AUTOSTOP - скрипт для защиты от autorun-вирусов: НОВАЯ ВЕРСИЯ СКРИПТА AUTOSTOP 2.4
http://www.softportable.ru/Soft/autostop.2.4.zip
autostop.2.3.exe, MD5: 1a63f3383809cc48bf475f88491c2c95 УСТАНОВКА: внимательно прочесть пункты 1-3 файла README.TXT.
Переписать файл autostop.2.4.exe на флешку, которую необходимо защитить (в корневой каталог), и запустить оттуда.
1. Ввести 1 или 0 в зависимости от того, хотите ли вы отключить автозапуск на компьютере (рекомендуется), или не хотите.
2. Далее ввести 2 или 0 в зависимости от того, хотите ли вы защитить флешку от autorun-вирусов, или нет.
3. И в завершении ввести 3 или 0 в зависимости от того, хотите ли вы защитить флешку от записи новых файлов, или нет. Эта процедура может длиться до нескольких минут - необходимо дождаться ее завершения не прерывая работу скрипта. По мере выполнения промежуточных ее этапов, скрипт выдает короткие звуковые сигналы через системный динамик компьютера, а по завершении - длинный звуковой сигнал.
4. Если защита флешки от записи новых файлов (пункт 3) не проводилась, то после окончания установки файл autostop.2.4.exe можно удалить с флешки (в случае применения защиты флешки от autorun-вирусов, его копия будет находиться в каталоге AUTORUN.INF).
5. Если же производилась защита флешки от записи новых файлов (пункт 3), то никакие файлы (включая autostop.2.4.exe) и каталоги удалять с флешки нельзя, иначе защита перестанет функционировать. Изначально скрипт был написан для собственных целей, т.к. вычищать руками вирусы, которые юзеры таскали на флешках, становилось все утомительнее. Принцип действия основан на следующем. Autorun-вирусы получили свое название из-за метода распространения - они записывают на флешку кроме самого файла с телом вируса также и файл autorun.inf, который при подключении флешки к компьютеру, запускает тело вируса. Если на флешке заранее создать каталог AUTORUN.INF - то одноименный файл записать на нее уже невозможно. Версии 1.x скрипта дорабатывались в основном в направлении невозможности удаления каталога AUTORUN.INF.
Но после того как новые вирусы научились переименовывать этот каталог, версия скрипта 2.0 использует другой принцип (как говорится, "Мы не можем изменить направление ветра, но мы можем подставить ему свои паруса"). На флешке создаются каталоги AUTORUN.INF и AUTOSTOP, в каждый из них помещается своя иконка, а в свойствах файла desktop.ini указываются перекрестные ссылки на эти иконки (т.е. каталог AUTORUN.INF вытягивает иконку из каталога AUTOSTOP, и наоборот). Таким образом, при переименовывании так необходимого нам каталога AUTORUN.INF, иконка на каталоге AUTOSTOP исчезнет - что послужит визуальным оповещением о том, что флешка заражена. Выглядит это следующим образом: Те, кто спросит, зачем городить такие огороды, ведь можно воспользоваться способом, описанным, например здесь: Защита флэшки от Autorun-вирусов (метод изменения прав в NTFS) - http://habrahabr.ru/blogs/infosecurity/47287/ по большому счету будут правы - этот способ намного удобнее и надежнее моего. Но, отвечая на вопрос, я скажу слежующее:
Существуют ситуации, когда форматирование флешки в NTFS нежелательно или неприемлемо (например, конкретная модель автомагнитолы или DVD-плеера читает только FAT32).
Я хочу показать что "можно таки бить фашиста" альтернативными способами (любая альтернатива это плюс).
Я люблю логические задачи, а работа над скриптом - это отличная гимнастика для ума.
Способ, придуманный мной в версии 2 скрипта (перекрестные ссылки на иконки) можно взять за основу во многих других прикладных разработках. На этом нововведения в скрипте версии 2 не заканчиваются - если ранее я разрабатывал скрипт только для защиты самой флешки, то сейчас все же решил добавить в него отключение автозапуска на компьютере:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files" /v "*.*" /d "" /f В CancelAutoplay\Files находятся текстовые параметры, содержащие имена файлов, отыскав которые на носиеле встроенный AutoRun запускаться не станет и позволит запустить носитель через autorun.inf. Добавляем строковый параметр следующего содержания: *.* (все файлы).
