Panda USB Vaccine — надежная защита флешки от вирусов. Panda USB and AutoRun Vaccine — лекарство от autorun-вирусов на флешке

Из этой статьи вы узнаете, как обезопасить вашу флешку от всевозможных вирусов и вредоносного ПО. Выберем надежное средство для защиты флешки от вирусов и вылечим зараженный usb flash накопитель, используя для этого эффективные антивирусы.

Первые признаки заражения вирусами. Чем опасен автозапуск

На flash-устройствах, в отличие от CD и DVD , можно производить любые файловые операции, вплоть до форматирования. Итак, вирус копируется на флешку. Первым признаком этому - появившийся в корне диска файл autorun.inf.

Как только вы вставите носитель в USB -разъем, срабатывает механизм автозапуска. По двойному нажатию на значок флешки в Проводнике запускается приложение, путь к которому был указан в autorun.inf. Вирус загружается в оперативную память и копирует файлы в системную область диска. Вычислить программу в процессах диспетчера задач чаще всего невозможно, так как вирусы маскируются под важные процессы: services.exe, lsass.exe и т. п, без которых ОС не может работать в принципе.

Заражение происходит мгновенно и незаметно для пользователя. Взять, например, действия вируса Trojan-Downloader.Win32.VB.hkq. Все папки на flash-устройстве он делает скрытыми и заменяет их одноименными исполняемыми файлами. Если в Проводнике отключен показ расширения файлов, отличить файл от каталога невооруженным глазом невозможно, поскольку exe-файлам присваиваются значки с изображением папок Windows.

При самостоятельном поиске следов деятельности вируса, первым делом, нужно включить показ скрытых файлы. Для этого идем в Проводник Windows и в меню Сервис -> Свойства папки, во вкладке “Вид”, в дополнительных параметрах, выставляем флажок “Показывать скрытые файлы и папки”.

Если после этого в корне диска вы увидите файл autorun.inf, то это верное свидетельство того, что ваша флешка инфицирована. Кроме того, на диск записываются папки и файлы с названиями, которые создавали явно не вы. Какие файлы нужно удалить в обязательном порядке:

• файлы autorun.*, где * – это любое расширение файла;
• неизвестные файлы с расширениями.inf .com .sys .tmp .exe;
• папки RECYCLER или RECYCLED .

Совет : если вы хотите стереть с флешки зараженный файл, а он никак не удаляется, воспользуйтесь программой Unlocker.

Не факт, что данный способ поможет вам справиться с задачей, но может «очень повезти», и вирус не восстановится.

Будьте внимательны: безбоязненно можно удалять только те файлы, которые не составляют для вас никакой важности. В то же время, копировать данные к себе на компьютер мы не рекомендуем, т. к. во вложенных папках могут содержаться инфицированные данные. Убедитесь, чтобы в папках не было файлов с непонятным расширением, поскольку вирус может заменить папки исполняемыми файлами и скрыть их от ваших глаз. В Проводнике нужно выставить показ расширения файлов: меню Сервис -> Свойства папки, вкладка “Вид”, в дополнительных параметрах убрать флажок “Скрывать расширения для зарегистрированных типов файлов”.

Может возникнуть проблема с атрибутами файлов, а именно: не отображаются скрытые файлы, даже если включить их показ. Это еще одна проделка вирусов. Откройте реактор реестра и в ключе CheckedValue ветви замените значение «0» на «1».

Для надежности флешку можно отформатировать. Никакой пользы, однако, от этого не будет: удаляйте/не удаляйте, а при следующей вставке флешки вирус, подобно Фениксу, возродится.

