Как установить вирус на флешку

Содержание

3 способа защитить флешку от вирусов без дополнительных программ

Как установить вирус на флешку

С безопасностью всегда так. Стоит расслабиться и, заболтавшись с приятелем, вставляешь его флешку в свой отлаженный комп, и на вопрос Касперского — а не  проверить ли нам эту флешку, беззаботно отвечаешь — да не надо… И потом получаешь развлечение на все выходные…

А еще чаще бывает другая ситуация — когда приходится вставлять свою флешку в чужой компьютер. Это совсем не обязательно компьютер друзей-приятелей, сейчас можно подцепить вирус и в студии фотопечати, и даже в налоговой…

В этой статье я расскажу как защитить свой компьютер и флешку от вирусов без дополнительных программ.

О том, как сделать программную вакцину для флешки, было тут.

Вы узнаете 3 качественных способа, проверенных временем, которые спасают в большинстве случаев.

Все перечисленные далее действия вы проделываете на свой страх и риск.

Не лезьте в реестр, если вы никогда этого не делали, и плохо представляете, чем отличается раздел от параметра, и как создаются параметры и изменяются их значения!

1. Защита компьютера от вирусов на флешке. Отключаем автозагрузку

Начнем с того, что сначала защитим свой компьютер от зараженных флешек. Мало ли где мы сами вставляли свою флешкe, или к нам кто пришел с неизвестно какой флешкой…

Для надежной защиты компьютера от вирусов на usb-флешках достаточно отключить автозагрузку (автозапуск) на всех дисках, подключаемых к компьютеру. Для этого можно воспользоваться специальными программами (Anti autorun), либо сделать несложные настройки.

Анти-ауторан — это программа для защиты флешек, карт памяти, mp3-4-плееров и других съемных носителей информации от вирусов.

Все дальнейшие действия делаются с правами администратора.

Способы защиты компьютера от автостарта на флешках

 1. Отключаем автозапуск в групповых политиках

Откройте Редактор локальной групповой политики:

— Пуск — Выполнить (Win+R) — gpedit.msc или в строке поиска начните набирать «групповая»

— Конфигурация компьютера-Административные шаблоны- Все параметры — Отключить автозапуск

Правой кнопкой мыши — Изменить — Включить — Все устройства — Применить.

2. Отключаем автозапуск с помощью редактора реестра

Полностью отключить автозапуск со всех дисков можно также, воспользовавшись редактором реестра.

Запустите редактор реестра (Win+R). Откройте ветку

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

и в значении двоичного параметра «NoDriveTypeAutoRun», и вместо «95» (или «91») прописать «FF».

Допустимые значения ключа:0x1 — отключить автозапуск на приводах неизвестных типов0x4 — отключить автозапуск сьемных устройств0x8 — отключить автозапуск НЕсьемных устройств0x10 — отключить автозапуск сетевых дисков0x20 — отключить автозапуск CD-приводов0x40 — отключить автозапуск RAM-дисков0x80 — отключить автозапуск на приводах неизвестных типов

0xFF — отключить автозапуск вообще всех дисков.

В Windows XP по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому может потребоваться создание соответствующего раздела (Explorer) и параметра NoDriveTypeAutoRun, управляющего автозагрузкой устройств.

Все изменения в реестре вступают в силу после перезагрузки.

3. Запись в реестр сценария

Следующий метод представляет более расширенные возможности удаления потенциально опасных брешей в безопасности системы, связанных в том числе и с автозапуском.

Создайте произвольный reg-файл (например с именем noautorun.reg) и следующим содержимым:

Windows Registry Editor Version 5.00[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ AutoplayHandlers\CancelAutoplay\Files][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ AutoplayHandlers\CancelAutoplay\Files]

«*.*»=»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ Explorer]«NoDriveTypeAutoRun»=dword:000000ff«NoDriveAutoRun»=dword:000000ff

«NoFolderOptions»=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL]«CheckedValue»=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ IniFileMapping\Autorun.inf]@=»@SYS:DoesNotExist»

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]«AutoRun»=dword:00000000

После чего запустите данный файл, и на вопрос системы о внесении изменений отвечайте «Да».

Отключить автозапуск временно (например, при отсутствии прав администратора), на период подключения устройства (флэшки) можно, удерживая нажатой клавишу Shift. При это открывать флешку рекомендуется не через «Мой компьютер» (иначе автозапуск сработает), а через Проводник.

2 Защищаем флешку с помощью autorun.inf

Когда-то для защиты USB-флешки от вирусов считалось достаточным создать на ней пустой файл autorun.inf и назначить ему права «только для чтения». В этом случае вирус не мог создать там собственный файл автозагрузки, поскольку такой файл уже существовал и имел соответствующие атрибуты.

Суть метода в том, чтобы защитить специальный файл, который отвечает за автоматический запуск программы в момент подключения диска к системе.

Файл называется autorun.inf. Вирусы его обожают.

Дело в том, что если на флешку записать вирус, а затем в autorun.inf указать команду на его запуск, то вредоносная программа будет запускаться КАЖДЫЙ РАЗ при подключении диска к системе.

