Name: AUTOSTOP - скрипт для защиты от autorun-вирусов:
Item: AUTOSTOP - скрипт для защиты от autorun-вирусов:
Author: Sh1td0wn

Пользовательского поиска

Суббота, 23.11.2024, 05:28
Приветствую Вас Гость | RSS

Главная | Руководства | Регистрация | Вход

Меню Проекта

Категории каталога

Форма входа

Поиск

Мы Рекомендуем:

Мнение Общественности

Сколько у вас Флешек?

1. 2 две

2. 3 три

3. 1 одна

4. 4 четыре

5. 5 пять

6. больше..

7. 6 шесть

8. 8 восемь

9. 7 семь

Результаты | Архив опросов

Всего ответов: 4547

Статистика

Всего на Сайте: 17

Гостей: 17

Пользователей: 0

GreenFlash

Главная » Статьи » Основные Инструкции » Дополнения

AUTOSTOP - скрипт для защиты от autorun-вирусов:

AUTOSTOP - скрипт для защиты от autorun-вирусов:

НОВАЯ ВЕРСИЯ СКРИПТА AUTOSTOP 2.4
http://www.softportable.ru/Soft/autostop.2.4.zip
autostop.2.3.exe, MD5: 1a63f3383809cc48bf475f88491c2c95

УСТАНОВКА: внимательно прочесть пункты 1-3 файла README.TXT.
Переписать файл autostop.2.4.exe на флешку, которую необходимо защитить (в корневой каталог), и запустить оттуда.
1. Ввести 1 или 0 в зависимости от того, хотите ли вы отключить автозапуск на компьютере (рекомендуется), или не хотите.
2. Далее ввести 2 или 0 в зависимости от того, хотите ли вы защитить флешку от autorun-вирусов, или нет.
3. И в завершении ввести 3 или 0 в зависимости от того, хотите ли вы защитить флешку от записи новых файлов, или нет. Эта процедура может длиться до нескольких минут - необходимо дождаться ее завершения не прерывая работу скрипта. По мере выполнения промежуточных ее этапов, скрипт выдает короткие звуковые сигналы через системный динамик компьютера, а по завершении - длинный звуковой сигнал.
4. Если защита флешки от записи новых файлов (пункт 3) не проводилась, то после окончания установки файл autostop.2.4.exe можно удалить с флешки (в случае применения защиты флешки от autorun-вирусов, его копия будет находиться в каталоге AUTORUN.INF).
5. Если же производилась защита флешки от записи новых файлов (пункт 3), то никакие файлы (включая autostop.2.4.exe) и каталоги удалять с флешки нельзя, иначе защита перестанет функционировать.

Изначально скрипт был написан для собственных целей, т.к. вычищать руками вирусы, которые юзеры таскали на флешках, становилось все утомительнее.

Принцип действия основан на следующем. Autorun-вирусы получили свое название из-за метода распространения - они записывают на флешку кроме самого файла с телом вируса также и файл autorun.inf, который при подключении флешки к компьютеру, запускает тело вируса.

Если на флешке заранее создать каталог AUTORUN.INF - то одноименный файл записать на нее уже невозможно. Версии 1.x скрипта дорабатывались в основном в направлении невозможности удаления каталога AUTORUN.INF.
Но после того как новые вирусы научились переименовывать этот каталог, версия скрипта 2.0 использует другой принцип (как говорится, "Мы не можем изменить направление ветра, но мы можем подставить ему свои паруса").

На флешке создаются каталоги AUTORUN.INF и AUTOSTOP, в каждый из них помещается своя иконка, а в свойствах файла desktop.ini указываются перекрестные ссылки на эти иконки (т.е. каталог AUTORUN.INF вытягивает иконку из каталога AUTOSTOP, и наоборот).

Таким образом, при переименовывании так необходимого нам каталога AUTORUN.INF, иконка на каталоге AUTOSTOP исчезнет - что послужит визуальным оповещением о том, что флешка заражена. Выглядит это следующим образом:

Те, кто спросит, зачем городить такие огороды, ведь можно воспользоваться способом, описанным, например здесь: Защита флэшки от Autorun-вирусов (метод изменения прав в NTFS) - http://habrahabr.ru/blogs/infosecurity/47287/ по большому счету будут правы - этот способ намного удобнее и надежнее моего. Но, отвечая на вопрос, я скажу слежующее:
Существуют ситуации, когда форматирование флешки в NTFS нежелательно или неприемлемо (например, конкретная модель автомагнитолы или DVD-плеера читает только FAT32).
Я хочу показать что "можно таки бить фашиста" альтернативными способами (любая альтернатива это плюс).
Я люблю логические задачи, а работа над скриптом - это отличная гимнастика для ума.
Способ, придуманный мной в версии 2 скрипта (перекрестные ссылки на иконки) можно взять за основу во многих других прикладных разработках.

