Страница 1 из 7 12345 ... Последняя
Показано с 1 по 20 из 136.

Как полностью обезопаситься от autorun-нов?

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2006
    Адрес
    Vladivostok
    Сообщений
    8
    Вес репутации
    64

    Как полностью обезопаситься от autorun-нов?

    Добрый день! Думаю не меня одного достали вирусы кочующие с одного компа на другой на флэшках. Помогите пожалуйста решить эту проблему.

    Имеется примерно три десятка компов разбросанных по магазинам в разных концах города. На всех стоит Win XP SP2 rus corp + KAV v7.0.0125 или v7.0.1.321. Инета в большинстве магазинов нет, соответственно базы обновляются вручную, примерно раз в неделю.
    Компы служат для приема заказов у клиентов, так что поросячий визг каспера сышен каждые пять минут. Ну и соответственно то одна машина, то другая, несмотря на присутсвие каспера, переодически хватает заразу.

    На всех машинах через групповые политики отключен автозапуск всех дисков.

    Ранее я полагал, что отключение автозапуска, предотвращает выполнение команд в файле autorun.inf, но как я понял, на самом деле эта процедура лишь предотвращает автоматическое выполнение содержимого авторана, при подключении фэшки или вставке диска. Кода же юзер открывает флэшку двойным кликом в эксплорере, содержимое авторана приспокойненько исполняется, и как результат -- зараженная машина

    Подскажите пожалуйста, можно ли как-нибуть запретить системе вообще обращать внимание на autorun.inf ?
    Или может есть способ запретить системе выполнение исполняемых файлов на всех сменных носителях (что также по идее должно решить проблему) ?

    Вобщем помогите люди добрые кто чем может, а то сил моих уже нет бороться с этой пакостью .

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Отключите автозапуск (не путать с автозагрузкой!!!) на всех дисках.

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2006
    Адрес
    Vladivostok
    Сообщений
    8
    Вес репутации
    64
    2Maxim
    скачал, установил, снял все галки, применил, перезагрузился (на всякий случай), вставляю диск в CD-юк, открываю его -- СРАБАТЫВАЕТ АВТОЗАПУСК!!!, т.е. выполняется содержимое autorun.inf

    другие идеи есть?

    p.s. кстати, а причем тут автозагрузка, или я чего-то не понял?

  5. #4

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ed13
    Регистрация
    10.05.2006
    Адрес
    Россия
    Сообщений
    252
    Вес репутации
    75
    Talanius, в данном случае, на мой взгляд, логичнее исключить эксплореер... Пользуйтесь каким-нибудь файловым менеджером... Тем же Total Commander, например...

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.03.2007
    Сообщений
    64
    Вес репутации
    71
    Ну а "кардинальное" решение - это политика ограниченного использования программ, тогда пользователь вообще не запустит НИЧЕГО кроме того, что разрешено.
    Как минимум, IMHO надо запретить исполнение из "C:\Documents and Settings". Но я "наоборот" - запрещаю по default и разрешаю нужные, соотв. пользователи "выкуривают" и с CD-юками, и с флэшками, и с остальным хламом из и-нета, в т.ч. и с вирусами (то есть они безобидно валяются в профиле, откуда их в учётке юзера можно пытаться даже запустить "руками" :-) )

  8. #7
    Junior Member Репутация
    Регистрация
    23.11.2006
    Адрес
    Vladivostok
    Сообщений
    8
    Вес репутации
    64
    2drongo
    в ветке
    'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer', значение параметра 'NoDriveTypeAutoRun' у меня стоит 'ff', т.е. отключен автозапуск всех дисков

    скажи пожалуйста, чем отличается параметр NoDriveTypeAutoRun' от NoDriveAutoRun' ?

    2ed13
    переучивать юзеров с эксплорера на тотал слишком уж сложно

    2Vinni
    собственно я уже думал об этом, но если существует менее радикальный способ, то все-таки хотелось бы обойтись без "драконовских" мер

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от Talanius Посмотреть сообщение
    2drongo
    в ветке
    'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer', значение параметра 'NoDriveTypeAutoRun' у меня стоит 'ff', т.е. отключен автозапуск всех дисков

    скажи пожалуйста, чем отличается параметр NoDriveTypeAutoRun' от NoDriveAutoRun' ?
    Полагаю первый запрещает автозапуск с определенных носителей, второй запрещает автозапуск вообще.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Можно испортить ассоциацию файлов .inf , например поменять на notepad.exe .Правда если есть нужные программы, которые используют .inf - они работать перестанут.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.01.2008
    Сообщений
    101
    Вес репутации
    130
    В сети появились ссылки на найденные автораны такого содержания
    [autorun]
    open = calc.exe
    shell\Open\Command=calc.exe
    shell\Open\Default=1
    shell\Explore\Command=calc.exe
    shell\Autoplay\Command=calc.exe

    При этом, естественно, даже выбор Explore в меню диска вызывает калькулятор
    Авторан со всех дисков выключен.

