"Колхозный" антивирус для сельской местности, или для флэшек

[олеком]

В сельской местности, или на предприятиях, где компьютерами заменили
печатающие машинки, возникла проблема распространения вирусов на
флэшках в ОС Windows XP. Так как даже с биологическими вирусами не всё
понятно, то что-либо объяснять, доказывать, покупать, инсталлировать,
обновлять будь-то "VBA32 Made in Belarus", будь-то "DrWeb.ru", считаю
бесполезным (но прибыльным в руках дельцов) делом. Антивирусы также не
справляются с задачей выявления и устранения последствий после
удаления вирусов. Программы для этих целей (AVZ) расчитаны только для
специалистов, а переустановка -- крайняя мера.

Стандартные настройки в "Мой компьютер" -- не показывать скрытое
содержимое и расширения/тип, каждый раз после переустановки менять не
заставишь/не объяснишь. Даже изменив "Мой компьютер" на "Проводник" и
поставив настройки, вероятность что юзер откроет файл с вирусом очень
высока.

Поэтому решил заскриптовать простейший алгоритм поиска и
предупреждения вирусов на флэшках. Каждые пол секунды проверяем список
сменных дисков, если он изменился, ищем там autorun.inf,
скрытые папки. С автозапуском понятно, второе условие для
вирусов, которые скрывают папки, и создают EXE с таким же именем и
логотипом. При стандартных настройках юзер запустит ЕХЕ, а не откроет
папку, чем заразит компьютер.

Информируем об этом пользователя, переносим подозрительные
(исполняемые) файлы в одну папку и переименовываем расширение, чтобы
случайно не выполнить. Что делать с ними дальше, решает пользователь.
Если это свои программы, то их можно забрать обратно, если это не
свои, не понятно откуда появившиеся, то удалить и всё.

Достаточно файл или ярлык поместить в Пуск/Программы/Автозагрузка.
Язык написания JScript, платформа Windows Script Host (все стандартно
для XP). Текст открыт и должен быть понятен любому человеку, знакомому
с программированием. Никаких скрытых троянов, поиска личной
информации, вылазок в интернет.

Из плюсов считаю:
* примитивность+эффективность
* открытость исходного кода
** добавляй сам любую эвристику (анализ и поиск следов, поведения
вирусов, включая сетевых), которую возможно реализовать в рамках WSH
** будь уверен в том, что лишнего скрипт не делает
* не нужно инсталировать / просить ключи и тп.
* даром (нас этим не удивишь ещё пока: )
Следить за вирусами на флэшках.wsf

[Зайцев Олег]

... и прощай спец-ПО в виде криптеров, и разных иных прочих утилит для мобильных дисков. Но не это главное - а что будет, если
- зловред успеет стратовать ? 0.5 секунды то большой срок ...
- если ПК заражен флеш-вирусом, то получим следующее - вирусяк не найдя себя на флешке скопирует туда свое тело, скрипт его переместит, вирусяк опять скорпируется - в общем полезная нагрузка компьютеру гарантирована, равно как и смерть флешке - так как последняя выдерживает вполне конечное число циклов перезаписи
Поэтому проще, чем создание политики ограниченного запуска и внесения туда всех дисков, кроме стационарных HDD - гарантированная мера против совершенного любого зловреда без всяких скриптов и иных фокусов...

[олеком]

Приветствую.

... и прощай спец-ПО в виде криптеров, и разных иных прочих утилит для мобильных дисков. Но не это главное - а что будет, если
- зловред успеет стратовать ? 0.5 секунды то большой срок ...
- если ПК заражен флеш-вирусом, то получим следующее - вирусяк не найдя себя на флешке скопирует туда свое тело, скрипт его переместит, вирусяк опять скорпируется

спец ПО -- это не про "печатающие машинки". Хотя, никто не мешает его пропускать в исходнике. Мои измерения показывают, что флэшка появляется в тотале быстрее чем в проводнике за 2 с. Пользователю ещё надо успеть тыкнуть на вирус два раза мышой или выделить и ентером. Плюс 0.5 с. -- это максимальная задержка, ведь флэшка может быть всунута во время паузы.