На этом нововведения в скрипте версии 2 не заканчиваются - если ранее я разрабатывал скрипт только для защиты самой флешки, то сейчас все же решил добавить в него отключение автозапуска на компьютере:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files" /v "*.*" /d "" /f

В CancelAutoplay\Files находятся текстовые параметры, содержащие имена файлов, отыскав которые на носиеле встроенный AutoRun запускаться не станет и позволит запустить носитель через autorun.inf. Добавляем строковый параметр следующего содержания: *.* (все файлы).
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f

@SYS:DoesNotExist говорит explorer'у чтобы он не читал параметры запуска из файла Autorun.inf, а читал их из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist, которая не существует. В итоге если внешний носитель содержит файл Autorun.inf - то при подключении носителя к компьютеру, Autorun.inf не запускается. Более того - не запускается он и при двойном клике по букве диска этого носителя в проводнике.
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f

С помощью NoDriveAutoRun запрещается загрузка с определенных приводов по их буквенному обозначению, а NoDriveTypeAutoRun запрещает загрузку с определенных приводов по их типу. Поскольку нам авторан вообще не нужен, используем второе.
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f

Cdrom - полное отключение всякой поддержки автозапуска компакт-дисков (даже ручной).

AUTOSTOP version 2.0.1

ВЫРЕЗАТЬ СДЕСЬ
-------------------------------------------------------
rem Антивирусный скрипт AUTOSTOP.BAT version 2.0.1 (February 18, 2009)

Пиктограммы взяты из бесплатного набора Diagona Icons с сайта http://www.pinvoke.com

Загрузить AUTOSTOP 2.0.1 - http://www.softportable.ru/Soft/autostop1.2.0.1.exe
Версия 2.0.1 отличается от 2.0 тем, что для удобства использования, скрипт вместе с иконками и файлами описания скомпилирован в exe-файл, MD5: 512f939a206df501f7f829e0874a7f61
УСТАНОВКА: перепишите файл autostop.2.0.1.exe на флешку, и запустите. После окончания установки, файл можно удалить с флешки: его копия содержися в каталоге AUTOSTOP, и при необходимости обезопасить другую флешку, можно взять файл autostop.2.0.1.exe оттуда. Также в каталоге AUTOSTOP находятся файлы readme.txt и manual.gif.

СКОПИРОВАТЬ В БЛОКНОТ И СОХРАНИТЬ В БЛОКНОТЕ AUTOSTOP 2.0.1.BAT СКОПИРОВАТЬ НА ФЛЭШКУ И ЗАПУСТИТЬ

@echo off
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files" /v "*.*" /d "" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f
attrib -a -h -r -s %~d0\autorun.*
del %~d0\autorun.* /q
mkdir "\\?\%~d0\AUTORUN.INF\LPT3"
mkdir "\\?\%~d0\AUTORUN.INF\LPT3\.."
echo [.ShellClassInfo] > %~d0\AUTORUN.INF\desktop.ini
echo IconFile="..\AUTOSTOP\disable.ico" >> %~d0\AUTORUN.INF\desktop.ini
echo IconIndex=0 >> %~d0\AUTORUN.INF\desktop.ini
echo InfoTip="Антивирусный скрипт AUTOSTOP.BAT version 2.0" >> %~d0\AUTORUN.INF\desktop.ini
copy %~d0\enable.ico %~d0\AUTORUN.INF
attrib +h +r +s %~d0\AUTORUN.INF\desktop.ini
attrib +h +r +s %~d0\AUTORUN.INF\enable.ico
attrib +s %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTOSTOP\LPT3"
mkdir "\\?\%~d0\AUTOSTOP\LPT3\.."
echo [.ShellClassInfo] > %~d0\AUTOSTOP\desktop.ini
echo IconFile="..\AUTORUN.INF\enable.ico" >> %~d0\AUTOSTOP\desktop.ini
echo IconIndex=0 >> %~d0\AUTOSTOP\desktop.ini
echo InfoTip="Антивирусный скрипт AUTOSTOP.BAT version 2.0" >> %~d0\AUTOSTOP\desktop.ini
copy %~d0\disable.ico %~d0\AUTOSTOP
attrib +h +r +s %~d0\AUTOSTOP\desktop.ini
attrib +h +r +s %~d0\AUTOSTOP\disable.ico
attrib +s %~d0\AUTOSTOP
rd /s /q "\\?\%~d0\RECYCLED"
rd /s /q "\\?\%~d0\RECYCLER"
echo Антивирусный скрипт AUTOSTOP.BAT version 2.0 > "\\?\%~d0\recycled"
echo Антивирусный скрипт AUTOSTOP.BAT version 2.0 > "\\?\%~d0\recycler"
attrib +h +r +s %~d0\recycle?
copy %~d0\readme.txt %~d0\AUTOSTOP
copy %~d0\manual.gif %~d0\AUTOSTOP
start %~d0\AUTOSTOP\readme.gif

