Вирусная стерилизация флешки

Загадка для юзера: комп вне сетей, используется только с одной спец.программой + WinAmp и больше вообще ничего, однако на нем - зверинец. Разнобайтные черви и троянцы давно пробили дыры в чахлой защите и сейчас дожевывают друг друга. Вопрос первый: откуда приехал этот адский зоопарк? Правильный ответ: на флешке с музыкой принесли, причем многократно :) Логично задаться вторым вопросом: как защитить флешку от экспансии и не позволить ей стать переносчиком вирусного заражения? Не знаете? Рассказываю..

Это не я придумал, оригинал статьи здесь. Сразу скажу, от заражения флешки метод не защищает. Погоди закрывать страницу! Данный подход не дает вирусу "зарядить" флешку на дальшейшее распространение, если только юзер сам не запустит зараженный файл.

Суть в следующем: при заражении флешки вирус создает файл автозапуска, куда прописывает себя. Файл называется autorun.inf и лежит в корне диска. Такой способ автозапуска принят в Windows для любого диска и сам по себе не является результатом действия вируса. Обычно autorun.inf используется для автозапуска DVD-дисков, в нем прописывают исполняемый файл менюшки или типа того.

Чтобы система автозапуска работала в Windows XP, должна быть запущена служба "Определение оборудования оболочки". Она так же отвечает за распознавание содержимого на флешке. Видели, как при включении флешки Винда шурудит по ней и выдает окно с выбором приложения? Это та самая служба работает. Отключаем: Пуск > Панель управления > Администрирование > Службы. Ищем Определение оборудования оболочки (ShellHWDetection), двойной щелчок мышей по ней. В открывшемся окне свойств службы выбираем тип запуска "Отключено", жмем Стоп, чтобы остановить ее прямо сейчас, потом Oк.

Теперь шаманим саму флешку. Создадим на ней особый autorun.inf, чтобы не дать вирусу при заражении записать свой вариант файла. В корне флешки создаем каталог [autorun.inf]. Да, да, именно каталог. Теперь в нем создаем каталог с "запрещенным" именем, то есть таким, которое зарезервировано файловой системой для "внутренних" системных нужд, например, com1:

• запустите консоль DOS: Пуск > Выполнить > cmd > OK
• в консоли наберите mkdir \\.\<буква_флешки>:\autorun.inf\com1\, нажмите Enter

Теперь на флешке неудаляемый объект autorun.inf, следовательно вирус не сможет его переписать :) Возможно первое время этот каталог будет бросаться в глаза, но вы быстро к нему привыкните. "Неудаляемый" - сильно сказано, просто стандартными средствами это невозможно. Для удаления либо форматируем флешку либо выполняем команду в консоли:

rmdir \\.\<буква_флешки>\autorun.inf\ /s /q

Вот и вся защита. Службу отключили, чтобы на компе автозапуски с зараженных флешек не срабатывали. Над флешкой колдовали, чтобы на других компах с нее автозапуск вируса не работал.

Offtopic: пример заражения

Вот как выглядел коревой каталог мой флешки при заражении:

Два вида проводника, в зависимости от настроек

Автозапуск уже не сработает, однако по невнимательности и при определенных настройках проводника я мог бы запустить вирус вручную. По умолчанию проводник настроен так, чтобы не показывать скрытые файлы и скрывать расширения для зарегистрированных типов файлов (см. вид справа на рисунке). Если бы у меня были такие настройки, то я вполне мог бы принять вирус за нужный мне каталог. Единственным намеком останется только то, что "каталог" не на своем месте находится.

Чтобы не попасться на эту удочку нужно подправить настройки проводника. Пуск > Панель управления > Свойства папки > вкладка Вид, далее см. рисунок ниже.

Меняем настройки, далее "Применить ко всем папкам" (вверху), только потом Ок.