Jump to content
Sign in to follow this  
vitmaslov

Autorun.inf на флэшке

Recommended Posts

Здравствуйте! Хочу обратиться к вам с такой проблемой: ежемесячно к нам приносят ЛПУ персональную информацию на USB-носителе (флэшке). При проверке антивирусом Касперского (v 6.0.4.1424 Wst, в политике чтение autorun.inf заблокировано) угроз не обнаруживается. При визуальном осмотре (скриншот прилагается) на флешке имеются скрытые папки , в корне лежит файл autorun.inf и скрытая папка RECYCLER внутри которого находится файлик с расширением .exe. На сколько мне известно из практики и опыта работы в сфере информационной безопасности -эта флешка носитель всякого рода вирусов и троянов.

Поэтому у меня есть к вам следующие вопросы:

1) почему ваша антивирусная программа игнорирует наличие вредного ПО при наличии на носителе файла autorun.inf и др.?

2) есть ли у вас специализированная утилита по выявлению и защите от вредоносных прогамм на USB-носителе (в других лабараториях созданы подобные утилиты).?

3) и каково мнение Вашего эксперта на визуальное рассмотрение содержимого "флэшки" (скриншот).

_________________10.doc

Share this post


Link to post

Там еще хуже

Скриншот тотал коммандера на корень флэшки

А не содержимое того же самого .инф файла ))))

 

===

Подтверждаю ;)

Autorun.inf на флэшке есть

 

Share this post


Link to post
Может быть потому, что его нет в базах? Или вы считаете, что а/в должен с криком "я нашел вирус" набрасываться

 

тут уже была темка по автозапуску с флешек/дисков и был дан совет прописать в Контроль запуска программ *autorun.inf, но подобный подход не срабатывает, ни при указании пути к файлу, ни при указании метаданных его имени, очевидно потому что сам файлик inf неисполняемый, переименуешь = блочит четко, а вот к файликам *.inf запретить доступ у меня так и не получилось.

 

отпишитесь те кто смог победить флешки :rolleyes:

Share this post


Link to post

Вообще, насколько я в курсе, для блокировки autorun.inf как раз и не нужно ничего делать.

Вот для того, чтобы блокировки не было - нужно изрядно головой и руками поработать, и запретить установку определенных обновлений системы.

Share this post


Link to post
Мои а/в иногда прибивают зловредов на флэшках, но ни одного случая не точно бы активного заражения, но даже просто запуска малвары я не припоминаю.

+1

 

Share this post


Link to post
Не вижу смысла с ними бороться.

Мои а/в иногда прибивают зловредов на флэшках, но ни одного случая не точно бы активного заражения, но даже просто запуска малвары я не припоминаю.

Я думаю просто нужно отключить автозапуск с флешек в Антивирусе и никакого гемороя не будет. Autorun.inf не будет срабатывать, а затем проще войти в Мой компьютер нажать правую кнопку мыши и выполнить проверку на вирусы. Если этот вирус прописан в Autorun.inf, то он его убъет (и вирус и Autorun.inf). Понимаю что полную защиту от человеческого любопытства найти тяжело, но проще объяснить всем работникам, ЧТО ПЕРЕД ОТКРЫТИЕМ ФЛЕШКИ ПРОВЕРЬ ЕЁ НА ВИРУСЫ!!!

Можно конечно со мной не соглашаться, но уже 6 лет ни с одной флехи не поймал вирус!!!

KAV for WKS 6.0.4.1611

Edited by Александр А.

Share this post


Link to post
Я думаю просто нужно отключить автозапуск с флешек в Антивирусе и никакого гемороя не будет. Autorun.inf не будет срабатывать, а затем проще войти в Мой компьютер нажать правую кнопку мыши и выполнить проверку на вирусы. Если этот вирус прописан в Autorun.inf, то он его убъет (и вирус и Autorun.inf). Понимаю что полную защиту от человеческого любопытства найти тяжело, но проще объяснить всем работникам, ЧТО ПЕРЕД ОТКРЫТИЕМ ФЛЕШКИ ПРОВЕРЬ ЕЁ НА ВИРУСЫ!!!

Можно конечно со мной не соглашаться, но уже 6 лет ни с одной флехи не поймал вирус!!!

KAV for WKS 6.0.4.1611

Вы винду регулярно обновляете? ;)

Это я к тому что патч отключающий обработку autorun.inf Майкрософт выпустила давным давно

ну а остальное обработает файловый антивирус при обращении к файлу

Share this post


Link to post
Вы винду регулярно обновляете? ;)

Это я к тому что патч отключающий обработку autorun.inf Майкрософт выпустила давным давно

ну а остальное обработает файловый антивирус при обращении к файлу

Я по-моему даже не рекомендовал кто из них (Антивирус или Винда) будет отвечать за отключение авторана, просто написал как у меня!!!

