Jakim rodzajem pliku jest Autorun.inf ?
Jest to ukryty plik w systemie Windows znajdujący się w katalogu głównym dysku..
Za każdym razem, gdy otwierasz dysk (lokalny, przenośny lub ten w napędzie) lub dysk flash USB (częsty przypadek), system natychmiast sprawdza go pod kątem obecności tego pliku. Jeśli tak, ona patrzy na to, co tam jest napisane i uruchamia się.
Jest to plik startowy, który wskazuje, co system powinien zrobić po uruchomieniu dysku..
Zwykle służy do dobrych celów. Czy zastanawiałeś się kiedyś, dlaczego po otwarciu płyty z programem lub grą włożoną do napędu natychmiast wyświetla się piękne menu z wyborem dalszych działań? A także zwykle ikona dysku jest zastępowana przez inną, od twórców gry / programu. Wszystko to z powodu tego pliku.
I właśnie ze względu na te właściwości wirusy tak bardzo go uwielbiają, że można w nim napisać sposób uruchamiania złośliwego kodu.
Co to jest plik Autorun.inf? ?
Jest to zwykły dokument tekstowy (choć jest ukryty), w którym zarejestrowany jest kod do uruchamiania programów. Można go również otwierać i edytować za pomocą standardowego Notatnika..
Zazwyczaj plik Autorun.inf zawiera następujący kod:
[AutoRun]
shellexecute = 1
Akcja = 2
Ikona = 3
Etykieta = 4
Gdzie:
1 jest ścieżką do programu
2 - nazwa programu
3 - ikona
4 - nazwa dysku (etykieta)
To jest przykład. Jest dla niego wiele poleceń, ale do ogólnej prezentacji wystarczy.
Jak utworzyć plik Autorun.inf dla autorun ?
Jest to rodzaj dodatku na dowcip
1) Utwórz dokument tekstowy o nazwie Autorun.
2) Utwórz folder vindavoz.
3) Otwórz nasz Autorun i wstaw tam
[AutoRun]
open = vindavoz \ MyProg.exe
action = vindavoz \ program
ikona = vindavoz \ MyIcon.ico
label = vindavoz \ Windows
4) Zapisz go z rozszerzeniem .inf
5) Upuść plik i folder w katalogu głównym dysku
Wynik powinien być następujący:
Podczas ładowania dysku (lub napędu flash) ikoną będzie MyIcon.ico. Nazwa dysku to Vindavoz. I natychmiast MyProg.exe otworzy się z nazwą w menu startowym programu.
Oczywiście wszystkie te nazwy są na przykład i powinny już znajdować się w folderze vindavoz.
Cóż, dla „piękna” możesz ukryć te foldery i pliki.
Możesz także po prostu ustawić nazwę i ikonę dysku. Zaskoczenie znajomych faktem, że dysk flash będzie miał własną nazwę, nie jest niczym nowym. Ale kiedy także ikona będzie inna - to już jest fokus
Zawartość pliku AutoRun.inf będzie wówczas:
[AutoRun]
ikona = vindavoz \ MyIcon.ico
label = vindavoz \ Windows
To prawda, że niektóre antywirusy mogą na to przysięgać, ale wiesz, że nie ma w tym nic niebezpiecznego.
Plik AutoRun.inf i wirusy
Obecnie plik autorun.inf jest szeroko stosowany do rozprzestrzeniania wirusów komputerowych za pośrednictwem dysków flash i dysków sieciowych. W tym celu autorzy wirusów wpisują nazwę pliku wykonywalnego ze złośliwym kodem w parametrze open. Po podłączeniu zainfekowanego dysku flash system Windows uruchamia plik nagrany w parametrze „open” w celu wykonania, co powoduje infekcję komputera.
Wirus znajdujący się w pamięci RAM zainfekowanego komputera okresowo skanuje system w celu wyszukiwania nowych dysków, a gdy zostaną wykryte (gdy podłączony jest inny dysk flash lub dysk sieciowy) tworzy na nich autorun.inf z linkiem do kopii pliku wykonywalnego, zapewniając w ten sposób jego dalszy dystrybucja.
Jak usunąć plik AutoRun.inf ?
Zazwyczaj wirus próbuje się bronić na wszystkie możliwe sposoby: ukrywa się, nie można go usunąć, uniemożliwia mu wejście na dysk flash USB itp..
Aby ręcznie usunąć tę brudną sztuczkę, użyj wiersza polecenia (wygrać+r -> wpisz cmd).
1) Przejdź do zainfekowanego dysku flash (spójrz na literę dysku w Moim komputerze)
g:
Mam pamięć flash pod literą g, więc zamiast tego musisz napisać list.