Итак, чтобы защитить свою флешку проделайте следующее:

Шаг 1. Откройте текстовый редактор «Блокнот» (Пуск— Стандартные- Блокнот).

Шаг 2. Скопируйте эти строки и вставьте их в Блокнот:

attrib -S -H -R -A autorun.*del autorun.*attrib -S -H -R -A recyclerrd «\\?\%~d0\recycler\» /s /qattrib -S -H -R -A recycledrd «\\?\%~d0\recycled\» /s /qmkdir «\\?\%~d0\AUTORUN.INF\LPT3»attrib +S +H +R +A %~d0\AUTORUN.

INF /s /dmkdir «\\?\%~d0\RECYCLED\LPT3»attrib +S +H +R +A %~d0\RECYCLED /s /dmkdir «\\?\%~d0\RECYCLER\LPT3»attrib +S +H +R +A %~d0\RECYCLER /s /dattrib -s -h -r autorun.*del autorun.*mkdir %~d0AUTORUN.INFmkdir «?%~d0AUTORUN.INF.

attrib +s +h %~d0AUTORUN.INF

Можно выделить текст мышкой, скопировать его в буфер обмена, затем переключиться в Блокнот и выполнить команду вставки.

Что означают эти команды? Как же это работает?

Сначала мы удаляем файлы или папки, которые, возможно, успел насоздавать вирус, сняв с них защитные аттрибуты.

Это различного типа файлы с именем autorun, папки recycler и recycled, маскирующиеся под корзину.

Затем мы особым способом создаём папку Autorun.inf, содержащую папку с системным именем LPT3. Ещё со времён незабвенного ДОСа существует ряд имён, которыми нельзя называть файлы и папки, с которыми нельзя проводить какие-либо операции.

Пример таких зарезервированных имён: LPT1, LPT2, LPT3, PRN, СONF , con, nul, AUX, COM1…. и другие. Попробуйте создать папку, скажем, PRN. У вас ничего не выйдет. Обычными средствами Windows создать папку нельзя. Но способ есть.

Именно он и применяется в этом скрипте.
Строка

mkdir «\\?\%~d0\autorun.inf\LPT3» означает:

mkdir — команда создать директорию.
\\?\ — это как раз то, что помогает создать папку с зарезервированным системным именем.
%~d0\ — обозначение конкретной директории.

Если указать вместо этого f:\, то можно будет скрипт запускать хоть откуда, он на диске f: создаст.
autorun.inf и LPT3 — имена каталогов, которые будут созданы.

Кстати сказать, удалить эту папку можно будет таким же образом, а иначе никак. Если захочется удалить, выполните в командной строке:

rmdir \\?\f:\autorun.inf\, 

где f: — это диск, с которого удаляем папку «autorun.inf».

Ещё один момент: добавление аттрибутов папкам — это дополнительная защита.
Команда attrib добавляет следующие аттрибуты этим папкам: системный, скрытый, только для чтения, архивный.

Шаг 3. Сохраните документ на флешку в файле с расширением bat. Обязательно на флешку и обязательно с расширением bat. Имя может быть любое, например: locker.bat

Шаг 4. Запустите Проводник, перейдите на флешку и запустите файл.

После запуска будет создана папка AUTORUN.INF с атрибутами, защищающими её от записи и скрывающими от посторонних глаз.

Теперь, если вставите флешку в заражённый компьютер, то вирус не сможет изменить файл автозапуска. Поскольку вместо файла у нас папка, да ещё скрытая и защищённая от записи. Ничего у него ничего не получится.

Но смотрите: вирус может записать себя в другое место на диске или изменить какой-нибудь файл.

Поэтому без опаски вставляйте флешку в свой компьютер и — настоятельно рекомендую — проверяйте её на вирусы. Время, затраченное на проверку, не соизмеримо с потерями, которые будут после заражения системы вирусом.

Обращаю внимание: наша защита препятствует только изменению файла автозапуска.

Чтобы защитить другую флешку, проделайте вакцинацию: скопируйте на неё файл-таблетку locker.bat и запустить его в Проводнике.

3. Защита флешки от вирусов

Защита очень качественная, на мой взгляд, самая лучшая, она проверена временем и вирусами, спасает в 99% случаев!

Флэшка, сделанная таким методом, после контакта с заразным ноутбуком, а точнее с десятками ноутбуков, останется кристально чистой. Так что делаем не задумываясь!

1. Проверяем тип файловой системы

Заходим в «Мой компьютер», находим нашу флэшку, нажимаем на ней правой кнопкой мыши, затем выбираем «Свойство» и видим такую картину:

Если у вас также, как и у меня файловая система NTFS, то переходите к следующему пункту. Для тех, у кого Fat32, нужно поменять файловую систему.  Сделать это можно только при форматировании.

Нажимаем правой кнопкой мыши на съемном диске и выбираем «Форматировать» — NTFS — Быстрое форматирование.