Есть один способ защитить носитель от некоторых autorun-вирусов. Он достаточно прост и, по отзывам пользователей на software-форумах, позволяет вообще забыть о данной проблеме (но это ложное рассуждение). На флешке нужно создать папку (именно папку!) autorun.inf. В таком случае операционная система, теоретически, не разрешит ни одному процессу создать одноименный файл. Но есть вирусы «похитрее», которые обходят данный тип защиты, удалив каталог и перезаписав вместо него файл autorun’а. Поэтому и описанный способ, увы, бесполезен, т. к. он не полностью застрахует от проникновения вирусов на флешку…

Как видите, мы перечислили несколько советов, но каждый из них по отдельности безуспешен. Вообще, механизм поиска вирусов достаточно сложен, и ручное удаление и защита - это подчас рутинное и безуспешное занятие. К тому же, если вы не достаточно опытный пользователь, вы рискуете удалить «что-то не то». Ошибочное удаление важного системного файла или ключа в реестре может обернуться плачевно. Но - должны вас обрадовать! Совсем не обязательно вручную удалять вирусы. Существуют программы куда более эффективные, чем наши мероприятия.

Выбираем надежный антивирус для флешки

Avast Free

1. - бесплатный антивирус с обновляемыми вирусными базами. Умеет проверять на вирусы съемные устройства). Проверка на вирусы происходит в автоматическом режиме. Как только вирус пытается запуститься с флешки, антивирус Avast Free обнаруживает угрозу и блокирует ее. Тем не менее, перед тем, как открыть usb-накопитель, советуем не использовать автозапуск и проверить флешку на вирусы, указав ее антивирусу.

Dr Cureit

Еще один отличный антивирус для флешки. Он удобен для одноразовой проверки съемных носителей, жесткого диска, областей памяти на вирусы. При каждой проверке рекомендуется скачивать последнюю версию Dr Cureit, поскольку она содержит необходимые антивирусные базы. То есть, это вполне неплохой вариант защиты флеш-накопителя.

USB Disk Security - антивирус на флешку

Разработчик: Zbshareware Lab.
Лицензия: shareware
Краткое описание: программа для защиты USB-флешки от вирусов и предотвращения запуска вредоносных программ

Практика показывает, что не каждый антивирус - даже с обновленными базами - способен обнаружить потенциальную опасность в автоматически запускаемых приложениях. Сейчас количество инфицированных флеш-брелоков резко возросло. Это доказывает, что необходимость в программе, которая защитит компьютер от вредоносных программ, все еще не отпала.

После установки программа предлагает отключить автозапуск - как потенциальную опасность для компьютера. По сути, так и есть: в качестве Autorun можно замаскировать любое приложение или действие (даже «Открыть в Проводнике»).

USB Disk Security - своего рода антивирус для флешки. Работает защита следующим образом. Если на флешке обнаружена программа, которая пытается запуститься, об этом будет сообщено пользователю. Информация отобразится в соответствующем разделе, а попытка запуска приложения будет пресечена. Опасный элемент можно незамедлительно удалить.

Помимо прочего, отметим опцию «Защита памяти». Под ей понимается мониторинг, при котором отслеживаются потенциальные программы-вредители, находящиеся в оперативной памяти. Их также с легкостью можно выгрузить. В разделе «Система» собраны инструменты «Очистка реестра» (восстановление настроек) и «Очистка диска» (удаление временных файлов Internet Explorer из кэша).

Несмотря на то, что программа USB Disk Security занимает меньше 4 мегабайт, в ее антивирусной эффективности не стоит сомневаться. Хотя проверка флешки на вирусы с ее помощью не представляется возможной, Disk Security отлично дополнит любую антивирусную программу. Если вы постоянно работаете со съемными носителями, приложение должно постоянно находится в трее.

Panda USB Vaccine

Одна из вспомогательных программ для защиты флешки от вирусов - Panda USB Vaccine. Она признана одной из наиболее эффективных в своем роде. Суть метода состоит в том, что программа записывает на флешку «свой» autorun.inf, который уже не может быть переписан вирусами, как бы они не старались заразить носитель.

Panda Research USB Vaccine - популярный антивирус для usb-флешки

Рассмотрим программу в действии. Устанавливать ее не нужно, достаточно согласиться с условиями лицензии. После запуска появляется окно, в котором предлагается выбрать устройство для обработки. Как правило, ничего выбирать не нужно, если в данный момент вы работаете только с одним съемным носителем. На всякий случай удостоверившись, что буква диска правильная, нажимаете Vaccinate USB - и готово, защита флешки от вирусов включена. О заражении через autorun можно забыть.

