1. Призначення файлу autorun.inf
2. вірус autorun
3. Ознаки зараження флешки
4. Ознаки зараження системи
5. джерела зараження

Флешки - основне джерело зараження для
комп'ютерів, які не підключені до Інтернету
- Wikipedia

У наш час мало хто замислюється про таке поняття, як комп'ютерна безпека. Тож не дивно, адже тема ця досить обширна і більшість матеріалу на цю тему розраховане на підготовленого користувача. Але варто пересічному користувачеві зіткнутися з проблемою вірусів (наприклад, поява файлу autorun.inf на флешці), як тут же починаються активні пошуки методів захисту і боротьби з ними.

У цій статті буде розглянуто:

1. Призначення файлу autorun.inf
2. вірус autorun
3. Ознаки зараження флешки
4. Ознаки зараження системи
5. джерела зараження

Призначення файлу autorun.inf

Файл autorun.inf (від англ. Auto - автоматичний і run - запуск) використовується в операційній системі Microsoft Windows для автоматичного запуску додатків з носіїв, що дозволяє значно спростити дії користувача при установці додатків і драйверів з накопичувачів.

Файл автозапуску можна зустріти практично на будь-якому диску з програмним забезпеченням або драйвером до якого-небудь пристрою. Крім цього він виконує функцію автозапуску меню на флешках з попередньо встановленими або портативними утилітами.

Структура файлу autorun.inf розділена на блоки, параметри і значення. У файлі містяться параметри, що описують диск, такі як: як мітка диска, іконка диска, що запускається файл і деякі інші специфічні параметри. Зокрема, для автоматичного запуску будь-якої програми з флешки при її підключенні до комп'ютера у файлі autorun.inf буде достатньо двох рядків:

[Autorun]
open = имя_файла

Де [autorun] - ім'я блоку, open - ім'я параметра, имя_файла - містить шлях до файлу програми, яке буде автоматично запущено.

Варто відзначити, що worm win32 autorun здатний обфусціровать (заплутувати) вміст файлу autorun.inf, тим самим ускладнюючи аналіз файлу. Однак, програма для захисту флешки Antirun без проблем розпізнає вміст файлу автозапуску, над яким попрацював autorun черв'як.

вірус autorun

Спочатку невинне призначення файлу автозапускасо часом стало використовуватися вірусопісателямі як ефективний спосіб поширення worm win32 autorun. Сам по собі файл autorun.inf не містить виконуваний код вірусу, він є лише засобом запуску autorun хробака.

Вірусом autorun називається такий тип вірусів, які поширюються за допомогою копіювання виконуваного файлу (своєї копії) на знімні носії і прописуючись в файл автозапуску autorun.inf, таким чином, заражаючи їх. Зараження схильні абсолютно всі зовнішні накопичувачі (флешки, mp3-плеєри, цифрові камери та інші пристрої), які не захищені яким-небудь чином від запису на диск (апаратний захист, або ж уже існуючий в корені диска захищений файл або папка autorun.inf) .

У Windows XP autorun за замовчуванням запускається зі знімних носіїв. Існує маса способів усунення цієї уразливості: від установки офіційних латочок (оновлень) від Microsoft до застосування різних налаштувань. Програма для захисту флешки від вірусів Antirun при установці автоматично усуває цю вразливість. Також в настройках програми є відновлення функції автозапуску.

У Windows 7 autorun обробляється трохи інакше: по-замовчуванню автозапуск зі знімних носіїв відключений, однак це не забезпечує захист від autorun вірусів з флешок. Тому для захисту від worm win32 autorun рекомендується використовувати програму Antirun разом з основним антивірусом.

Ознаки зараження флешки

Наявність файлу автозапуску на CD диску з грою означає скоріше те, що на диску є інсталятор гри. Аналогічно, як і на CD диску з фільмом присутній меню з можливістю встановити кодеки для перегляду відео. Однак, присутність файлу autorun.inf на флешці (mp3-плеєрі, цифровій камері або іншому цифровому носії) вже викликає підозру і з великою часткою ймовірності вказує на присутність autorun хробака на флешці.

