной - на диск устанавливается специальная "пометка", позволяющая идентифицировать ваш диск в окне "Мой компьютер". В случае, если произойдёт заражение, вы сразу увидите это - установленная отметка пропадёт.
Скриншот:
Для обеспечения максимально высокой защиты флешки можно дополнительно пройти второй этап вакцинации, редактируя права доступа к корневому каталогу. Для этого выполните пошагово следующую инструкцию:
1). В корневой папке USB-диска создайте папку с любым именем, где вы будете хранить данные, к примеру, "DATA" (в корневой папке их будет хранить нельзя - она станет защищённой от изменения);
2). Щёлкните правой клавишей мыши по значку созданной папки и выберите пункт "Общий доступ и безопасность", затем перейдите на вкладку "Безопасность" и нажмите кнопку "Дополнительно";
Скриншот:
3). В появившемся окне снимите флажок с пункта "Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне". В появившемся окошке нажмите на кнопку "Копировать", а затем закройте оба окна, нажав "ОK";
Скриншот:
4). По аналогии со вторым пунктом щёлкните правой кнопкой мыши по значку USB-носителя в окне "Мой компьютер" и выберите пункт "Общий доступ и безопасность", затем перейдите на вкладку "Безопасность";
5). Выделите строку "Все". В столбце «Разрешить», поставьте флажки напротив следующих пунктов: "Чтение и выполнение", "Список содержимого папки" и "Чтение". В столбце "Запретить" поставьте флажок напротив пункта "Запись" и согласитесь со всеми изменениями.
Скриншот:
Для проверки произведённых изменений достаточно попытаться создать новую папку или файл в корне диска USB-накопителя - при правильных настройках прав доступа компьютер сообщит об ошибке:
The world, the theater, the dream... The battlefield...
Загрузить последнюю версию Агента: Ссыль
Сообщение отредактировал Джефферсон - Суббота, 18.10.2014, 16:31 |
| |
| |
| Совушка | Дата: Воскресенье, 19.10.2014, 12:11 | Сообщение # 2 |
 Начальник штаба USAF
Группа: SFOD-Delta
Сообщений: 15236
Награды: 69
Репутация: 761
Статус: Offline
| Пипец как все сложно! Мой моск чуть не взорвался. 
Всё время думать одну и ту же мысль нельзя! Это очень вредно! От этого можно соскучиться и заболеть.
м/ф 38 попугаев
|
| |
| |
| Джефферсон | Дата: Воскресенье, 19.10.2014, 13:17 | Сообщение # 3 |
|
Председатель комитета начальников штабов
Группа: SEAL
Сообщений: 15263
Награды: 50
Репутация: 539
Статус: Offline
| Цитата Совушка (  ) Пипец как все сложно!
Две кнопочки нажать сложно? 
The world, the theater, the dream... The battlefield...
Загрузить последнюю версию Агента: Ссыль
|
| |
| |
| Совушка | Дата: Воскресенье, 19.10.2014, 20:11 | Сообщение # 4 |
|
Начальник штаба USAF
Группа: SFOD-Delta
Сообщений: 15236
Награды: 69
Репутация: 761
Статус: Offline
| Цитата Джефферсон ( ) Две кнопочки нажать сложно?
А флешку вставить? Это же не промахнуться нужно.
Всё время думать одну и ту же мысль нельзя! Это очень вредно! От этого можно соскучиться и заболеть.
м/ф 38 попугаев
|
| |
| |