У программы Panda USB Vaccine есть один недостаток: программа работает только с устройствами, отформатированными в файловой системе FAT и FAT32.
Совет. Выполнить перевод из одной файловой системы в другую средствами операционной системы можно следующим образом: Пуск - Выполнить, «convert x: /FS:NTFS», где «x» - буква съемного носителя.

Аналогичные функции по модификации autorun.inf предоставляют программы Flash Disinfector и USB Disk Security . Первая создает в корне диска папку AUTORUN .INF с файлом, который нельзя удалить простым способом. Вторая создает папку autorun.inf с модифицированным путем, что вводит всякий вирус в недоумение. Тем самым обе программы предохраняют флешку от записи на нее вирусов.
Еще одна полезная и небольшая программа по борьбе вирусами, о которой стоит упомянуть – Autostop.

Защита флешки от записи новых файлов и вирусов

У данной утилиты (скрипта) в запасе имеется 3 функции:

1. Отключение autorun на компьютере,
2. Защита флешки от autorun-вирусов,
3. Защита от записи на флешку новых файлов.

Работа с программой до невозможности проста. Запускаете скрипт и видите список функций. Затем нажимаете одну из трех клавиш: 1, 2 или 3. Можно нажать их по порядку, чтобы включить сразу все опции.

Отдельно должны сказать о функции под номером 3. Зачем защищать брелок от записи, если есть команды 1 и 2? И как работать с флешкой, если ее основная функция, по сути, урезается? Все объясняется просто. В частных случаях флешка используется как загрузочный диск. Если , тогда она не сможет выполнять свои обязанности. Вот в таком случае и пригодится функция под номером 2. При этом все свободное пространство флешки будет заполнено, что предотвратит ее от произвольной записи файлов.

Антивирус Flash Guard

Flash Guard - еще один антивирус, предназначенный для установки на флешку. Программа делит компьютерные устройства на съемные, несъемные, сетевые и другие. Flash Guard позволяет гибко настроить автозапуск. Так, в настройках можно включить/отключить автозапуск в целом или настроить действия при вставке носителя в частности:

• Удаление добавленных файлом Autorun.inf пунктов в контекстном меню диска
• Информирование пользователя о наличии на диске файла Autorun.inf
• Удаление файла Autorun.inf
• Удаление всех файлов Autorun.*

Программа Flash Guard работает практически незаметно, сворачиваясь в область уведомлений Windows.

Программа USB

Упомянем «самых маленьких» - программу USB (http://sputnik70.narod.ru/usb.html). Даже в скромные 10 Кб кода, как оказалось, можно вместить самое необходимое для борьбы с вирусами. Опять же, программа предназначена для слежения за autorun.inf файлами. USB находится в оперативной памяти и при подключении новых дисков автоматически переименовывает находящиеся на флешке файлы autorun.inf в autorun.inf_renamed. В результате «значительно снижается вероятность заражения компьютера вирусами распространяющимися через flash-накопители» - как говорится в руководстве.

Как проверить флешку на вирусы онлайн

К слову, вышеупомянутые антивирусные комплексы (Kaspersky и ), через официальный сайт, предлагают также проверить флешку на вирусы онлайн. Удобство онлайн-проверки заключается в том, что вам не нужно устанавливать ресурсоемкие антивирусы на свой компьютер. Кроме того, данная услуга бесплатна.

Как показала практика, обновление антивируса не помешает. Разработчики не дремлют, и наиболее распространенные autorun-вредители флешки уже имеются в базе. С большой долей вероятности их даже можно найти и ликвидировать. Тем не менее, антивирус - не панацея от всех бед.

В сущности, autorun-вирусы могут быть практически безвредными (если не считать влияния на нервную систему пользователей) и не распознаваться антивирусными программами. В таком случае можно и нужно воспользоваться программами, которые обрабатывают usb-носитель таким образом, чтобы на него не смогла скопироваться информация для автозапуска. Это не совсем программы для удаления вирусов (см. список выше), тем не менее, отличная альтернатива для обеспечения безопасности для вашей флешки.