1) при старте он пишет, что работает только на "чистых" компах (это в исходнике видно)
2) п.1 + от того и название "колхозный". Как только вставил флэшку и начали налегать диалоговые окна, человек должен выдернуть, что всунул, как руку от утюга.

[Юльча]

возникла пара вопросов к автору темы:

почему бы на печатных машинках не поставить линукс?

какая защита предусмотрена от файловых вирусов на флешке?
буквально на днях к нескольким файлам на моей флешке прицепился Trojan.Win32.Patched (по детекту Касперского)
при этом файл зрительно особо не изменился

[priv8v]

Месяца три назад на форум приходил человек с разработкой тулзы, работающей по такому же принципу...надо будет найти его тему...

[XiTri]

...надо будет найти его тему...

Вот сайт одного автора подобного шедевра http://askett.hoter.ru/
в разделе файлы называется usb_anti_autorun.
Все уже придумано и детектится

[Damien]

а существует ли мета-антивирус с таким функционалом?

Антивирус устанавливает драйвер, который блокирует файлы (чтение) с определенными расширениями (exe, vbs, cmd и т.д.) на вновь появившихся дисках. Это могут быть - флешки, usb-drive и т.д. При этом никак не реагируя на диски, которые были во время установки этого мета-антивируса, либо те, что прописываются в любой момент в его настройках. Желательно, чтоб блокируемые расширения можно было добавлять самому или вместо этого наоборот указывать разрешенные расширения.
К примеру - флешки часто используют для переноса определенных документов в формате doc, xls и т.д. И основной источник заражения только эти флешки, на которую в 90% с зараженного компа записывается автораны или ложные папки являющиеся исполняемыми файлами. Но, если на системе будет такой вот мета-антивирус - ни один пользователь даже случайно не зарази комп.
Вообще было не плохо снабдить таким функционалом уже существующие антивирусы, чтоб не городить дополнительных драйверов.

Не устраивают существующие решения, которые тупо сканируют флешку какое то время и удаляют все подозрительные файлы. Работать должно так как в обычных антивирусах, которые прежде чем пользователь их прочитает - сканируют их.
Отличие лишь в том, что антивирусы сканируют файлы на сигнатуры и эвристику, а в моем случае - они сразу блокируют определенные расширения на вновь появившихся дисках или тех, что не внесены в настройки.

[Зайцев Олег]

а существует ли мета-антивирус с таким функционалом?

KAV6 MP4 - он позволяет блокировать с сам факт подключения USB устройства заданного типа (т.е. например пишу политики, что скажем принтер и сканер USB можно, а модем и флеш-диск - нельзя), илиесли устройство разрешено - жесто блокировать с него автозапуск.

[ScratchyClaws]

2) п.1 + от того и название "колхозный". Как только вставил флэшку и начали налегать диалоговые окна, человек должен выдернуть, что всунул, как руку от утюга.

с некоторой долей вероятности убивания юсб порта или самой флэшки

[Damien]

KAV6 MP4 - он позволяет блокировать с сам факт подключения USB устройства заданного типа (т.е. например пишу политики, что скажем принтер и сканер USB можно, а модем и флеш-диск - нельзя), илиесли устройство разрешено - жесто блокировать с него автозапуск.

автозапуск стараюсь отключать везде, где только можно. Но, есть вирусы, которые скрывают папки оставляя вместо них исполняемые файлы с иконками папок и с теми же названиями. Пользователь - существо неразумное, всякое может сделать, хоть 10 инструкций ему напиши. Решение - блокировать флешки - не устраивает. Как иначе бухгалтерия и юристы будут документы туда-сюда возить?
А вот, если бы, на их компьютерах стоял такой блокирующий драйвер - всем было бы спокойней. Все равно им очень редко скидывают что-то кроме документов.