Розглянемо типовий приклад зараженого знімного диска:

На малюнку явно видно, що на знімному диску (G :) присутній прихований файл autorun. inf і прихована папка RECYCLER. Аналізуючи вміст файлу автозапуску, стає зрозуміло, що при автозапуску знімного носія запускається файл jwgkvsq.vmx (worm win32 autorun) з папки RECYCLER.

Зрозуміло, для перегляду прихованих файлів і папок в Провіднику, необхідно поставити відповідну галочку в налаштуваннях виду папок (пункт Сервіс в меню Провідника - Параметри папок - Вид).

Варто нагадати, що не завжди файл автозапуску є ознакою зараження вірусом worm win32 autorun. Можливо, на флешці присутній автоматичне меню з набором портативних програм, або ж файл autorun.inf вказує тільки на іконку пристрою.

Якщо при спробі відкриття файлу autorun.inf система видає повідомлення про те, що доступ до файлу неможливий, швидше за все, система вже заражена і доступ до файлу заблокував worm autorun.

Розглянемо роботу антивірусної утиліти Antirun в даному випадку. При підключенні пристрою, зараженого вірусом autorun (файл jwgkvsq.vmx), програма Antirun попередить користувача про існуючу загрозу в спливаючому діалозі в області над системним треєм:

На даному діалозі видно, що Antirun розпізнав можливістю автоматичного запуску файл (jwgkvsq.vmx) і запропонував його видалити. Також з даного діалогу можна безпечно відкрити диск, чи не запускаючи файл вірусу, переглянути інформацію про диск, або безпечно витягти пристрій.

Ознаки зараження системи

Як правило, більша частина autorun вірусів, при своїй діяльності, блокують ті чи інші функції системи, за допомогою яких користувач може будь-яким чином протистояти загрозі. Самі основні з них:

1. При спробі запустити диспетчер задач Windows з'являється повідомлення «Диспетчер завдань відключений адміністратором».
2. При спробі запустити редактор реєстру Windows з'являється повідомлення «Редагування реєстру заборонено адміністратором системи».
3. На дисках створюється прихований файл autorun.inf, а при видаленні створюється знову.
4. Неможливо відкрити або видалити файл autorun.inf. Windows повідомляє, що доступ до файлу неможливий. Це типовий прояв активності хробака worm win32 autorun.
5. При спробі відкриття диска відкривається діалог «Виберіть програму для відкриття цього файлу»
6. При спробі відкриття диска він став відкриватися в окремому вікні;
7. З меню Провідника Сервіс зник пункт Властивості папки.

джерела зараження

Широке поширення worm win32 autorun отримав завдяки повсюдного використання зовнішніх накопичувачів. Зараз практично у кожного користувача ПК є флешка (а то й кілька), цифровий плеєр або камера з картою пам'яті. Використовуються ці пристрої на різних комп'ютерах, більшість яких навіть не захищені антивірусом, не кажучи вже про актуальні базах вірусних сигнатур.

Джерелом зараження вірусом worm win32 autorun може послужити будь-який заражений комп'ютер. Це може бути:

• фотолабораторія, куди ви віддали флеш-карту для роздруківки фотографій;
• Робочий комп'ютер;
• комп'ютер друзів;
• інтернет-кафе та інші публічні місця.

Також відомі випадки, коли нова флешка, куплена в магазині, вже містила worm win32 autorun.

На закінчення варто додати, що за досить довгу історію існування autorun вірусів і з'явилася за цей час масу методів захисту та профілактики, проблема все ще залишається актуальною. Далеко не всі лідируючі на ринку комплексні антивірусні рішення здатні грамотно впоратися з цим завданням. Для надійного захисту від autorun вірусів рекомендується використовувати антивірусну утиліту Antirun спільно з основним антивірусним комплексом.

У наступних статтях будуть розглянуті методи захисту системи і зовнішніх пристроїв (флешок, mp3-плеєрів, камер та ін.) Від вірусів autorun, які використовує в своїй роботі антивірусна програма Antirun.