Эту и предыдущую программы объединяет то, что они защищают не флешку, а отдельно взятый компьютер. Вообще, мы настоятельно рекомендуем совмещать методы защиты от autorun-вирусов: во-первых, вакцинировать флешку, во-вторых - устанавливать на компьютер антивирус и, в обязательном порядке, одну из вышеупомянутых программ.

Напоследок - несколько советов по теме. Соблюдая их, вы наверняка обезопасите свой компьютер от autorun-вирусов.

1. По возможности, никому не давайте свой флеш-брелок в личное пользование. Тем самым вы обезопасите себя от autorun-вирусов. А если уж и есть желание поделиться, не забудьте скопировать все важные данные с флешки себе на компьютер.
2. Если вирусы заблокировали доступ к файлам или запись на флешку стала невозможной, см.
3. Проверяйте накопитель на вирусы сразу после вставки в USB -гнездо, выбрав из контекстного меню команду сканирования.
4. По возможности, не открывайте сменные носители двойным кликом или через окно «Открыть…». Используйте при работе файловый менеджер Total Сommander или другие файловые менеджеры.
5. Сейчас это редкость, но на некоторых flash-устройствах производители помещают кнопку защиты от записи файлов. Если вы копируете информацию с флешки на компьютер (а не наоборот), было бы не лишним переключиться в данный режим.
6. Если зажать Shift на 10 секунд при подключении съемного носителя, автозапуск не сработает, даже если данная функция на компьютере активирована.

11 марта 2009 в 22:00

Panda USB and AutoRun Vaccine - лекарство от autorun-вирусов на флешке

• Информационная безопасность

5 марта я написал свою статью о для защиты флешек от autorun-вирусов, получившую немалый отклик. И только я сегодня собрался писать новую статью об альтернативном (более надежном) методе, как на одном из ресурсов, в теме , посвященной обсуждению скрипта, мне подсказали программу Panda USB and AutoRun Vaccine , работающую именно по методу, который я хотел описать. Причем работающую просто блестяще ! Файл autorun.inf , создаваемый ею на флешке (дабы предотвратить создание такого файла вирусом) невозможно ни удалить, ни переименовать (в чем была слабость моего скрипта), ни модифицировать, ни открыть.

Познакомимся с программой поближе, рассмотрим ее возможности и метод, на котором базируется принцип работы.

МЕТОД

Прежде всего расскажу о методе.

Буквально через несколько дней после опубликования мною статьи, пользователь ЖЖ __x_tra
отписался в моем ЖЖ об альтернативном способе защиты флешки от autorun-вирусов, который он придумал: на флешке создается файл или каталог с названием AUTORUN.INF, и с помощью WinHex этому файлу или каталогу выставляется недопустимый атрибут. Напомню, что согласно FAT32 File System Specification , более известной как FATGEN (мы здесь рассматриваем защиту флешек с FAT):

File attributes:
ATTR_READ_ONLY 0x01
ATTR_HIDDEN 0x02
ATTR_SYSTEM 0x04
ATTR_VOLUME_ID 0x08
ATTR_DIRECTORY 0x10
ATTR_ARCHIVE 0x20
ATTR_LONG_NAME ATTR_READ_ONLY | ATTR_HIDDEN | ATTR_SYSTEM | ATTR_VOLUME_ID
The upper two bits of the attribute byte are reserved and should always be set to 0 when a file is created and never modified or looked at after that.

В варианте же, придуманном __x_tra предлагалось поставить два верхних бита не в 0, а в 1. Байт атрибутов получался таким: 0xF7 (ATTR_ARCHIVE+ATTR_DIRECTORY+ATTR_SYSTEM+ATTR_HIDDEN+ATTR_READ_ONLY+два старших бита 11). Еще предлагались возможные варианты в виде 0xC7, 0xD7, 0xE7. Я протестировал метод - он оказался рабочим! AUTORUN.INF с присвоенным таким образом атрибутом, невозможно было открыть, переименовать и модифицировать. Меня лишь смущало 2 фактора:

• Корректность такого способа: как он отразится на работоспособности файловой системы.
• Повторяемость способа: каким образом объяснить простому пользователю что такое WinHex, и с чем его едят.