СКАЧАТЬ EXE
Загрузить AUTOSTOP 2.0.1 - http://www.softportable.ru/Soft/autostop1.2.0.1.exe

ДЛЯ ОТМЕНЫ ДАННОЙ ПРОГРАММЫ СКОПИРОВАТЬ В БЛОКНОТ, И СОХРАНИТЬ КАК 1.REG

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*setup*.exe"=""
"*instal*.exe"=""
"*setup*.bat"=""
"*instal*.bat"=""
"*setup*.cmd"=""
"*instal*.cmd"=""
"*setup*.com"=""
"*instal*.com"=""
"Y?kle*"=""
"Felrak.exe"=""
"Imposta.exe"=""
"KUR.exe"=""
"Ayarla.exe"=""
"sfc2.ico"=""
"evanims"=""
"00000001.tmp"=""
"updmoney.exe"=""
"hs\\media\\y\\11399\\11399_cd_fp.jpg"=""
"hs\\media\\y\\9953\\9953_cd_fp.jpg"=""
"hs\\media\\y\\9951\\9951_cd_fp.jpg"=""
"hs\\media\\y\\9964\\9964_cd_fp.jpg"=""
"hs\\media\\y\\9968\\9968_cd_fp.jpg"=""

-[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

-[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"DependOnGroup"=hex(7):53,00,43,00,53,00,49,00,20,00,6d,00,69,00,6e,00,69,00,\
70,00,6f,00,72,00,74,00,00,00,00,00
"ErrorControl"=dword:00000001
"Group"="SCSI CDROM Class"
"Start"=dword:00000001
"Tag"=dword:00000002
"Type"=dword:00000001
"DisplayName"="Драйвер CD-ROM дисковода"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,63,00,64,00,72,00,6f,00,6d,00,2e,\
00,73,00,79,00,73,00,00,00
"AutoRun"=dword:00000001
"AutoRunAlwaysDisable"=hex(7):4e,00,45,00,43,00,20,00,20,00,20,00,20,00,20,00,\
4d,00,42,00,52,00,2d,00,37,00,20,00,20,00,20,00,00,00,4e,00,45,00,43,00,20,\
00,20,00,20,00,20,00,20,00,4d,00,42,00,52,00,2d,00,37,00,2e,00,34,00,20,00,\
00,00,50,00,49,00,4f,00,4e,00,45,00,45,00,52,00,20,00,43,00,48,00,41,00,4e,\
00,47,00,52,00,20,00,44,00,52,00,4d,00,2d,00,31,00,38,00,30,00,34,00,58,00,\
00,00,50,00,49,00,4f,00,4e,00,45,00,45,00,52,00,20,00,43,00,44,00,2d,00,52,\
00,4f,00,4d,00,20,00,44,00,52,00,4d,00,2d,00,36,00,33,00,32,00,34,00,58,00,\
00,00,50,00,49,00,4f,00,4e,00,45,00,45,00,52,00,20,00,43,00,44,00,2d,00,52,\
00,4f,00,4d,00,20,00,44,00,52,00,4d,00,2d,00,36,00,32,00,34,00,58,00,20,00,\
00,00,54,00,4f,00,52,00,69,00,53,00,41,00,4e,00,20,00,43,00,44,00,2d,00,52,\
00,4f,00,4d,00,20,00,43,00,44,00,52,00,5f,00,43,00,33,00,36,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Enum]
"0"="IDE\\CdRomOptiarc_DVD_RW_AD-7200S_________________1.06____\\5&4f95177&0&0.1.0"
"Count"=dword:00000001

