[sereja6]

Цитата Petya V4sechkin:

Какого? »

KB971029 Есть смысл AutorunDisabled отменить и включить его, ото с ним автораном CD/DVD не запускаются

[sereja6]

Заупстил AutorunEnable я, затем вставил заражённую флэшку, она сама открылась, я закрыл окно и специально открыл двойным нажатием. Затем проверил папку систем 32 каспером и вирусов не обнаружено. Походу майкрсофт реально отключили все авторан инф файлы.

[volk1234]

Покурил несколько мануалов по отключению автозапуска -возник вопрос по ветке:

Код:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Параметр

@="@SYS:DoesNotExist"

Просто ссылается на несуществующий раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist ??

Если это так, то с точки зрения защиты от вирусов неплохо было бы регулярно менять или использовать одно но собственное название несуществующей ветки - иначе что помешает вирусописателям создать такой раздел и поместить в него необходимые им команды ?

[Odenn]

Ещё, как вариант, купить флешку, как в этом обзоре : http://planetsecurity.org.ua/zhelezo...tivirusom.html

[Habetdin]

Можно ссылку на пост со способом отключения autorun, действующем так?

Цитата Petya V4sechkin:

из AutoRun.inf берется только оформление (параметры label и icon), а остальные (всякие open, shell, shellexecute) игнорируются »

[okshef]

Обновление KB971029
для русской версии Windows XP
для русской версии Windows Vista

[volk1234]

Цитата DmB89:

Включить обратно эту обработку "антитвиком" Код: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @=- - не удаётся. В реестре остаётся пустое значение параметра, а должно стать "По умолчанию". Это вовсе не значит, что так и надо прописывать. Надо вручную удалить этот параметр в реестре, и он создастся сам с нужным значением. Почему так происходит - этого я не знаю, может более опытные форумчане что-нибудь добавят. »

А если так:

Код:

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

В чистой WinXP SP2 этот раздел вообще отсутствует.

[volk1234]

Продолжил исследования Dmb89 в сфере автозапуска и воздействия различных параметров на него.
Во первых, после прочтения теории:
http://support.microsoft.com/kb/967715/
http://ru.wikipedia.org/wiki/Autorun.inf

опровергну высказывание:

Цитата DmB89:

Дело в том, что ключики NoDriveAutoRun и NoDriveTypeAutoRun в разделе реестра Код: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer отвечают вовсе не за автозапуск, как можно решить из названия, а за авто воспроизведение!!! »

На самом деле, этот параметр отключает самый что ни наесть авто запуск.
Дальше много текста:

читать дальше »

С этого вопроса я и решил начать «копать». Да, Dmb89 совершенно прав в разделении автозапуска на автозапуск и авто воспроизведение. Однако, после изучения возможных команд файла Autorun.inf видно, что автозапуск и авто воспроизведение используются в файле Autorun.inf (зачастую вместе) и самой системой при определении необходимого действия автозапуска. Команды файла Autorun.inf open и shell – относятся к автозапуску, а вот label, icon, shellexecute, блок [content] – к авто воспроизведению.
Поэтому перед MS стоял вопрос не просто отключить одну или две технологии, либо файл Autorun.inf . Необходимо было отключить части этих технологий, переплетающихся между собой, без ущерба для функционала и удобства использования. Сам файл Autorun.inf отключить можно без проблем. Но как тогда быть с автозапуском DVD с играми? Как быть с авто воспроизведением контента с носителей в нужное приложение?

Я решил проверить все сам. Опыты проводились на чистой Windows XP SP2 VLK. Для тестов на всех носителях были созданы файлы autorun.inf ( http://forum.oszone.net/post-757735-32.html ), файл иконки, исполняемый файл.

Код:

Hdd – раздел жесткого диска;
Usb - флэш диск;
CD – компакт диск;
Net – для каждого опыта заново подключался сетевой диск;*

* Сетевые диски:
Настройки контекстного меню кэшируются в неизвестном для меня месте (но не в реестре). Поэтому пункты автозапуска останутся даже после удаления файла Autorun.inf с этого диска до отсоединения (возможно просто кэшируются файлы). Значка из Autorun.inf я так и не дождался.


Все остальное на картинке:

читать дальше »

Далее комментарии по номерам опытов.

1. Как видим отключение службы ShellHWDetection (Определение оборудования оболочки) вовсе не панацея, но что странно, автозапуск флэш дисков перестаёт обрабатыватся полностью. Остальные источники «отделываются» исчезновением иконок (по видимому служба отвечает и за иконки).

2. NoDriveTypeAutorun наиболее известный параметр. На чистом SP2 этот параметр выставленный в 255 (0xff) отключил все виды автозапуска на всех источниках, кроме сетевого диска. Хотя на wikipedia пишут:

Цитата:

Следует отметить, что запрет автозапуска при помощи вышеприведённого ключа реестра не устраняет опасности заражения компьютера. Это связано с тем, что значение ключа влияет только на исполнение autorun.inf при определении системой подключенного носителя, но не запрещает исполнение при двойном клике на значке носителя. Таким образом, даже если функция автозапуска отключена, заражение происходит при попытке пользователя открыть подключённый диск для просмотра. Компания Microsoft выпустила исправление, описанное в KB967715, полностью решающее данную проблему.