с некоторой долей вероятности убивания юсб порта или самой флэшки

довольно часто выдергиваю флешки небезопасно и до сих пор порты и флешки от это не страдали. Видимо, вероятность выхода из строя по этой причине - пренебрежимо мала.

[Зайцев Олег]

А вот, если бы, на их компьютерах стоял такой блокирующий драйвер - всем было бы спокойней. Все равно им очень редко скидывают что-то кроме документов.

Есть такой - продаю за 5$

Добавлено через 50 минут

довольно часто выдергиваю флешки небезопасно и до сих пор порты и флешки от это не страдали. Видимо, вероятность выхода из строя по этой причине - пренебрежимо мала.

Это смотря как выдергивать Цитата из одной объснительной по поводу инцидента с флешкой "... в мой кабинет ворвался сотрудних X, и прежде чем я успел среагировать, он включил свой флеш накопитель в мой ПК ..."

Я потратил 10 минут и вот описание, как заблокировать запуск всего исполняемого с флешек, не блокируя открытие документов/картинов/музыкии и кино - http://virusinfo.info/showthread.php?t=73715

[Br0m]

а вот такой вопрос, при подключении новой флешки (USB-устройства)
возможно заражение? и как групповые политики, (gpedit.msc) политики безопасности (secpol.msc) действуют на устройство которое еще не установилось? (т.е. в процессе установки?)
да и как часто встречаются поддельные диспетчеры устройств?

[Зайцев Олег]

а вот такой вопрос, при подключении новой флешки (USB-устройства)
возможно заражение? и как групповые политики, (gpedit.msc) политики безопасности (secpol.msc) действуют на устройство которое еще не установилось? (т.е. в процессе установки?)
да и как часто встречаются поддельные диспетчеры устройств?

Групповые политики содержат правила для пути, а что там появится по этому пути, независимо от того, есть такой путь, нет его ... и есть ли связанное с путем устройство

[олеком]

> http://askett.hoter.ru/

Эта штука похожа больше на вирус, чем на решение широкого круга проблем.
На счёт autorun, так это один из возможных методов размножения. Второй -- это скрытые папки и ЕХЕ с такими же именами:

http://174.142.248.143:8008/ftp/viruses.PNG
http://174.142.248.143:8008/ftp/no_viruses.PNG

На счёт всех программных методов решения проблемы от линуха до политик безопасности, то это всё отдыхает перед тем, чтобы все флэшки имели тупой выключатель записи. Не заню какой магнат проплатил, чтобы этого не было ни в каких свременных флэшках. На кассетах были, на дискетах были, а тут бац и облом...

Для колхозниц, секретарш или работников предпенсионного возраста включатель -- самое вминяемое объяснение отсуствия лишней заразы. Мегатонны бесполезных антивирусов, греющих помещения ради одно выключателя.....

[ScratchyClaws]

Мегатонны бесполезных антивирусов, греющих помещения ради одно выключателя.....

выключатель запрещает запись (кстати на sd шках он есть, добавить простой кард-ридер с одним разъемом и получим флешку с выключателем) однако запрет на запись никак не влияет на запуск авторана и заражение компьютера. А откуда на флешке с отключенной записью авторан? Но ведь пользователь должен перенести документы на этой флешке (иначе какой в неё смысл?), он щёлкает выключателем, переносит свои файлы вместе с вирусом, вынимает флешку и снова щелкает выключателем. После чего колхозный антивирь, заточенный под удаление/пермещение авторанов начинает биться в истерике

Возможно более безопасно переносить файлы путем записывания их на диски кучка cd-rw, простенькая программа для записи/стирания и всё тихо и спокойно. Правда автозапуск cd тоже лучше отключить.