ПРОГРАММА

Вернемся теперь к программе Panda USB and AutoRun Vaccine.

Напомню что «Panda USB Vaccine currently only works on FAT & FAT32 USB drives». Маленький размер файла (всего 393Kb) и спартанский интерфейс - все продумано, ничего лишнего. Добавлю что программа бесплатная.

Начну с кнопки «Vaccinate USB» . Я специально создал заранее на флешке файл autorun.inf с атрибутами RAHS - это никоим образом не помешало программе, при нажатии на упомянутую кнопку, перезаписать его своим одноименным файлом, который, как я говорил в начале статьи «невозможно ни удалить, ни переименовать (в чем была слабость моего скрипта), ни модифицировать, ни открыть». Открываем флешку в WinHex, смотрим атрибут файла autorun.inf. И что же мы видим:

Мы видим что аналогично способу __x_tra , изменен атрибут файла: 0х40 . В статье FAT12, FAT16 and FAT32 Windows File System находим расшифровку, которой нет в FATGEN:

0x40 Device (internal use only, never found on disk)
0x80 Unused

Т.е. атрибут 0x40 не так уж «некорректен» - он «в рамках спецификаций». Чесно говоря, я очень рад, что ребята из Panda Software реализовали этот способ в крохотной программе, нажатием одной лишь кнопки - не заставляя пользователя прибегать к WinHex.

Замечу что средствами программы отменить вакцинацию флешки невозможно. Если уж появилась необходимость создать на флешке свой autorun.inf (например, чтобы сделать ее загрузочной) - то WinHex вам в помощь, или переформатирование (для этой цели, кстати, хорошо использовать HP USB Disk Storage Format Tool).

Вторая кнопка программы «Vaccinate computer» . Проверим что она делает:

Это знакомый мне (еще до создания скрипта AUTOSTOP, я использовал именно этот метод) придуманный Nick Brown способ :

REGEDIT4
@="@SYS:DoesNotExist"

USBVaccine.exe /resident

То она будет висеть резидентно, и при подключении новой флешки, будет предлагать вацинировать ее:

ВЫВОДЫ

Из известных мне на сегодняшний день способов защиты флешек с FAT от autorun-вирусов это самый надежный. Понятно что раз такие вещи умеет делать программа от Panda Software, то рано или поздно вирусописатели тоже могут этому научиться - но это вопрос времени, а в данном случае время выиграно, и выигрыш в пользу защиты.

* Интересно что программа Panda USB Vaccine 1.0.0.19 beta вышла 5 марта - в тот же день, когда была написана моя статья о скрипте AUTOSTOP. Возможно в будущем 5 марта назовут международным днем борьбы с autorun-вирусами:)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

UPD:

В комментариях высказывалась идея о том, что было бы логично сделать создаваемый «Panda USB and AutoRun Vaccine» защищенный файл autorun.inf скрытым (чтобы не попадался на глаза пользователю, и не провоцировал его переформатировать флешку, уничтожив защиту). И вот

Если вы читаете эту статью, то прекрасно знаете, какие неприятности доставляют вирусы применительно к флешке. Подключаем свою флешку к зараженному компьютеру и видим, что вирус скрыл папки на флешке. Часто случается, что все . Чтобы избежать подобных неприятностей, можно вакцинировать флешку при помощи специальной программы. После этой прививки, вирусам типа Autorun, будет закрыть доступ к файлу AUTORUN.INF.

Загрузка и установка программы

На самом деле, программ, предназначенных для защиты флешек от заражения, существует множество. Однако мы остановили свой выбор на утилите, которая создана той же фирмой, что антивирус Panda — Panda USB Vaccine.

Для вакцинации флешки, выбираем необходимое устройство (если к компьютеру подключено несколько флешек) Select an USB drive и нажимаем кнопку Vaccinate USB .