2) Zmień atrybuty pliku na normalne
attrib -a -s -h -r autorun.inf
Jeśli wszystko zostanie zrobione absolutnie dobrze, nic się nie zmieni. Jeśli popełniono błąd, pojawią się odpowiednie informacje..
3) Usuń wirusa
del autorun.inf
Jak usunąć wirusa AutoRun.inf przy użyciu rejestru
Jak dostać się do Edytora rejestru, już napisałem powyżej. Potrzebujemy oddziału [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 \ (nie otwierana litera dysku)]
i usuń z niego podklucz Shell. Możesz usunąć wszystko w sekcji MountPoints2, ale wtedy informacje o wszystkich mediach zostaną usunięte. Ty decydujesz.
Możesz także użyć programu Anti Autorun, który blokuje tworzenie pliku autorun.inf i uniemożliwia autorun uruchamianie złośliwego oprogramowania. Tworzy specjalny folder i plik, które nie zajmują miejsca na dysku.
Kilka innych programów, które mogą ci pomóc, jak myślę, to Autorun Guard i USB_Tool.
Jak chronić się przed wirusami AutoRun.inf ?
Oczywiście Wyłącz autorun!
Pisałem o tym trochę w artykule Jak zabezpieczyć komputer, w szczególności w pierwszej wskazówce. Opisał, jak wyłączyć autorun za pomocą standardowych narzędzi systemu Windows, a teraz opiszę, jak to zrobić „twardo” za pomocą Edytora rejestru.
Otwórz edytor rejestru (wygrać+r -> wpisz regedit) i przejdź do gałęzi HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer, w której tworzymy parametr DWORD (32 bity)
NoDriveTypeAutoRun z wartością dword: 000000ff
Teraz sprawmy, by obrona była jeszcze silniejsza
Faktem jest, że system operacyjny Windows nie pozwala na tworzenie plików i folderów o tej samej nazwie, ponieważ dla niego różnica między plikiem a folderem jest tylko jeden bit.
Jeśli ktoś próbuje się ze mną sprzeczać - utwórz folder w dowolnym miejscu, a następnie plik z tym samym po imieniu.
Z po imieniu, bez przedłużenia.
Dlatego jeśli folder autorun.inf istnieje, nie można już utworzyć pliku o tej nazwie. Dlatego początkową opcją jest utworzenie pliku lub folderu o nazwie autorun.inf. Wirus zobaczy, że taka nazwa już istnieje, będzie obrażona i odejdzie z niczym
To miejsce jest prawdą, ale dlatego, że istnieją „inteligentne” wirusy, które rozumieją, że istnieje plik lub folder o tej samej nazwie i mogą łatwo usunąć utworzony folder (plik) i napisać plik autorun.inf, który uruchomi wirusy.
Aby rozwiązać ten problem, utworzymy niezniszczalny folder superduper . Które można usunąć tylko po sformatowaniu dysku flash USB.
Aby więc utworzyć taki folder, musisz utworzyć prosty dokument tekstowy w Notatniku o następującej treści:
attrib -s -h -r autorun. * del autorun. * mkdir "\\? \% ~ d0 \ autorun.inf \ vindavoz ... \" attrib + s + h% ~ d0 \ autorun.inf
Push Plik - Zapisz jako ... i wprowadź dowolną nazwę, ale najważniejsze jest to, aby rozszerzenie było .nietoperz
Na przykład vindavoz.bat.
Następnie skopiuj ten plik na dysk flash USB i uruchom.
W rezultacie powinieneś dostać folder autorun.inf, w którym będzie się znajdować nieodparty folder vindavoz
Cóż, dla tych, którzy nie chcą się tym przejmować, przygotowałem ten plik w archiwum. vindavoz.zip307 pliki do pobrania: 1555
Wystarczy pobrać, rozpakować, przenieść plik vindavoz.bat na dysk flash USB (dysk) i uruchomić.
Nawiasem mówiąc, jeśli folder po tym był widoczny - zmień atrybut na ukryty, klikając go za pomocą RMB i wybierając Właściwości
Ten „Focus” nie będzie działał na NTFS, ale dyski flash częściej korzystają z FAT, więc możesz z nich korzystać.
P.S.
Po co tworzyć folder w folderze? Tak, ponieważ folder autorun.inf służy jako „wskaźnik”. A jeśli po wędrówce po komputerach wyskakuje ci, a atrybut, który ma, nie jest ukryty, wirusy już chciały go usunąć i zarejestrować w tym celu i zmienić atrybuty. Możesz bezpiecznie wyszukiwać nieznane ukryte pliki i usuwać je. To będą wirusy.
Aby uzyskać ogólną treść informacyjną, możesz przeczytać artykuł na jego temat w Wikipedii..