Надеюсь, вы в курсе, что при форматировании все данные будут удалены с флешки.

2. Создаем папку для данных

Создайте пустую папку на флешке. Например — ‘Data’

3. Закрываем доступ к флешке

Опять открываем свойства съемного диска, вкладка Безопасность.

Видим столбик «Разрешить» с галочками. Это значит, что у нас открыт полный доступ, без проблем можно создавать новые файлы, удалять, редактировать и так далее. Вирусы от этого просто счастливы и умело пользуются свободой.

Так как нас это дело категорически не устраивает, жмем мышкой на кнопку «Изменить». В появившемся окне снимаем все галки, кроме «Список содержимого папки» и «Чтение» и жмем «Ок».

Таким образом мы закрыли доступ к флешке. Теперь, если захочется создать на ней новую папку или файл (или скопировать), мы получим ошибку. Не выйдет выполнить функцию  «оправить на съемный диск». Но хорошая новость в том, что и вирус не сможет  при таком раскладе прописаться на флешке.

4. Открываем права доступа к созданной папке

Нам нужно вернуть все права на папку, которую мы создали в корне флешки, иначе с ней работать будет невозможно не только вирусам, но и нам. Для этого, как обычно, на папке жмем правой кнопкой мыши и «Свойства» — Изменить, и устанавливаем все флажки в столбике «Разрешить».

После нажатия кнопки ОК защита флешки от вирусов установлена.

Все данные будут храниться в этой папке, к ним будет полный доступ. Всегда можно удалить, создать, копировать, переименовать…да хоть что угодно сделать с файлами и папками. А вот вирусы (точнее, как я сразу и говорил, не все, но 99% точно) не смогут ничего сделать, так как они автоматически лезут в корневую папку.

Помните, что намного проще не допустить вирус на флешку, чем потом восстанавливать повреждения.

Источник: https://anisim.org/articles/3-sposoba-zashhitit-fleshku-ot-virusov-bez-dopolnitelnyih-programm/

14 бесплатных загрузочных антивирусных дисков

Как установить вирус на флешку

Загрузочные антивирусные диски позволяют создать загрузочную флешку или CD/DVD диск на чистом компьютере, чтобы использовать данный носитель для сканирования зараженной системы без необходимости загружать Windows

Как поступить в ситуации, когда ваш компьютер не загружается, и вы уверены, что причина данной проблемы заключается в вирусе или вредоносной программе? Как просканировать систему и выполнить очистку, если Windows не загружается?

Как раз для таких случаев отлично подойдет загрузочная антивирусная программа. Пользователь создает загрузочную флешку или CD/ DVD диск на чистом компьютере, а потом может использовать данный носитель для сканирования жесткого диска на вирусы даже без необходимости загружать Windows.

Так как многие вирусы блокируют загрузку операционной системы Windows, загрузочная антивирусная среда может стать очень эффективным решением для очистки компьютера от угроз и восстановления его нормальной работоспособности.

Примечание: для создания загрузочного носителя нужно скачать соответствующий ISO-образ и записать его на диск или флешку, например, с помощью программы Rufus. Затем нужно загрузиться с диска или USB-устройства флеш-памяти на зараженном компьютере.

Anvi Rescue Disk

Скачать бесплатно

Anvi Rescue Disk – простой загрузочный антивирусный сканер, который предлагает только три варианта проверки: сканирование флешки, компьютера или выборочного расположения. Сканер имеет простой графический интерфейс с двумя секциями и полностью лишен каких-либо настроек.

Дополнительно Anvi Rescue Disk предлагает функцию устранения проблем в системном реестре, которые могли быть вызваны действием вируса.

AVG Rescue CD

Скачать бесплатно

AVG Rescue CD – загрузочная антивирусная программа без графического интерфейса. Сканер может проверять наличие в система потенциально нежелательных программ (ПНП), сканировать файлы cookie, обнаруживать скрытые расширения файлов и даже анализировать объекты в архивах.

Антивирусный диск предлагает богатый выбор опций сканирования – пользователь может запустить проверку отдельной папки, загрузочного сектора, системного реестра или съемного жесткого диска.

Текстовый интерфейс инструмента может быть не очень удобным для неопытных пользователей. Тем не менее, AVG Rescue CD отличается большим количеством различных операций сканирования и очистки и позволяет обновлять антивирусные определения даже без переустановки.

Avira Rescue System

Скачать бесплатно

Avira Rescue System – бесплатный загрузочный антивирус на без операционной системы Ubuntu, который может также выполнять функции редактора реестра, веб-бразуера и дискового менеджера. Все встроенные утилиты имеют привычный графический интерфейс.

Avira Rescue System автоматически обновляет сигнатуры перед выполнением сканирования. Таким образом, пользователю не требуется повторно записывать загрузочный диск перед использованием

Инструмент поддерживает сканирование архивов для максимальной защиты.

Avira Rescue System не позволяет проверять отдельные файлы, можно только просканировать весь раздел. Кроме того, размер диска очень приличный – 630 мегабайт.

