И снова вирусы на USB-носителях

Уж сколько говорилось о вирусах на USB-носителях. Но, как оказалось, говорилось мало…

Лаборатория PandaLabs выяснила, что в 2010 году 25% всех новых вирусов было разработано специально для распространения через USB-устройства. Вредоносное ПО подобного типа способно автоматически копировать себя на любое устройство для хранения информации: мобильный телефон, съёмные жесткие диски, DVD-диски, карты памяти, MP3/4-плееры и так далее.

Собранные данные подтверждают, что подобный способ распространения угроз очень эффективен. В рамках Второго Международного исследования уровня IT-безопасности компаний среднего и малого бизнеса, проведенного лабораторией PandaLabs, были проанализированы данные о 10 470 компаниях из 20 стран мира. Выяснилось, что 48% компаний малого и среднего бизнеса (до 1000 рабочих станций) были заражены тем или иным видом вредоносного ПО в течение последнего года. В 27% случаев подтвердилось, что причиной инфицирования стало USB-устройство, подключенное к компьютеру.

А ведь чего проще – отключить автозапуск либо с помощью групповой политики либо через реестр. И хотя сведения о таком способе отключения приводились и ранее, все же рискну напомнить еще раз.

Отключение автозапуска в Windows XP

На самом деле здесь возможны два варианта. Отключение с помощью групповой политики (для Windows XP Pro) и отключение с помощью правки реестра (Windows XP Home). Рассмотрим их оба.

Отключение путем правки реестра

Так как в Windows XP Home Edition отсутствует оснастка управления групповыми политиками, то для отключения автозапуска воспользуемся правкой реестра:

  1. Пуск -> выполнить -> regedit
  2. HKLMSOFTWAREMicrosoftWindowsCurrentVersionPolicies
  3. Создать новый раздел
  4. Переименовать созданный раздел в Explorer
  5. В этом разделе создать ключ NoDriveTypeAutoRun типа DWORD
  6. Допустимые значения ключа:

6.1.                           0x1 — отключить автозапуск на приводах неизвестных типов

6.2.                           0x4 — отключить автозапуск сьемных устройств

6.3.                           0x8 — отключить автозапуск НЕсьемных устройств

6.4.                           0x10 — отключить автозапуск сетевых дисков

6.5.                           0x20 — отключить автозапуск CD-приводов

6.6.                           0x40 — отключить автозапуск RAM-дисков

6.7.                           0x80 — отключить автозапуск на приводах неизвестных типов

6.8. 0xFF — отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений.

Значения по умолчанию:

0x95 — Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)

0x91 — Windows XP (отключен автозапуск сетевых и неизвестных дисков)

Внимание: в XP Home по умолчанию этот ключ отсутствует (как и сам раздел Explorer). Для остальных версий создавать не надо, он уже есть, просто исправьте его.

Все изменения будут приняты после перезагрузки

Отключение с использованием групповой политики

Пуск – Выполнить – gpedit.msc — Конфигурация компьютера – Административные шаблоны – Система – отключить автозапуск

Для того чтобы применить групповые политики Пуск – Выполнить – gpupdate /force

Если же на вашем ПК установлена операционная система Windows 7 или Vista, то в этом случае будут небольшие отличия.

По умолчанию автозапуск с USB-устройств отключен.

Если вы используете редакции Home, то вам по прежнему нужно будет править реестр. В случае использования более старших версий вы сможете воспользоваться групповыми политиками

Параметры автозапуска в групповой политике

Пуск – в строке поиска наберите gpedit.msc и загрузите редактор групповой политики.

Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Политики автозапуска.

Отключить автозапуск

Отключает возможность автозапуска.

При включенном автоматическом запуске система приступает к чтению данных сразу же после обнаружения носителя в устройстве. В результате автоматически запускаются файлы установки программ или воспроизведение музыки для звуковых носителей.

До версии Windows XP SP2 автозапуск был по умолчанию отключен для съемных носителей, таких как дискеты (но не компакт-диски), и для сетевых устройств. Начиная с Windows XP с SP2 автозапуск включен и для съемных устройств, в том числе ZIP-дисководов и некоторых USB-накопителей.

Если этот параметр включен, то можно отключить автозапуск либо только для компакт-дисков и других съемных носителей, либо для всех устройств.

Этот параметр отключает автозапуск для дополнительных типов устройств. Параметр нельзя использовать для включения автозапуска на устройствах, на которых автозапуск отключен по умолчанию.

Не устанавливать флажок «Всегда выполнять выбранное действие»

Если данная политика включена, то флажок «Всегда выполнять выбранное действие» в диалоговом окне автозапуска не будет установлен по умолчанию при отображении данного окна.

Вариант работы автозапуска по умолчанию

Установка варианта работы по умолчанию для команд автозапуска.

Команды автозапуска, как правило, хранятся в файлах autorun.inf. Они обычно запускают программы установки или выполняют другие действия.

В версиях, предшествующих Windows Vista, при вставке носителя с командами автозапуска система автоматически исполняла программу без участия пользователя.

Начиная с Windows Vista по умолчанию выдается запрос пользователю на исполнение команд автозапуска. Команды автозапуска представлены в диалоговом окне автозапуска как обработчики.

Если разрешить данную политику, администратор сможет изменить поведение Windows Vista по умолчанию для автозапуска на:

  1. Полное отключение команд автозапуска
  2. Возврат к поведению, соответствующему версиям Windows, предшествующим Windows Vista, т.е. к автоматическому исполнению команд автозапуска.

Если отключить или не задавать этот параметр политики, система будет запрашивать разрешение пользователя на исполнение команд автозапуска.

Отдельно хотелось бы обратиться к пользователям антивируса от Лаборатории Касперского. В версиях продукта 2010 и выше есть опция, которая позволяет проверять USB-устройства каждый раз при включении. Не забудьте сделать ее опцией по умолчанию. Лучше подождать пару минут, чем потом лечиться.

Удачи вам в этом нелегком деле!

Литература

При подготовке статьи использовались материалы :

  1. www.securitylab.ru
  2. Forum.ixbt.com