БОЛЬШОЕ СПАСИБО!!!
softportable

Категория: Дополнения | Добавил: crack21 (06.03.2009)

Просмотров: 29862 | Комментарии: 16 | Рейтинг: 4.8/6

Всего комментариев: 16
Порядок вывода комментариев: 1 Спам 1 Sh1td0wn • 13:43, 08.03.2009 Полезно. +1! 1 Спам 2 slan88 • 22:34, 09.03.2009 Спасибо завтра и проверю 1 Спам 3 npu3pak • 12:12, 11.03.2009 Всё классно работает, только как мне теперь от этого дела очистить флешку? удалить два созданных каталога. Да и вернуть прежнию работу авторанов. У меня просто на флешке есть мой авторан, т.е. При вставке флешки запускается меню портабельных прог, мне это очень нужно, а этот антиавторан снёс нафик мой файлик (((( 1 Спам 4 FoxyFlo • 14:33, 11.03.2009 Статья от 23.03.2008 1 Спам 5 sergey_vik • 11:48, 09.04.2009 Как удалить два созданных каталога 1 Спам 6 crack21 • 23:26, 11.04.2009 unlocker 1.87 0 Спам 15 Romanwhite81 • 15:11, 04.11.2011 unlocker не удоляет! 0 Спам 7 StepGen • 21:09, 12.05.2009 Байда, обычный батник, создает коталог, меняет атрибуты, паконутый в рар. Думаю для большинства людей на этом сайте этой проблемы не стоит, для ламеров, ИМХО. А под конец автор устал видимо, от создания рега изменений на диске (За исключением появления 1.reg) небудет. Но все равно, спасибо, хотя-бы за то что в батнике не использовал условные переходы, да и вообще, явно кого-то подтолкнул к изучению батников, VBS может кто в последствии осилит :). Дальнейших успехов... 1 Спам 8 DEMAH • 12:33, 27.08.2009 Автору респект, для моего ноута назаменимая весч! 1 Спам 9 Андрей • 15:20, 03.09.2009 Теперь есть Panda USB Vaccine, содает неудаляемый autorun.inf (с неправильными атрибутами файла) 4 Спам 10 ToxiNiK • 16:39, 01.11.2009 легче ето: Start->Run вписьваем gpedit.msc нажимаем Enter стартируется Group Policy едем на Computer Configuration->Administrative Templaes->System там ест ключ Turn off Autoplay делаем его Enabled->Turn off Autoplay on: All drives нажимаем OK Ето всё. Ауторун отключен. Извините для плохой руский но я из Болгарии. 1 Спам 11 mult • 01:35, 24.09.2010 Создаешь папку Autorun.inf, кидаешь туда чо нить и если исполняемый файл будет лежать на флешке то компу он не опасен. И не фиг все ваши танцы с бубнами. 1 Спам 12 Sh1td0wn • 14:44, 24.09.2010 Некоторые вирусы научились переименовывать autorun.inf. 1 Спам 13 beta • 13:46, 10.10.2010 Есть еще способ. Нужно только флешку в ntfs отформатировать, создать пустой autorun.inf и запретить к нему полный доступ для всех через Свойства-Безопасность. 0 Спам 14 HazarD31337 • 20:44, 02.04.2011 есть еще простой способ: создаем папку autorun.inf и в ней создаем папку с именем CON не вышло? а все потому, что в винде это сделать нельзя, запрещенное имя файла/папки. поэтому используем любой linux-дистрибутив и создаем папку CON в autorun.inf все, теперь в винде удалить папку autorun.inf нельзя (однако можно переименовать!) 0 Спам 16 fsibbass2 • 20:43, 07.11.2011 НЕУДАЛЯЕМАЯ ПАПКА 1.Делаем папку AUTORUN.INF 2.Пуск->Выполнить->cmd->зайти на вашу флеш, войти в папку AUTORUN.INF и выполнить: md любоеслово..\ 3.cd\ 4.attrib +s +h +a +r +i AUTORUN.INF PS. Если AUTORUN.INF пропал атрибут скрытый, значит его уже пытались удалить. PS2. Созданая таким образом папка неудаляется ничем и никак. Инфа взята в сети. Не сам придумал.