Nagits's Blog

Здесь я расскажу, как обезопасить свою флешку от вирусов и прочей заразы..

Немножко о вирусах

Что делают вирусы, когда лезут на флешку? Они копируют свое тельце на флешку, чаще в созданную вирусом папку Recycled (легко спутать со скрытой папкой-корзиной RECYCLER, что есть на жестких дисках). А бывает, и просто в корень. К exe-файлу и папке в обязательном случае применяются атрибуты Системный и скрытый, чтобы юзеры не увидели . Но этого, разумеется не достаточно. Нужно еще прописать запуск вируса в автозапуск. Для этого пишется файл autorun.inf с параметром OPEN равным файлу вируса.

Как это делается..

Идея состоит в том, чтобы создать на флешке папку с именем ‘autorun.inf’. Однако пустую папку с именем ‘autorun.inf’ программно можно удалить или перезаписать файлом autorun.inf. Но если внутри папки ‘autorun.inf’ создать папку с запрещенным(-см. далее) именем, то ситуация для вируса кардинально меняется.

Цитирую Microsoft, MSDN:

Если вы попытаетесь создать файлы или папки со следующими именами: con, nul, prn, AUX, COM1, COM2, COM3, COM4, COM5, COM6, COM7, COM8, COM9, LPT1, LPT2, LPT3, LPT4, LPT5, LPT6, LPT7, LPT8, LPT9 (регистр букв – прописные буквы или строчные – значения не имеет), – система в таких случаях вместо введенного вами «запрещенного» имени выведет имя по умолчанию, например, Новая папка, или Текстовый документ, или Документ Microsoft Word. При этом Windows Vista, 7 выведут окно Переименование с сообщением «Указано неверное имя устройства».

Дело в том, что по «Соглашению об именованиях» http://msdn.microsoft.com/en-us/library/aa365247(VS.85).aspx эти символы и имена зарезервированы файловой системой для «внутренних» системных нужд, применять их пользователю запрещено.

Когда вирус попытается перезаписать файл (на самом деле папку) с именем ‘autorun.inf’ произойдет следующее:  перед удалением папки система должна вначале удалить все файлы и папки в самом каталоге, однако доступ к папке “autorun.inf\com1″ будет запрещен, поскольку такой путь является неверным – наименование папки com1 зарезервировано.

Короче говоря, файл то на флешку попасть может, а вот запуститься с нее или переместиться за пределы флешки нет. Таким образом никакой опасности такая “зараженная” флешка уже не представляет.

Кстати, обратите внимание на заголовок статьи, наверно теперь вы поняли почему не голову, а именно руки и ноги .

От слов к делу

Создать папку или файл с запрещенным именем с помощью проводника Windows у вас не получится, но дело увенчается успехом, если вы воспользуетесь языками программирования или обычным батником..

Создаем на флешке файл NagitsWall.bat – обычный батник, и открываем его в блокноте.

Методом копипаста вставляем и сохраняем:

rd /s /q %~d0\recycled
rd /s /q %~d0\recycler
rd /s /q "%~d0\System Volume Information"

del /f /q %~d0\autorun.inf
mkdir "\\?\%~d0\autorun.inf\com1"
attrib +s +h %~d0\autorun.inf

Запускаете этот .bat с флешки и забываете о вирусах, которые вы до этого черпали на работе или учебе.

Хотя приведенный код интуитивно понятен, я его все-таки поясню:

Вначале ищем излюбленные вирусами папки recycled, recycler (на флешке такой папки быть не должно, в отличие от хардов), System Volume Information и удаляем их.

Далее удаляем файл autorun.inf и создаем папку autorun.inf, а в ней еще одну com1 – каталог с зарезервированным системой именем. Применяем аттрибуты Скрытый (чтобы вид флешки не портить) и Системный.

Скачать bat-файл из статьи.

P.S. Кстати, если вдруг папка autorun.inf потеряет атрибут скрытый, это означает, что папку пытались перезаписать (но не смогли ), вероятно это был вирус (вспоминайте, куда сували флешку ), так что проверьте её антивирусом, или просто просмотрите корень флешки на наличие скрытых exe-шников или подозрительных скрытых папок. Повторюсь, что из-за “папки” autorun.inf вам боятся нечего – если вирус и “сидит” на флешке, то он дальше нее никуда и не денется.

Алексей Наговицын