Ведь это не столь принципиально кто запрещает запуск!!!

И нет большого доверия к патчам!!! Каждый новый выпущенный патч большое противоречие предыдущему. Испытано, провернео, не работает!!!

Edited by Александр А.

Share this post


Link to post

Ну ведь autorun.inf это не вирус, это лишь ярлык на порядок запуска. Точно такие же лежат на дисках с автозапуском, на флешках если это необходимо. Другое дело экзешники в скрытых папках. Кстати недавно словил подобный, АВ касперского его вылечил а в итоге осталось на флешке и авторан и папка и экзешник, только в убитом состоянии (вылеченом), АВ свою работы выполнил, он же не должен чистить флешку от не зараженных папок и файлов.

Share this post


Link to post
Я по-моему даже не рекомендовал кто из них (Антивирус или Винда) будет отвечать за отключение авторана, просто написал как у меня!!!

Ведь это не столь принципиально кто запрещает запуск!!!

И нет большого доверия к патчам!!! Каждый новый выпущенный патч большое противоречие предыдущему. Испытано, провернео, не работает!!!

Не буду спорить о патчах от майкрософт ;)

 

Просто вы сначала предпринимаете действия что бы не допустить отключение авторана

Потом предпринимаете действие на включение оного ;)

Share this post


Link to post
Другое дело экзешники в скрытых папках.

А как насчет тех что явно лежат в корне, и иконка у них как у папки (а имена как скрытых папок)? ;)

 

Share this post


Link to post
А как насчет тех что явно лежат в корне, и иконка у них как у папки (а имена как скрытых папок)? ;)

А у АВ глаз нету ему все равно как выглядит объект я так понимаю, проверить все равно проверит на наличие кода. Я к тому что наличие авторана еще не есть наличие заражения, а то ведь находятся те кто жалуются, что АВ у них авторан не удалил. Началось ведь все с этого

1) почему ваша антивирусная программа игнорирует наличие вредного ПО при наличии на носителе файла autorun.inf и др.?

так я и сам иногда делаю автораны, чтобы иконка у флешки была и автозапуск сработал, что теперь я вырусописателем стал?!

Edited by DWState

Share this post


Link to post
тут уже была темка по автозапуску с флешек/дисков и был дан совет прописать в Контроль запуска программ *autorun.inf, но подобный подход не срабатывает, ни при указании пути к файлу, ни при указании метаданных его имени, очевидно потому что сам файлик inf неисполняемый, переименуешь = блочит четко, а вот к файликам *.inf запретить доступ у меня так и не получилось.

 

отпишитесь те кто смог победить флешки :rolleyes:

День потратил на создание исключающего правила для autorun.inf (была уже ветка по данному вопросу c пошаговой настройкой). Не получилось.

Как вариант запретил запуск файла autorun.exe. в "контроле запуска программ".

 

 

 

 

Share this post


Link to post
День потратил на создание исключающего правила для autorun.inf (была уже ветка по данному вопросу c пошаговой настройкой). Не получилось.

Как вариант запретил запуск файла autorun.exe. в "контроле запуска программ".

А как это вам поможет? Autorun.INF информирует систему о запуске файла swec3c.exe , и как в этом случае сработает ваше правило?

Share this post


Link to post
А как это вам поможет? Autorun.INF информирует систему о запуске файла swec3c.exe , и как в этом случае сработает ваше правило?

Да, согласен, в данном случае это правило неподходит и запустится файл swec3c.exe. Больше вариантов нет обработки Autorun.INF.

 

Нужно, думаю, в техподдержку написать чтобы добавили две настройки из версии KAV 6 ("Запретить автозапуск со всех устройств", "Запретить обработку Autorun.INF").

Share this post


Link to post
Нужно, думаю, в техподдержку написать чтобы добавили две настройки из версии KAV 6 ("Запретить автозапуск со всех устройств", "Запретить обработку Autorun.INF").

Специально же убрали, за ненадобностью :)

Share this post


Link to post
Специально же убрали, за ненадобностью :)

Да проще и удобнее, как мне кажется, "галки" в политике поставить/отключить, чем на ПК запускать reg файлы.

Share this post


Link to post
Да проще и удобнее, как мне кажется, "галки" в политике поставить/отключить, чем на ПК запускать reg файлы.

о_О Какие reg-файлы? Апдейт был выпущен в начале 2011 года. Вы не ставите апдейты?

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.