  12. #11
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от psw Посмотреть сообщение
    В сети появились ссылки на найденные автораны такого содержания
    [autorun]
    open = calc.exe
    shell\Open\Command=calc.exe
    shell\Open\Default=1
    shell\Explore\Command=calc.exe
    shell\Autoplay\Command=calc.exe

    При этом, естественно, даже выбор Explore в меню диска вызывает калькулятор
    Авторан со всех дисков выключен.
    Это потому что когда вы просто вставляете USBDrive, MountPoints2 обновляется сразу же новыми параметрами - политики Explorer обходятся очень просто. Есть защита против этого: просто отредактировать Разрешения всех пользователей (включая админов) ключа MountPoints2 в реестре на 'Deny' по всем пунктам кроме 'Чтение'. Никакой Brontok и пр. вашу машину уже не заразит через авторан...
    P.S.: Ключ MountPoints2 находится здесь:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2]
    для всех юзеров отдельно.

    Paul
    Последний раз редактировалось XP user; 23.02.2008 в 19:58. Причина: P.S.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.01.2008
    Сообщений
    101
    Вес репутации
    130
    А надо ли предварительно создавать ключи для букв дисков (Z etc.), которых пока нет, но могут появиться в будущем, или и так все будет работать?

  14. #13
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от psw Посмотреть сообщение
    А надо ли предварительно создавать ключи для букв дисков (Z etc.), которых пока нет, но могут появиться в будущем, или и так все будет работать?
    Я думаю, что лучше перед добавлением новых дисков отредактировать Разрешения MountPoints2 обратно. Заранее разрешить то, что ещё нет - не знаю...
    P.S.: Надо будет искать как это работает. По умолчанию Windows делает доступными ВСЕВОЗМОЖНЫЕ диски. Я те, которые не нужны сделал недоступными.

    Paul
    Последний раз редактировалось XP user; 22.02.2008 в 22:35.

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Цитата Сообщение от ed13 Посмотреть сообщение
    Talanius, Пользуйтесь каким-нибудь файловым менеджером... Тем же Total Commander, например...
    ООчень полезная вещь....если честно сам долго переучивался....теперь использую стандартный интерфейс (windows) только когда работаю с рабочим столом или папкой Мои документы...все остальные операции с файлами только через Total Commander...довольно часто спасал от авторанчиков...откроешь флешку, а там *.inf, *.vbs и другие радости жизни из 10 случаев в 3 антивирус не распознал заразу.
    Microsoft Most Valuable Professional in Consumer Security

  16. #15
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DoSTR
    Регистрация
    10.10.2006
    Адрес
    Казань
    Сообщений
    137
    Вес репутации
    88
    Можно запретить запуск любых программ с USB -флэшек.

    Что бы случайно не произошел запуск трояна, с помошью
    C:\WINDOWS\system32\secpol.msc
    "Политики ограниченного испльзования программ" -> "Дополнительные правила" ->"Создать правило для пути"
    для пути - если у вас флешка на "f:\" поставить "Не разрешено".
    (+еще другие возможные старшие буквы G:\, H:\, I:\... на случай того если клиент одновременно вставил несколько USB, например сотовый и свою флешку+Флешку продавца+...)

    т.е. Windows XP будет блокировать запуск исполняемых файлов из этого диска/папки.

    P.S.
    Не стоит писать: !!!
    C:\
    т.к. будет запрещен запуск программ с системного диска!