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f @SYS:DoesNotExist говорит explorer'у чтобы он не читал параметры запуска из файла Autorun.inf, а читал их из ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist, которая не существует. В итоге если внешний носитель содержит файл Autorun.inf - то при подключении носителя к компьютеру, Autorun.inf не запускается. Более того - не запускается он и при двойном клике по букве диска этого носителя в проводнике.
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f С помощью NoDriveAutoRun запрещается загрузка с определенных приводов по их буквенному обозначению, а NoDriveTypeAutoRun запрещает загрузку с определенных приводов по их типу. Поскольку нам авторан вообще не нужен, используем второе.
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f Cdrom - полное отключение всякой поддержки автозапуска компакт-дисков (даже ручной). AUTOSTOP version 2.0.1 ВЫРЕЗАТЬ СДЕСЬ
-------------------------------------------------------
rem Антивирусный скрипт AUTOSTOP.BAT version 2.0.1 (February 18, 2009) Пиктограммы взяты из бесплатного набора Diagona Icons с сайта http://www.pinvoke.com Загрузить AUTOSTOP 2.0.1 - http://www.softportable.ru/Soft/autostop1.2.0.1.exe
Версия 2.0.1 отличается от 2.0 тем, что для удобства использования, скрипт вместе с иконками и файлами описания скомпилирован в exe-файл, MD5: 512f939a206df501f7f829e0874a7f61
УСТАНОВКА: перепишите файл autostop.2.0.1.exe на флешку, и запустите. После окончания установки, файл можно удалить с флешки: его копия содержися в каталоге AUTOSTOP, и при необходимости обезопасить другую флешку, можно взять файл autostop.2.0.1.exe оттуда. Также в каталоге AUTOSTOP находятся файлы readme.txt и manual.gif. СКОПИРОВАТЬ В БЛОКНОТ И СОХРАНИТЬ В БЛОКНОТЕ AUTOSTOP 2.0.1.BAT СКОПИРОВАТЬ НА ФЛЭШКУ И ЗАПУСТИТЬ @echo off
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files" /v "*.*" /d "" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f
attrib -a -h -r -s %~d0\autorun.*
del %~d0\autorun.* /q
mkdir "\\?\%~d0\AUTORUN.INF\LPT3"
mkdir "\\?\%~d0\AUTORUN.INF\LPT3\.."
echo [.ShellClassInfo] > %~d0\AUTORUN.INF\desktop.ini
echo IconFile="..\AUTOSTOP\disable.ico" >> %~d0\AUTORUN.INF\desktop.ini
echo IconIndex=0 >> %~d0\AUTORUN.INF\desktop.ini
echo InfoTip="Антивирусный скрипт AUTOSTOP.BAT version 2.0" >> %~d0\AUTORUN.INF\desktop.ini
copy %~d0\enable.ico %~d0\AUTORUN.INF
attrib +h +r +s %~d0\AUTORUN.INF\desktop.ini
attrib +h +r +s %~d0\AUTORUN.INF\enable.ico
attrib +s %~d0\AUTORUN.INF
mkdir "\\?\%~d0\AUTOSTOP\LPT3"
mkdir "\\?\%~d0\AUTOSTOP\LPT3\.."
echo [.ShellClassInfo] > %~d0\AUTOSTOP\desktop.ini
echo IconFile="..\AUTORUN.INF\enable.ico" >> %~d0\AUTOSTOP\desktop.ini
echo IconIndex=0 >> %~d0\AUTOSTOP\desktop.ini
echo InfoTip="Антивирусный скрипт AUTOSTOP.BAT version 2.0" >> %~d0\AUTOSTOP\desktop.ini
copy %~d0\disable.ico %~d0\AUTOSTOP
attrib +h +r +s %~d0\AUTOSTOP\desktop.ini
attrib +h +r +s %~d0\AUTOSTOP\disable.ico
attrib +s %~d0\AUTOSTOP
rd /s /q "\\?\%~d0\RECYCLED"
rd /s /q "\\?\%~d0\RECYCLER"
echo Антивирусный скрипт AUTOSTOP.BAT version 2.0 > "\\?\%~d0\recycled"
echo Антивирусный скрипт AUTOSTOP.BAT version 2.0 > "\\?\%~d0\recycler"
attrib +h +r +s %~d0\recycle?