Comodo Rescue Disk

Скачать бесплатно

Помимо стандартных устанавливаемых антивирусных продуктов, Comodo также предлагает бесплатный загрузочный диск.

Comodo Rescue Disk можно запустить с загрузочной флешки или диска в двух возможных режимах – в текстовом и с поддержкой графического интерфейса. Графическая версия имеет схожий с другими продуктами Comodo интерфейс и определенно станет более удобным вариантом для неопытных пользователей ПК.

Comodo Rescue Disk поддерживает автоматическое обновление и предлагает несколько вариантов сканирования: интеллектуальная проверка (Smart Scan), полное сканирование (Full Scan) и выборочная проверка (Custom Scan).

В режиме Smart Scan выполняет поиск активных вирусов и руткитов в памяти, загрузочных секторах, записях автозагрузки и папки системы. В режиме выборочной проверки пользователь может запускать анализ отдельных файлов и папок.

Comodo Rescue Disk поддерживает сканирование архивов, позволяет включать эвристическую проверку и может исключать анализ файлов определенного размера, например, крупных файлов свыше заданного предела. При этом размер инструмента не превышает 60 мегабайт.

Bitdefender Rescue CD

Скачать бесплатно

Bitdefender Rescue CD – бесплатный загрузочный антивирусный сканер, который автоматически проверяет обновления при каждом запуске.

Вы можете исключить сканирование определенных файлов, выбирать максимальный размер проверяемых объектов и дополнительно включать проверку архивов.

Наряду с полным сканированием всего диска Bitdefender Rescue CD также позволяет выполнить анализ в отдельных папках.

Среди слабых сторон загрузочного диска Bitdefender Rescue CD можно назвать длительное время запуска и большой размер – более 650 мегабайт.

Dr.Web LiveDisk

Скачать бесплатно

Dr.Web LiveDisk – функциональный бесплатный загрузочный сканер для Windows и Linux.

Инструмент предлагает гибкие возможности настройки: можно выбирать действия по умолчанию при обнаружении зараженных элементов в системе, а также подозрительных и неизлечимых объектов. Также можно настроить действие загрузочного антивируса при распознавании рекламного ПО, дозвонщиков, программ-шуток, модулей взлома или ПНП.

Пользователь может исключить сканирование определенных директорий, задать максимальный размер анализируемых файлов и максимальное время на обработку одного объекта.

Примечательно, что Dr.Web умеет проверять и устанавливать обновления антивирусных определений самостоятельно, без перезаписи программы. Это значит, что вы можете использовать загрузочный диск в любое время, достаточно выполнить обновление перед сканированием.

Dr.Web LiveDisk доступен для установки на USB флешки и диски. Размер инструмента составляет около 600 мегабайт.

F-Secure Rescue CD

Скачать бесплатно

F-Secure Rescue CD – простая загрузочная антивирусная программа без графического интерфейса. Загрузочный диск не имеет практически никаких настроек – пользователь может только выбрать раздел и нажать Enter, чтобы запустить сканирование.

С положительной стороны, F-Secure Rescue CD обновляет антивирусные определения перед запуском сканирования, но пользователь не может отменить эту операцию. Инструмент выделяется предельной простотой и небольшим размером – около 130 мегабайт.

Kaspersky Rescue Disk

Скачать бесплатно

Загрузочный диск Kaspersky Rescue Disk выполняет поиск вирусов, Интернет-червей, троянов, вредоносных и рекламных приложений, дозвонщиков и других опасных объектов.

Инструмент может работать в двух режимах: текстовый режим и режим с поддержкой графического интерфейса. Загрузочный антивирус поддерживает сканирование файлов в архивах, проверку установочных пакетов и сканирование OLE объектов.

Kaspersky Rescue Disk поддерживает эвристическую проверку и предлагает три основных варианта сканирования, в зависимости от нужд пользователя.

Вы можете настроить загрузочный антивирус Kaspersky на автоматическую очистку компьютера при обнаружении вредоносных объектов, либо оставить режим запроса дальнейшего действия у пользователя.

Единственным недостатком Kaspersky Rescue Disk можно назвать довольно крупный размер образа – около 300 мегабайт.

Panda Cloud Cleaner Rescue ISO

Скачать бесплатно

Panda Cloud Cleaner Rescue ISO – загрузочный инструмент, который позволяет запускать облачный сканер Panda Cloud Cleaner для проверки компьютера практически без дальнейшего взаимодействия с пользователем.

Panda Rescue ISO запускает программу Panda Cloud Cleaner без загрузки процессов основной системы, которые могут препятствовать нормальной процедуре антивирусной проверки.

Сначала нужно загрузить Panda Rescue ISO для подготовки к запуску Panda Cloud Cleaner. Затем компьютер будет перезагружен в Windows, но антивирусный инструмент начнет работу еще до того, как загрузятся основные процессы. Это позволяет сократить риск вмешательства в работу Panda Cloud Cleaner со стороны вредоносной программы.