В результате вакцинации, на флешке будет создан файл AUTORUN.INF, который защищен от изменения. Дело в том, что вирусы очень любят файл AUTORUN.INF, который размещен в корневом каталоге флешки. Они вносят в него изменения и после подключения зараженной флешке к незащищенному компьютеру, происходит заражение ПК. После вакцинации, вирусы не смогут изменять AUTORUN.INF, соответственно, можно с более спокойным сердцем подключать свою флешку к чужому компьютеру.

Здравствуйте! Многие из нас пользуются USB накопителями. Флешки очень популярны и удобны. Сейчас они являются основными посредниками для переноса информации с одного компьютера на другой. Но не многие знают, что эти компактные переносные устройства могут нести в себе угрозу для нашего компьютера.

Флешка, побывавшая в зараженном компьютере, сама становится носителем вируса. И в последующем, через нее вредоносные программы могут попасть в здоровый компьютер. Распространение вируса происходит автоматически через файл autorun.inf . На самом деле этот файл совершенно безвредный и служит для автозапуска программ с внешних носителей. Т.е. при установке флешки на компьютер, система Windows распознает тип программ и сразу их запускает. Но также через файл autorun.inf в авторежиме запускается и вредоносное ПО, имеющееся на носителе.

Антивирусная утилита Panda USB Vaccine отключает функцию автозапуска файлов с подключенного внешнего устройства, а также с самого компьютера. Происходит своеобразная вакцинация устройств, для обезвреживания autorun-вирусов. От других типов вирусов должен защищать установленный на компьютере антивирус. Другими словами, если Вы сами запустите на внешнем носителе файл, содержащий вирус, не относящийся к авторан, то блокировать его должна антивирусная программа компьютера.
Для скачивания бесплатной программы Panda USB Vaccine, переходим на официальный сайт разработчика www.pandasecurity.com .

В окне “Configuration settings” переведем основные пункты настроек:

Run Panda USB automaticity computer boots — запуск утилиты при загрузке системы компьютера.

Hide tray icon when /resident mode is active — иконка программы будет невидимой в трее, программа будет работать.

Automatically vaccinate any new resident USB Key — автоматически вакцинировать любой новый подключенный USB накопитель.

Enable NTFS file system support — включить поддержку файловой системы NTFS.

Я думаю, иконку лучше оставить видимой в трее и не включать функцию автоматического вакцинирования новых накопителей.

На этом установка программы завершается. Переходим непосредственно к вакцинированию. Вызвать утилиту Panda USB Vaccine можно кликнув два раза на иконку в виде шприца в трее.

В главном окне программы есть два основных раздела: “Computer Vaccination” и “USB driver Vaccination”.

В первом разделе если нажать на кнопку “Vaccinate computer”, то будет отключен автозапуск на компьютере. Оранжевая запись говорит, что компьютер не вакцинирован.

Второй раздел предназначен для отключения автозапуска USB накопителей.

Обратную процедуру включения автозапуска Autorun компьютера, можно сделать данной утилитой, что нельзя сказать про вакцинированные флешки. Чтобы вернуть автозапуск внешним накопителям, нужно будет их форматировать или искать сторонние утилиты.

На этом обзор утилиты Panda USB Vaccine окончен.

И регулярно его обн овлять. Защищать компьютер дело привычное, установил антивирус, обновил базы и забыл про вирус на какое-то время до следующего обновления антивирусной базы или самого антивируса, но пора бы задуматься о защите вашей флешке.

Обычно авторы (вирус создатели ) вредоносных программ распространяют свои творения через всемирную паутину. Антивирус с обновлёнными базами в большинстве случаев отлично отбивает атаки с инфицированных сайтов. Есть и другие популярные способы распространения заразы, через карты памяти, флешки, съёмные диски и другие внешние носители хранения данных.

При заражении флешки вирусом, он создаёт на флешки файл Autorun.inf и когда пользователь открывает подсоединённую к компьютеру карту памяти, флешку мгновенно активируется автозапуск, если антивирус отсутствует червь поселяется в компьютер и начинает распространяться способом копирования и творит там свои тёмные дела, начиная от шпионажа и заканчивая уничтожением всех имеющихся файлов, данных пользователя.