[олеком]

выключатель запрещает запись (кстати на sd шках он есть, добавить простой кард-ридер с одним разъемом и получим флешку с выключателем) однако запрет на запись никак не влияет на запуск авторана и заражение компьютера. А откуда на флешке с отключенной записью авторан? Но ведь пользователь должен перенести документы на этой флешке (иначе какой в неё смысл?), он щёлкает выключателем, переносит свои файлы вместе с вирусом, вынимает флешку и снова щелкает выключателем. После чего колхозный антивирь, заточенный под удаление/пермещение авторанов начинает биться в истерике

Возможно более безопасно переносить файлы путем записывания их на диски кучка cd-rw, простенькая программа для записи/стирания и всё тихо и спокойно. Правда автозапуск cd тоже лучше отключить.

На счёт cd/dvd-r(w) увы их запись сделана через очень далёкие дебри. "Простиеньким", думаю, не обойдётся.

Появление лишнего на флэшке с выключаетелем уже сводится к процедуре взятия чего-либо, исключаяя раздачу. Уверен, что это существенно снизит общее число заражений. Идеально было бы к выключателю иметь двухцветовой диод, показывающий попытку записи с выключенным доступом. Пусть меня простят программеры приложений, но железо рулит. У меня мобильнику Ericsson R520m почти 9 лет, в нём уже есть такой диод (слабая батарея или зарядка выключенного телефона красный, в остальном мигает зелёным). Не понятно почему программеры/проектировщики железяк зажаты в тиски, т.е. слабовата творческая фантазия. Ведь, если делать включатель, то должен быть и индикатор его работы...

[Torvic99]

Не понятно почему программеры/проектировщики железяк зажаты в тиски, т.е. слабовата творческая фантазия. Ведь, если делать включатель, то должен быть и индикатор его работы...

У меня на флешке есть такой индикатор - тока вот на компе ЮСБ разъемы все сзади.
Очень не удобно копировать файлы и при этом смотреть как моргает индикатор на флешке

[alex368]

А что скажете насчет Panda USB Vaccine...

[Зайцев Олег]

Последний описанный в литературе случай массового выпуска флешки с разноцветным индикатором - http://ru.wikipedia.org/wiki/%D0%92%...82%D0%BE%D1%80

В остальном всякие выключатели записи, индикаторы и т.п. - все это баловство, они ничего не изменят и не решат, ибо:
1. на флешку система может писать не моментально, все и сразу - так как есть такая штука как кеш. Пользователь переключил а положение "писать", записал, и сразу переключил его в положение "только чтение" - и готово, потеря данных и поврежление файловой структуры на флешке гарантированы. А ведь если будет такой тумблер - будут щелкать, терять данные, и потом катить бочку на проиводителя флешек
2. система может пытаться писать на диск и без всяких вирусов (причин миллион - фоновая дефрагментация, запись метаданных антивирусника, попытка проводника записать миниатюры для просматриваемых картинок и т.п., включая банальную запись даты и времени последнего доступа в случае, если файловая система - NTFS). Следовательно, объяснение домохозяйке вида "если флешка стоит в режиме "только чтение" мигает красная лампочка - то капут, компьютер заражен" бессмысленно. А раз так - то каков смысл в разноцветных индикаторах, не несущих особого смысла ?
3. переключатель защиты от записи мало влияет на защиту от заражения (так как флешку применяют не только для чтения, но и для записи ... да и пользователь должен разумно использовать такой выключатель, 99% поставят его в положение "читать/писать" и забудут о его существовании навечно), а вот вылечить ее от зловреда автоматически не выйдет ... хуже того, видя заразу антивирус будет пытаться ее лечить в цикле, а это десятки сообщений в логах - был у меня чудак в сети, который именно это и сделал
Поэтому выход прост - или блокировка запуск всего запускаемого с флешек (рецепт я описал), или ждать, пока мне удастся затолкать вот это http://www.kaspersky.ru/news?id=207733181 в флешку

[alex368]

Зайцев Олег,

Между прочим, пользуюсь давно и работает эффективно...