ВІРУС запускає САМ
Думаєте, якщо просто підключити флешку до ПК, нічого страшного не трапиться? Є мінімум два варіанти.
СПОСІБ ПЕРШИЙ - AUTORUN AUTOPLAY
Для початку треба розділити поняття autorun і autoplay (автозапуск і автопроігриваніе). Йдеться про автозапуску, коли зі вставленого диска автоматично запускається будь-яка програма (установник або оболонка). Якщо ж на диску відсутні спеціальні оболонки, то спрацьовує функція автопроігриванія. В останньому випадку користувачеві пропонується вибрати, що робити з даними: відтворити, копіювати, видалити і т.д. При використанні флешок практично завжди спрацьовує автопроігриваніе.
Автозапуск з флешок за замовчуванням відключений. Це вимушені заходи: в Microsoft передбачили можливість зараження через USB-накопичувач. З цієї причини оболонка з флешки сама по собі не запуститься. По крайней мере, якщо для цього не внести змін до реєстру. Але на спеціалізованих сайтах можна знайти тисячі порад і рекомендацій по «зараження» флешок. За допомогою нехитрих модифікацій файлу autorun.inf (саме він відповідає за autorun і autoplay) хакеримогут обдурити користувача, помістивши в вікно автопроігриша посилання на запуск вірусу. Користувач бачить знайоме вікно автопроігриванія і натискає, наприклад, кнопку «Відтворити».
Віконце автопроігриванія. Що б не вибрав користувач, запуститься вірус
Однак у хакерів є в активі і більш радикальні рішення. Функція автопроігриша може відразу запускати вірус. Паралельно з вікном автопроігриша буде активована хакерська програма. Додатково хакери змушують віконце автопроігриша автоматично закриватися після активації вірусу. Якщо ж користувач не користується автопроігришем, можливий такий варіант. Вірус запуститься, якщо користувач отримає доступ до флешці таким чином: відкриє «Мій комп'ютер», клацне правою кнопкою миші по флешці і вибере пункти «Автозапуск», «Відкрити», «Провідник» - запуститься вірус.
Кілька рядків у файлі autorun.inf - і шлях для вірусів вільний. Тепер всі ці пункти меню всього лише обманка: при натисканні запуститься вірус
СПОСІБ ДРУГИЙ - переробити U3-флешки
Все більшої популярності набирають «розумні» флешки, що підтримують технологію U3 Smart. Технологія надає користувачеві можливість автоматично запускати потрібні програми. Це може бути корисно, якщо флешка використовується як сховище для portable-софта. Такий накопичувач розбитий на дві частини - основну і завантажувальний. Остання додає в систему віртуальний диск.
На автозапуск з таких пристроїв в Windows обмежень немає, тому завантаження відбувається без проблем. Тут розташовується графічна оболонка U3 LaunchPad. Вона забезпечує швидкий доступ до portable-програм з основної частини флешки.
Деякі драйви, наприклад Sandisk Cruzer, дозволяють видалити з флешки всі сліди U3, перетворивши розумний накопичувач в звичайний. Раз можна видалити, повинна бути можливість і відновити. Спеціальна програма LPInstaller.exe, що поставляється разом з флешкою, дозволяє повернути U3-оболонку. Системний розділ флешки просто-напросто «прошивається», але тільки спеціальним файлом-образом cruzer-autorun.iso. Ось тут-то і є лазівка для хакерів. Ніхто не заважає підмінити або переписати цей файл. Можна перетворити його в вірус, який легко запуститься на будь-якому комп'ютері. У Мережі можна знайти докладну інструкцію, як це зробити. Найбільшу загрозу представляє запуск такої флешки з-під обліковим записом адміністратора.
Знову ж, прошита U3-флешка не заподіє особливої шкоди, якщо відключений автозапуск.
БЕЗПОСЕРЕДНЬО ВІРУСИ
Не варто думати, що через флешку поширюються тільки якісь спеціальні «банківські» віруси, які крадуть номери кредитних карт. Флеш-вірусів існує величезна кількість, і за останній рік їх частка серед інших вірусів зросла з 2% до майже 10%. Особливо небезпечними і популярними вірусами є Switchblade і USB Hacksaw.