Panda Rescue ISO не подойдет в тех случаях, когда вредоносная программа слишком глубоко проникла в систему Windows и заблокировала возможность загрузки системы. В подобной ситуации лучше воспользоваться другими загрузочными дисками.

Sophos Bootable Anti-Virus

Скачать бесплатно

Sophos Bootable Anti-Virus практически не имеет параметров конфигурации. Пользователь может только выбирать один из двух вариантов сканирования.

Рекомендованная проверка (Recommended Scan) позволяет переименовывать файлы или просто отображать журнал с обнаруженными вредоносными объектами. В режиме расширенной проверки (Advanced Scan) все зараженные файлы будут удалены.

Также доступная опция Bash Shell для ручного удаления вирусов. Данный вариант будет полезен, если вы точно знаете, где находятся вредоносные файлы.

Перед загрузкой программы рекомендуется подробно ознакомится с инструкциями. Размер диска составляет примерно 190 мегабайт.

Trend Micro Rescue Disk

Скачать бесплатно

Trend Micro Rescue Disk – еще один бесплатный загрузочный антивирус, которые не имеет графического интерфейса. Навигация по программу осуществляется в текстовом режиме с помощью клавиш стрелок.

Сканер позволяет запускать быстрое или полное сканирование.

Обратите внимание, что Trend Micro Rescue Disk скачивается как обычная программа, которую нужно записать на загрузочный диск.

VBA32 Rescue

Скачать бесплатно

Несмотря на то, что VBA32 не поддерживает графический интерфейс, инструмент предлагает большое количество различных опций и параметров настройки.

Пользователь может решать, какие диски нужно проверить, файлы каких расширений нужно анализировать, а также включать сканирование архивов и определять стандартное действие при обнаружении угрозы.

Вы можете включать эвристическую проверку и обновлять антивирусные сигнатуры прямо с загрузочного диска или флешки.

Очевидным недостатком VBA32 Rescue можно назвать отсутствие графического интерфейса. Программе будет непросто завоевать популярность у новичков.

Windows Defender Offline

Скачать бесплатно

Windows Defender Offline – загрузочный антивирусный сканер с полноценным пользовательским интерфейсом. Сканер поддерживает обновление антивирусных определений прямо с диска, позволяет пользователю просматривать файлы в карантине и отменять проверку отдельных объектов, папок и файлов определенных расширений.

Windows Defender Offline поддерживает быстрые, полные и выборочные сканирования папок, разделов или дисков.

Интересно, для записи Windows Defender Offline на диск или флешку не нужно устанавливать дополнительное программное обеспечение. Все это можно сделать стандартными средствами системы.

Zillya! LiveCD

Скачать бесплатно

Zillya! LiveCD поддерживает сканирование дисков или отдельных папок, но не может анализировать конкретные файлы.

Опционально можно проверять только файлы определенных расширений, например, исполняемых файлов, которые часто включают вредоносный код. Это позволяет сократить время проверки.

На загрузочном диске доступна утилита Zillya! MBR Recovery, которая может сканировать главную загрузочную запись MBR на вирусы и вредоносные программы, чтобы восстановить возможность загрузки операционной системы.

Загрузочная среда отличается приятным интерфейсом, но имеет сравнительно большой размер: около 600 мегабайт.

По материалам Lifewire

Источник: https://www.comss.ru/page.php?id=4244

Вирус ярлык на флешке лечение

Как установить вирус на флешку
Подробности Категория: Безопасность Создано 31.01.2021 08:53 4359

Сегодня будем разбираться c вирусом, который превращает папки и файлы на флешке в ярлыки. Выясним как удалить данный вирус и при этом сохранить все файлы.

Суть данного вируса заключается в том, что он скрывает содержимое флешки и подменяет его ссылками на исполняемый файл, который умело маскирует с помощью изменения их атрибутов.

Убеждаемся, что папки и файлы целые

Для этого зажимаем Windows + R и вставляем команду «control.exe folders» откроется окно с параметрами папок переходим на вкладку вид и ищем там два параметра:

  • Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
  • Показывать скрытые файлы и папки — устанавливаем переключатель.

Теперь ваши папки на флешке будут видны, но они будут прозрачными.

Находим и удаляем вирус через свойства ярлыка

Кликаем правой кнопкой на ярлык «свойства» там нас интересует строка «Объект». Она довольно длинная, но в ней есть путь к вирусу. В моем случае, строка двойного запуска выглядела так:

  • «%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support»

Как мы видим сам вирус имеет название 6dc09d8d.exe и находится в папке Recycle на самой флешке. Удаляем данный файл вместе с папкой Recycle.

Удаляем вирус с помощью антивируса

Скачиваем антивирус допустим Dr.Web CureIt! он себя хорошо зарекомендовал. Запускаем антивирус выбираем флешку и ждем пока он найдет и удалит вирусы.  Потом нужно вернуть стандартные атрибуты для файлов и папок это можно сделать двумя способами.