copy %~d0\readme.txt %~d0\AUTOSTOP
copy %~d0\manual.gif %~d0\AUTOSTOP
start %~d0\AUTOSTOP\readme.gif
СКАЧАТЬ EXE
Загрузить AUTOSTOP 2.0.1 - http://www.softportable.ru/Soft/autostop1.2.0.1.exe ДЛЯ ОТМЕНЫ ДАННОЙ ПРОГРАММЫ СКОПИРОВАТЬ В БЛОКНОТ, И СОХРАНИТЬ КАК 1.REG Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*setup*.exe"=""
"*instal*.exe"=""
"*setup*.bat"=""
"*instal*.bat"=""
"*setup*.cmd"=""
"*instal*.cmd"=""
"*setup*.com"=""
"*instal*.com"=""
"Y?kle*"=""
"Felrak.exe"=""
"Imposta.exe"=""
"KUR.exe"=""
"Ayarla.exe"=""
"sfc2.ico"=""
"evanims"=""
"00000001.tmp"=""
"updmoney.exe"=""
"hs\\media\\y\\11399\\11399_cd_fp.jpg"=""
"hs\\media\\y\\9953\\9953_cd_fp.jpg"=""
"hs\\media\\y\\9951\\9951_cd_fp.jpg"=""
"hs\\media\\y\\9964\\9964_cd_fp.jpg"=""
"hs\\media\\y\\9968\\9968_cd_fp.jpg"="" -[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] -[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"DependOnGroup"=hex(7):53,00,43,00,53,00,49,00,20,00,6d,00,69,00,6e,00,69,00,\
70,00,6f,00,72,00,74,00,00,00,00,00
"ErrorControl"=dword:00000001
"Group"="SCSI CDROM Class"
"Start"=dword:00000001
"Tag"=dword:00000002
"Type"=dword:00000001
"DisplayName"="Драйвер CD-ROM дисковода"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,63,00,64,00,72,00,6f,00,6d,00,2e,\
00,73,00,79,00,73,00,00,00
"AutoRun"=dword:00000001
"AutoRunAlwaysDisable"=hex(7):4e,00,45,00,43,00,20,00,20,00,20,00,20,00,20,00,\
4d,00,42,00,52,00,2d,00,37,00,20,00,20,00,20,00,00,00,4e,00,45,00,43,00,20,\
00,20,00,20,00,20,00,20,00,4d,00,42,00,52,00,2d,00,37,00,2e,00,34,00,20,00,\
00,00,50,00,49,00,4f,00,4e,00,45,00,45,00,52,00,20,00,43,00,48,00,41,00,4e,\
00,47,00,52,00,20,00,44,00,52,00,4d,00,2d,00,31,00,38,00,30,00,34,00,58,00,\
00,00,50,00,49,00,4f,00,4e,00,45,00,45,00,52,00,20,00,43,00,44,00,2d,00,52,\
00,4f,00,4d,00,20,00,44,00,52,00,4d,00,2d,00,36,00,33,00,32,00,34,00,58,00,\
00,00,50,00,49,00,4f,00,4e,00,45,00,45,00,52,00,20,00,43,00,44,00,2d,00,52,\
00,4f,00,4d,00,20,00,44,00,52,00,4d,00,2d,00,36,00,32,00,34,00,58,00,20,00,\
00,00,54,00,4f,00,52,00,69,00,53,00,41,00,4e,00,20,00,43,00,44,00,2d,00,52,\
00,4f,00,4d,00,20,00,43,00,44,00,52,00,5f,00,43,00,33,00,36,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\Enum]
"0"="IDE\\CdRomOptiarc_DVD_RW_AD-7200S_________________1.06____\\5&4f95177&0&0.1.0"
"Count"=dword:00000001 БОЛЬШОЕ СПАСИБО!!!
softportable
|