Група вірусмейкеров з сайту hak5 якнайкраще намалювала логотип для свого вірусу Hacksaw ( «Пилка»)
МЕТОДИ БОРОТЬБИ
Запустити вірус з флешки не так важко. Тому ні в якому разі не можна вставляти в свій комп'ютер (особливо незахищений) накопичувачі, в яких ви не впевнені, будь то знайдена флешка або флешка когось із співробітників або приятелів. Крім того, віруси можуть бути і в MP3-плеєрах, і в фотоапаратах. Тому навіть iPod може стати джерелом зараження. Практично всі шкідливі програми так чи інакше використовують «діри» в автозапуску. Тому потрібно якось йому перешкоджати. Наприклад, можна утримувати клавішу Shift при вставці флешки або диска. Це блокує і автозапуск, і автопроігриш, перекриваючи вірусу шлях на комп'ютер. Але не варто цілком покладатися на такий захист.
Для забезпечення більшої безпеки бажано повністю відключити автозапуск, навіть з CD і DVD. Для цього можна внести зміни в реєстр Windows. Це просто зробити через стандартну панель адміністрування. Для цього потрібно натиснути «Пуск» - «Виконати» - gpedit.msc. Далі у вікні: «Конфігурація комп'ютера» - «Адміністративні шаблони» - «Система» - «Відключити автозапуск». У властивостях потрібно вибрати пункт «Відключено» і в списку нижче вказати «На всіх пристроях». Звичайно, стовідсоткової гарантії безпеки це не дасть, але зайвим не буде.
Занести на свій комп'ютер віруси можна і через власну флешку, якщо вона побувала на зараженому комп'ютері. Перша ознака «зарази» - нізвідки взялися папки Temporary files, Common files, Temp data, $ RECYCLE.BIN, а тим більше файли pagefile.sys, boot.ini і інші. Це строго системна інформація, і вона може зберігатися тільки на одному розділі з Windows. На логічному диску, а тим більше на флешці, її бути НЕ МОЖЕ! Якщо ж вони є, значить, це якісь «шматки» вірусу маскуються. Всі зазначені вище файли потрібно видалити з накопичувача, але будьте уважні, НЕ видаліть ці файли помилково з системного розділу жорсткого диска. Це може привести до краху Windows.
Для забезпечення повної безпеки необхідно користуватися антивірусними програмами. Наприклад, Kaspersky Antivirus і Antihacker, Dr. Web а також продукція компанії Symantec прекрасно справляються зі своїм завданням. Але вони не можуть працювати без установки, що іноді просто необхідно. Існує цілий клас програм, які називаються portable-антивіруси. Вони не вимагають установки, мініатюрні і можуть працювати прямо з флешки. Єдиний мінус такого софта - антивіруси можуть тільки шукати вже живуть в комп'ютері віруси, а протидіяти зараження з флешок їм не завжди вдається.
PORTABLE-АТІВІРУСИ
Серед існуючих мобільних антивірусів можна виділити наступні:
McAfee AVERT Stinger
Avast! Virus Cleaner
ClamWin Free Antivirus Portable
McAfee AVERT Stinger
Розробник: McAfee, Inc
Розмір дистрибутива: 1.8 Мб
«Протидія жала» - саме так можна перекласти назву на російську мову. Воно якнайкраще відображає призначення програми. McAfee AVERT Stinger не дозволить вірусам вжалити комп'ютер. Але про серйозного захисту говорити важко, так як Stinger є один виконуваний файл. Це скоріше програма для антивірусної профілактики. За замовчуванням McAfee AVERT Stinger вміє видаляти близько 200 вірусів. З їх списком можна ознайомитися в налаштуваннях. Істотно, розширити арсенал протиотрут можна, регулярно завантажуючи з сайту McAfee поновлення.
Stinger - програмка, яка може боротися майже з двома сотнями флеш-вірусів
Робота з програмою проста - в інтерфейсі у неї всього дві кнопки «Scan now» і «Stop». Перед запуском перевірки потрібно тільки вказати потрібні диски. У налаштуваннях програми знаходиться класичний для будь-яких антивірусів перелік: можна змусити програму перевіряти процеси, boot-сектора; вказати, що робити зі знайденими вірусами (повідомляти, лікувати, видаляти). Також можна вибрати, які файли варто перевіряти: архіви, музику та ін.
Portable Antivirus
Розробник: Data0.net Software
Розмір дистрибутива: 108 Кб
Ця мініатюрна малазійська програма, за функціями ідентична Stinger від McAfee, і теж є одинокий екзешник. Велика червона кнопка «Scan Now» запускає повну перевірку комп'ютера. В налаштуваннях можна вказати окремі диски або папки, де слід шукати віруси. Пошук можливий і по процесах. Мабуть, це все, що можна сказати про цю програму.