Первый меняем атрибуты через командную строку для этого зажимаем Windows +R вставляем CMD нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

  • cd /d f:\ нажать ENTER, где f:\ — это буква вашей флешки ( с помощью данной команды мы переходим на флешку)
  • attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.
  • Расшифровка атрибутов R – разрешает или запрещает атрибут «Только для чтения», S – превращает файл или папку в системный, H – скрываем или показываем файлы и папки, D – обработка файлов и каталогов, +/- установка /удаление атрибута

Второй меняем атрибуты через bat файл для этого создаем текстовый файл на флешке записываем в неё следующий текст attrib -s -h /d /s и сохраняем с названием 1.bat и после запускаем его.
Если файлов много, то возможно потребуется несколько минут для выполнения команды. Так же если есть возможность используем Dr.Web LiveDisk

Автономный метод удаления вируса

В блокноте создаем файл и копируем туда ниже перечисленный текс после сохраняем его как avto.bat (скачать готовый файл) кидаем на флешку и запускаем от имени администратора. После запуска компьютер попросит ввести букву, соответствующую вашей флешке, что нужно сделать. После этого он удалить папку RECYCLER, файл автозапуска autorun.

inf и вернёт атрибуты папкам, которые стали ярлыками. Вероятнее всего вирус будет удален.
:lable
cls
set /p disk_flash=”Vvedite bukvu vashei fleshki: “
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.

* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

Удаление вируса через реестр

В некоторых случаях вирусы прописывают себя в автозапуск системы. Нажмите клавиши Win + R, в появившемся окне введите regedit и нажмите Enter. Проверьте руками следующие ветки реестра на наличие подозрительных записей:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – эти программы запускаются при загрузке компьютера
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – программы, автоматически запускаемые при входе текущего пользователя

Удалите все подозрительные записи и незнакомые программы

Удаление вируса вручную

  • Во временной папке Temp C:\users\%username%\AppData\Local\Temp ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).
  • Проверяем также папку C:\Users\\Appdata\Roaming\. в ней не должно быть исполняемых файлов с расширение *.EXE и *.BAT. Удаляем все подозрительные файлы.

Восстановление системы

Если вирус недавно появился, то данный способ может помочь.
Нажимаем Windows + R откроется окно выполнить вставляем туда «rstrui.

exe» откроется окошко восстановление системы нажимаем далее выбираем нужную точку выставления по дате потом система спросит вы уверены нажимаем «OK» и начнётся процесс выставления системы.

После восстановления должно появится окошко о удачно окончании процесса.

На этом, пожалуй, все в большинстве случаев выше перечисленные способы должны удалить вирусные ярлыки, но если они не помогли, то копируем скрытые файлы на компьютер и делаем полное форматирование флешки потом копируем обратно и меняем атрибуты.

Источник: https://www.compinf.ru/programmnaya-chast/programmnoe-obespechenie/bezopasnost/virus-yarlyk-na-fleshke-lechenie.html

Проникновение через USB

Как установить вирус на флешку

Как правило, большинство пентестов проводятся по довольно простой схеме. Сначала при помощи социальной инженерии обеспечивается доступ к целевой среде или ее отдельному звену, а затем производится ее заражение техническими средствами.

Вариации проведения атаки могут быть разными, однако обычно классический пентест — это сплав технической части и социальной инженерии в самых различных пропорциях. Недостаток классического пентеста заключается в том, что надо «нащупать» того самого сотрудника и после этого переходить к следующему этапу.

Если бы можно было автоматизировать процесс поиска слабого звена и его дальнейшую эксплуатацию, то это могло бы ускорить процесс пентестинга и значительно повысить конечные шансы на успех.

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Согласно известной статистике, приведенной антивирусными компаниями, около 30% пользователей не пользуются антивирусами, попросту отключают их или не обновляют базы.

Отталкиваясь от этого, можно утверждать, что в любой среднестатистической компании найдется определенная группа людей, которая очень пренебрежительно относится к информационной безопасности, и, в свою очередь, именно этих людей целесообразно использовать для проведения атаки.

Кроме того, любая функционирующая система может быть подвержена влиянию целого ряда случайных факторов, которые также могут временно парализовать систему безопасности:

  • слетели настройки прокси-сервера, из-за чего антивирусные базы не были обновлены;
  • закончился срок лицензии антивируса, а о ее продлении руководство вовремя не позаботилось;
  • сбой работы сети сделал невозможным удаленную распечатку файлов, из-за чего все сотрудники были вынуждены скопировать документы на флешку и распечатать их в другом отделе.

Достаточно только включить воображение, и можно добавить еще десяток вариантов развития событий.

Резюмируя сказанное, можно утверждать, что в любой среднестатистической организации есть потенциально ненадежные сотрудники и иногда возникают обстоятельства, которые могут нарушить привычную работу и парализовать защиту. Поэтому если ударить в нужном месте в нужное время, то атака будет успешна.

Процентное соотношения компьютеров на наличие real-time защитыДругие статьи в выпуске:

  • выпуска
  • Подписка на «Хакер»

На деле задача сводится к следующему: определить, что в данный момент произошло одно из случайных событий, которое привело к снижению безопасности, а после этого воспользоваться данной ситуацией в качестве маскировки и незаметно осуществить атаку.