MS же утверждает:

Цитата:

Обновления, о которых говорится в данной статье, устраняют проблему с отключением функций автозапуска. Без этих обновлений отключить функции автозапуска для сетевого диска невозможно. Кроме того, контекстное меню и функция двойного щелчка автозапуска не были бы отключены даже при выполнении указанных ранее инструкций.

ИМХО, в подчеркнутой фразе речь идет также о сетевых дисках. Если я неправ поправьте !

3. CancelAutoplay\Files *.* - данный параметр скорее всего служит для отключения shellexecute и прочих проявлений авто воспроизведения.

4. Трюк с параметром @SYS:DoesNotExist был описан здесь
Автор метода подробно расписывает структуру ключа. Я уже высказывал соображения по безопасности этого ключа. Хотя я не смог добиться запуска файлов из созданного мной раздела реестра HKLM\Software\DoesNotExist это не означает, что такое не возможно. Лучше использовать придуманное самостоятельно название- так безопаснее. А работает также. Пример:

Код:

@SYS:ThisRegKey_NotExistToo

Результат опыта впечатляет – отключено все что можно отключить. Однако это не всегда применимо – ибо опять же, а как быть с автозапуском CD\DVD ?

5. Ответ MS – только автозапуск CD\DVD и останется ! Выпущенное обновление KB971029 как утверждает производитель и как я убедился в очередном опыте – отключает автозапуск везде кроме привода CD\DVD.
Кажись вирусы использующие Autorun.inf приплыли.


6. Установка обновления KB950582 (оно же KB967715 оно же KB953252) само по себе в автозапуске ничего не меняет, кроме добавления пары записей в реестре. Исправляется ситуация с невозможностью отключить автозапуск с сетевых дисков. Для включения / выключения этого режима создается параметр:

Код:

 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
 HonorAutorunSetting=[1/0]

Использовать это обновление предполагается в связке с параметром NoDriveAutoRun=255, однако для использования в связке с KB971029 (которая напомню не отключает CD) лучше параметр NoDriveAutoRun выставить равным 223 – для возможности автозапуска только с CD.

---

На данный момент получается следующая комбинация для борьбы с вирусами Autorun:

читать дальше »

1. Установить ключ реестра:

Код:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer 

NoDriveTypeAutoRun равным 223

2. Установить обновление KB950582 (или KB967715 или KB953252).
3. Проверить, что параметры

Код:

NoDriveTypeAutoRun = 223
HonorAutorunSetting = 1

Оба расположены в

Код:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

4. Установить обновление KB971029.

Замечание: В KB971029 версия файла shell32.dll старше, чем в KB950582, поэтому их лучше ставить именно в порядке публикации
Замечание2: KB971029 не заменяет KB950582, а дополняет его...

5. Наслаждаться жизнью без автозапуска с флэшек.

КОНЕЦ ??

[delog]

Извиняюсь, если повторюсь - читать 14 страниц лень.

Основная проблема в том, что 90% пользователей работают под админом, поэтому даже права в NTFS не панацея т.к. администратор может назначить себя владельцем чего угодно и поменять права на какие угодно, а значит и вирус запущенный от имени администратора теоретически может сделать все то же самое. Поэтому запихивание вашей "защищенной" флешки где-нибудь в офисе, ни чем не отличается от незащищенной, разве что, количество вирусов умеющих изменять права гораздо меньше.

В общем есть одно решение, но только для виндовс начиная от висты. Берете флешку в FAT и создаете папку autorun.inf. В шестнадцатеричном редакторе ставите ей атрибут 0хF7. Для этого в WinHex, например, надо щелкнуть по папке правой кнопкой и выбрать Position\Go to directory entry и исправить первый же байт стоящий после имени папки на 0xF7. Это недопустимый атрибут, а драйвер FAT написан в виндовс таким образом, что не позволяет удалять, переименовывать и вообще проводить какие-либо файловые операции с такими объектами. Вуаля! На флешке есть папка autorun.inf, которую фиг чем удалишь!

Кстати, все описанные действия надо проводить в ХР, т.к. виста не дает низкоуровневый доступ к дискам даже под админом, а это значит, что вставляя такую флешку на комп с вистой и выше вы можете быть на 99,999% уверенными в защите от авторан-вирусов. А вот вставляя в комп с ХР, есть вероятность наткнуться на супер-мега-вирус, автору которого было не влом проверять допустимость атрибутов и исправлять их в случае необходимости.

И еще одно кстати. В операционной системе отличной от виндовс дела могут обстоять иначе и все будет зависеть от реализации драйвера FAT. Возможно даже другая операционка сама исправит недопустимый атрибут.

[volk1234]

delog
А поставить на все компьютеры 2 обновления и одно значение реестра исправитть - не легче?