    Примечание
    Можно
    C:\WINDOWS\system32\secpol.msc
    запустить по другому:
    Пуск-> Панель управления-> Администрирование-> Локальная политика безопасности
    Последний раз редактировалось DoSTR; 23.02.2008 в 17:31. Причина: удалил

  17. #16
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    @ DoSTR:

    Прочитайте, пожалуйста сообщение 11. Brontok и подобные ОБХОДЯТ эту политику эксплорера как только юзер дважды щёлкает на устройство. Сами создайте, пожалуйста такой авторан для этого устройства и убедитесь:
    Код:
    [autorun]
    open = calc.exe
    shell\Open\Command=calc.exe
    shell\Open\Default=1
    shell\Explore\Command=calc.exe
    shell\Autoplay\Command=calc.exe
    Это безопасно. Просто вместо Explorer.exe, калькулятор будет запускаться когда вы щёлкаете дважды на устройство, и на него не распространяются эти ограничения.
    Решение: запретить системе доступ к параматрам MountPoints2 через запрет админ группы на этот ключ. Система (при наличие у вас админ прав) изменяет эти параметры каждый раз, когда вы вставляете новое устройство в обходе вами указанных политик.
    P.S.: Ваш вариант сработает только, если у юзера хватает дисциплины НЕ щёлкать дважды, а открыть диск через клик правой кнопкой мыши + open. На практике у пользователей нет такой дисциплины. Кроме того, Троян сам может ещё щёлкать...
    P.S.2: Ещё одна особенность - Политики Windows применяются достаточно поздно в процессе загрузки Windows. Зловред может успеть запускаться (если машина уже заражена) ДО ТОГО, как применяются эти политики.

    Paul
    Последний раз редактировалось XP user; 23.02.2008 в 20:00.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.01.2008
    Сообщений
    101
    Вес репутации
    130
    Дисциплина пользователя для данного примера не поможет тоже, потому что на правый клик + Open будет вызываться все тот же калькулятор.

  19. #18
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от psw Посмотреть сообщение
    Дисциплина пользователя для данного примера не поможет тоже, потому что на правый клик + Open будет вызываться все тот же калькулятор.
    В этом примере да. Спасибо за поправку!
    Как раз сегодня в разделе 'Помогите' опять пример, где автозапуск отключён и всё равно заражаются:
    http://virusinfo.info/showthread.php?t=18512
    P.S.: Пользователи-умники вставляют диск и нажимают одновренменно на клавишу Shift, и запрет авторан тоже снимается!

    Paul
    Последний раз редактировалось XP user; 23.02.2008 в 09:49. Причина: P.S.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.01.2008
    Сообщений
    101
    Вес репутации
    130
    Применение secpol поможет, если стоит вызов программы прямо со сменного носителя.
    Во всяком случае, прямой вызов E:\mycalc.exe прописанный во всех строчках autorun у меня не работает.
    Вопрос: можно ли же сначала средствами ОС (cmd, xcopy) скопировать что-то во временную директорию жесткого диска, а потом запустить оттуда? Если да, то это путь обхода secpol.

  21. #20
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от psw Посмотреть сообщение
    Применение secpol поможет, если стоит вызов программы прямо со сменного носителя.
    Во всяком случае, прямой вызов E:\mycalc.exe прописанный во всех строчках autorun у меня не работает.
    Вопрос: можно ли же сначала средствами ОС (cmd, xcopy) скопировать что-то во временную директорию жесткого диска, а потом запустить оттуда? Если да, то это путь обхода secpol.
    Боюсь, что да.

    Обход кнопкой Shift тоже можно блокировать по моему через secpol. Точно не помню (у меня XP Home).

    Всегда новые пути обхода политик secpol открываются. Я не стал бы пологаться на эти политики. Ещё раз упоминаю, что политики грузятся с опозданием. Если вы забыли снять устройство - поздно. Другое дело когда Windows уже загрузилась полностью - тогда есть вероятность, что политики действуют.

    P.S.: Вариант с блокировкой доступа к MountPoints2 сам считаю наилучшим...
    В связи с этим надо отметить, что и в MountPoints2 может быть предусмотрен Autorun для определённых ранее уже использованных устройств (тоже обход политик!). Следует чистить эти параметры до того, как блокировать доступ (просто удалить ключ целиком - создаётся чистый ключ при перезагрузке).

    Paul
    Последний раз редактировалось XP user; 23.02.2008 в 10:24.

Страница 1 из 7 12345 ... Последняя

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 31.10.2009, 07:36
  2. Ответов: 5
    Последнее сообщение: 11.07.2009, 14:54
  3. Ответов: 6
    Последнее сообщение: 10.07.2009, 14:08
  4. Ответов: 4
    Последнее сообщение: 19.03.2008, 09:42
  5. Ответов: 5
    Последнее сообщение: 03.02.2008, 17:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01358 seconds with 19 queries