Фактически задача сводится к тому, чтобы найти человека, который забивает на безопасность, и почему бы не использовать для этого флешки?

Многие вирусописатели очень полюбили флеш-носители, так как они позволяют легко и быстро заражать компьютеры и даже самый элементарный USB-вирус имеет неплохие шансы на успех. Бум autorun-вирусов, который пришелся на 2008 год, спустя пять лет не сбавляет оборотов, более того, USB-вирусы стали еще наглее и порой даже не скрывают своего присутствия.

И в то же время зараженная флешка — это универсальный индикатор грамотности ее владельца в вопросе элементарной ИБ. К примеру, если собрать десять флешек у различных людей, то наверняка у троих-четверых из них будут на флешках вирусы. Если спустя неделю повторно взять у этих людей флешки, то у двоих-троих вирусы останутся.

Исходя из этого, можно утверждать, что на компьютерах, с которыми работают с данной флешки, не стоит даже самая элементарная защита или она по каким-то причинам отключена или не работает вовсе.

Таким образом, даже если распространять самый заурядный вирус, который успешно детектится всеми антивирусами, только среди данной группы людей, то он сможет заразить большое количество компьютеров, прежде чем будет обнаружен. А раз эти компьютеры не имеют защиты, то также он долго сможет оставаться работоспособным.

Подверженность компьютерным угрозам исходя из наличия real-time защиты

Реализация

На определенный компьютер, к которому периодически подключают флешки, устанавливаем специальную программу, работающую по следующему алгоритму. При подключении очередной флешки программа пытается определить, заражена ли она. Так как нельзя учесть все многообразие USB-вирусов, то имеет смысл использовать эвристический подход определения заражения на основе следующих критериев:

  • наличие файла autorun.inf;
  • атрибуты файлов RHS;
  • малый размер подозрительного файла;
  • файловая система не NTFS;
  • отсутствие папки c именем autorun.inf;
  • наличие файлов ярлыков.

Если данная флешка заражена, то программа записывает ее в базу с указанием серийного номера и хеша подозрительного файла.

Если спустя несколько дней флешка повторно подключается к этому компьютеру (а такое происходит почти всегда) и на ней все так же остаются подозрительные файлы, то производится ее заражение нашим «вирусом»; если же подозрительного файла не осталось, то программа удаляет из базы серийный номер этой флешки.

Когда же заражается новый компьютер, вирус запоминает серийный номер материнской флешки и никогда ее не заражает и не анализирует, чтобы спустя время не выдать себя, если владелец флешки «поумнеет».

Для получения серийного номера напишем следующую функцию на основе API GetVolumeInformation:
String GetFlashSerial(AnsiString DriveLetter){ DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo[MAX_PATH]; DWORD VolumeSerialNumber; GetVolumeInformation( AnsiString(DriveLetter + “:\\”).c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, NULL, 0); String S; return S.sprintf(“%X”, VolumeSerialNumber);}

Надо отметить, что функция GetFlashSerial получает не статичный уникальный кодификатор устройства, а лишь серийный номер тома.

Этот номер задается случайным числом и, как правило, меняется каждый раз при форматировании устройства.

В наших же целях достаточно только серийного номера флешки, так как задача жесткой привязки не стоит, а форматирование подразумевает полное уничтожение информации, фактически приравнивая отформатированную флешку к новой.

Теперь приступим к реализации самой эвристики.

bool IsItABadFlash(AnsiString DriveLetter){ DWORD NotUsed; char drive_fat[30]; DWORD VolumeFlags; char VolumeInfo[MAX_PATH]; DWORD VolumeSerialNumber; GetVolumeInformation( AnsiString(DriveLetter + “:\\”).c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, drive_fat, sizeof(drive_fat)); bool badflash=false; if ((String(drive_fat)!=”NTFS”) && (FileExists(DriveLetter + “:\\autorun.inf”))) { DWORD dwAttrs; dwAttrs = GetFileAttributes(AnsiString(DriveLetter + “:\ \autorun.inf”).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN) && (dwAttrs & FILE_ATTRIBUTE_READONLY)) { badflash = true; } } if (!badflash) { TSearchRec sr; FindFirst(DriveLetter+”:\\*.lnk”, faAnyFile, sr); int filep=sr.Name.LastDelimiter(“.”); AnsiString filebez=sr.Name.SubString(1, filep-1); if (DirectoryExists(DriveLetter+”:\\”+filebez)) { DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+”:\\”+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) { badflash = true; } }} return badflash;}

Алгоритм эвристической функции достаточно прост. Сначала мы отсеиваем все устройства с файловой системой NTFS и те, которые не содержат файл autorun.inf.

Как правило, все флешки по умолчанию идут с файловой системой FAT32 (реже FAT и еще реже exFAT), однако иногда системные администраторы или другие сотрудники IT-отдела форматируют их в систему NTFS для своих нужд. «Умники» нам не нужны, их мы сразу исключаем. Следующим этапом проверяем файл autorun.inf на атрибуты «скрытый» и «системный».