Розробник: ALWIL Software
Розмір дистрибутива: 398 Кб
Ще одна мініатюрна програма в одному файлі. Але, на відміну від інших, Virus Cleaner чесно попереджає, що може видалити лише обмежена кількість вірусів, для постійного захисту потрібно використовувати повну версію програми, наприклад Avast! Pro.
Avast! Virus Cleaner
Весь інтерфейс - три кнопки, одна з яких «Вихід». Програма може робити тільки повне обстеження комп'ютера, можна вибирати окремі диски або папки. VC протидіє більш ніж сотні різних вірусів. Це число анітрохи не радує, для серйозного захисту програма повинна знати як мінімум тисячу «тварюк». Засмучує і жахливо довгий час перевірки - важко навіть оцінити, коли вона завершиться. Одне радує: Virus Cleaner - це хоча і дуже урізаний, але непоганий продукт дуже шанованою на ринку антивірусів компанії. Це дає якісь гарантії безпеки.
ClamWin Free Antivirus
Розробник: ClamWin Pty Ltd
Розмір дистрибутива: 6,3 Мб
Цей програмний продукт є найпотужнішим засобом для боротьби з вірусами, хоча на перший погляд його інтерфейс також дивує простотою. Всього-то три кнопки і короткий рядок меню. Але за цією простотою ховається серйозний потенціал. Free Antivirus постійно пропонує завантажити спеціальну антивірусну базу. Вона просто необхідно для роботи будь-якої антивірусної програми.
ClamWin Free Antivirus
Залежно від налаштувань, Free Antivirus може перевірити на наявність вірусів що завгодно: оперативну пам'ять, папки і файли, цілі диски або весь комп'ютер відразу. Взагалі, ця програма має дуже велику кількість налаштувань. Задати можна все: від дій при виявленні вірусу до проксі-серверів. Є сенс вказати типи файлів, в яких не варто шукати віруси. І навпаки, де віруси варто шукати найсильніше. Можна задати, наскільки глибоко Free Antivirus повинен «копати» в архівах, ставити обмеження по їх розміру.
Будучи безкоштовною програмою з відкритим кодом, Free Antivirus запросто може скласти конкуренцію іменитим комерційним продуктам. Ця програма відмінно виконує свою головну і єдину функцію - антивірусний захист. Потрібно лише вчасно робити перевірку комп'ютера і не забувати завантажувати свіжу базу. Хоча зі старою базою Free Antivirus робити перевірку просто відмовиться.
«А ви випадково самі віруси не пишете, щоб потім на них же« протиотруту »продавати?» - подібні питання часто задають виробникам антивірусного софту. На що ті просто сміються і кажуть, що вони і так не встигають оновлювати свої антивірусні бази. Важко сказати, скільки нових вірусів народжується за рік, але за різними даними число це десятки гігабайт. При тому, що навіть сама шкідлива «програмка» рідко важить більше 100 Кб, мова йде про мільйони нових вірусів. Звичайно, переважна більшість з них навряд чи може завдати якоїсь шкоди. А й справді небезпечні «тварі» пишуться тисячами. Але якісний і кількісний ріст «популяції» не такий страшний, адже навіть найнебезпечніші і витончені віруси «по повітрю» не поширюються. Набагато небезпечніше поява нових способів їх перенесення. Адже трояни начебто Switchblade і USB Hacksaw існують вже багато років. Але саме та легкість, з якою вони потрапили в комп'ютер, заставляється задуматися. Виходить, тепер ніхто не захищений від вірусів?
Раніше вважалося, що 95% вірусів заражають комп'ютер з вини користувача - вставлений диск, застарілі антивірусні бази, неуважність та інше. Зараз вже все трохи по-іншому. Від користувача вже нічого не потрібно. Насправді це не зовсім так. Від користувача як і раніше потрібна увага, увага і ще раз увагу. Особливо при роботі з іншими мобільними пристроями на зразок різних медіаплеєрів, фотоапаратів, цифрових диктофонів, деяких мобільників і іншої техніки. Крім того, на комп'ютері просто зобов'язана бути встановлена хороша антивірусна програма зі свіжими базами, а якщо є постійне широкосмугове підключення до інтернету, то бажано мати і програми на зразок файерволов і мережевих моніторів.
Якщо вже такий гігант, як Microsoft, не зміг запобігти зараженню власних флешок, то звичайним користувачам варто задуматися про те, що навіть, здавалося б, перевірена флешка може призвести до зараження комп'ютера.
Ось таке «веселе» лист отримали учасники Партнерської форуму Microsoft