Файл autorun.inf может принадлежать и совершенно законной программе, но если в нем присутствуют данные атрибуты, то можно с очень большой вероятностью утверждать, что флешка заражена вирусом.

Сейчас многие вирусописатели стали реже использовать файл autorun.inf для заражения машин.

Причин сразу несколько: во-первых, почти все антивирусы или пользователи отключают опцию автозапуска; во-вторых, на компьютере может быть несколько вирусов, использующих одинаковый способ распространения, и каждый из них перезаписывает файл на свой лад.

Поэтому все чаще начал использоваться способ заражения через создание ярлыков и скрытие оригинальных папок. Чтобы не оставить и эти флешки без внимания, мы проверяем наличие файла ярлыка и наличие папки с таким же именем в корне тома. Если при этом папка также имеет атрибуты «скрытый» и «системный», то помечаем эту флешку как зараженную.

Конечно, эвристика имеет свои погрешности и нюансы, поэтому есть смысл ее тщательно проработать к конкретной задаче, однако в нашем случае можно со 100%-й вероятностью утверждать ее корректность.

Если с эвристическим анализом флешки все в целом ясно, то с «заражением» возможны нюансы. Например, можно попросту перезаписать старый вирус нашим без каких-либо поправок в файл autorun.inf, файлы, ярлыки и прочее.

Таким образом, наш «вирус» получит управление на новом компьютере, но предварительно лучше также сделать старую копию вируса и сохранить в том же каталоге с чуть отличающимся именем.

Если по каким-то причинам на другом компьютере будет работать антивирус, то он обнаружит старый вирус, удалит его, выдаст пользователю предупреждение об успешном уничтожении угрозы — и тем самым обеспечит ложное чувство безопасности у пользователя, а наш «вирус» останется незамеченным.

Кроме этого, в декабрьском выпуске «Хакера» мы также писали об уязвимостях DLL hijacking в различном ПО и о его эффективном применении.

Поэтому если предполагается, что на флешках могут находиться такие программы, как менеджеры паролей или портативные версии различного ПО, то имеет смысл использовать данную уязвимость и тем самым расширить спектр пораженных машин и ценность полученных данных для пентеста.

Кстати, не всегда имеет смысл прибегать к заражению флешек. К примеру, если у ИБ-отдела стоит задача просто периодического мониторинга сотрудников на наличие «ненадежных людей», то разумнее установить данную программу на несколько машин и просто записывать серийные номера флешек и время создания вредоносного файла для сбора статистики.

Тем самым не требуется буквальным образом обыскивать всех сотрудников, и при этом сохраняется конфиденциальность данных на флешках, а на основе полученных данных можно судить также о возможном заражении домашних компьютеров пользователей и состояния ИБ в целом.

Ведь, как мы уже писали ранее, любая система подвержена случайным факторам и не исключен риск появления угроз.

Значения самых популярных угроз

Тестирование

Развернув программу в относительно средней по масштабу сети, уже через неделю мы получили достаточно красноречивые данные.

Более 20% всех подключенных флешек были инфицированы каким-либо вирусом или трояном, и более 15% по-прежнему оставались инфицированными при повторном подключении спустя пару дней.

Надо также отметить, что на многих компьютерах стояла антивирусная защита, которая периодически исполняла свои обязанности.

Однако то привычное равнодушие к выскакивающему предупреждению антивируса, к которому уже давно привыкли пользователи при подключении флешки, не позволяла им предположить, что они имеют дело с совершенно иной угрозой. Ложное чувство безопасности позволяло пользователям без смущения подключать флешку к различным компьютерам, а нашей программе успешно делать свое дело.

Графическое сравнение самых популярных угроз

Коротко об алгоритме

  • Устанавливаем нашу программу на компьютеры в компании.
  • Сканируем подключаемые флешки на наличие признаков зараженности.
  • «Заражаем» флешки пользователей нашим тестовым «вирусом» или переписываем их номера для статистики.

  • Докладываем начальству, наказываем пользователей-раздолбаев, держим, не пущаем и запрещаем.

Подводя черту, можно сказать, что главный недостаток этого метода — его неопределенность.

Никто не знает, когда именно к компьютеру будет подключена та самая «подходящая» флешка, поскольку это сильно зависит от среды, в которой развернута программа. Однако этот недостаток не умаляет главного преимущества метода.

Можно очень долго оставаться незамеченными и, растворяясь среди других угроз, поражать все новые и новые машины полностью в автоматическом режиме. Несложно заметить, что такая методика имеет определенный эффект масштаба.

Чем больше сотрудников работает в организации и чем разнообразнее внутренние коммуникации, тем больший будет результат. Хотя этот подход будет отлично работать в структуре совершенно любого масштаба, ведь его основная задача сводится не к массовому поражению системы, а к целевому удару по самому слабому звену — человеку. ][

Источник: https://xakep.ru/2014/07/07/usb-penetration-testing/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.