http://www.computerra.ru/reviews/384349/Большой обман на маленьких носителях
Автор: Андрей Васильков
Опубликовано 27 ноября 2008 года
Побочный эффект массовости
Популярность флэшек подарила вторую жизнь файловым и загрузочным вирусам, ранее облюбовавшим дискеты. Дело в том, что Windows XP Home в настройках по умолчанию использует функцию автозапуска для сменных носителей и выполняет содержимое файла autorun.inf.
На зараженном USB-flash-диске создается файл автозапуска и скрытая папка (чаще всего, маскирующаяся под "Корзину"). В этой папке размещается вредоносный код одним или несколькими файлами. Как правило, это троян (в качестве боевой начинки) и дроппер (для доставки трояна к цели в обход антивирусов).
Достаточно вставить такую флэшку в USB-порт, и компьютер под управлением Windows XP Home инфицируется. Для Pro-версии и Vista автоматическое выполнение команд из файла autorun.inf запрещено. Сначала появляется окно выбора действия - и выполнение автозапуска лишь одно из них. Это небольшое отличие вряд ли поможет, поскольку существуют способы обмана пользователя - например, подмена стандартных пунктов ("открыть", "Проводник", "найти") на вызов дроппера или замена иконки диска.
Кардинальное решение проблемы под XP и "Вистой" одинаковое: необходимо отказаться от медвежьей услуги автоматической обработки сменных носителей.
В WinXP Pro и Vista (за исключением Home Basic и Home Premium) это можно сделать путем редактирования локальной политики gpedit.msc: Computer configuration/Administrative templates/System/Turn off autoplay.
В не имеющих gpedit.msc версиях XP и Vista следует напрямую отредактировать соответствующие ключи реестра (см. ниже).
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\Explorer\NoDriveTypeAutoRun] "NoDriveTypeAutoRun"=dword:000000b5
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Explorer\AutoplayHandlers\CancelAutoplay\Files]
''*.*''=''''
Здесь 000000b5 - это сумма параметров (в шестнадцатеричном виде). Значения 80(h) и 1 отключают автозапуск на приводах неизвестных типов (можно указать оба - для гарантии, хуже не будет); 20(h) - с оптических приводов; 10 - для сетевых дисков; 4 - для съемных устройств. Вместо 000000b5 можно указать 0xFF - тогда отключится автозапуск со всех носителей.
Вдобавок стоит удалить ключ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2, в котором хранится информация об устройствах, подключенных ранее в режиме автозапуска.
Код троянов и дропперов меняется довольно часто, и если пользователь пренебрегает антивирусными обновлениями, он рискует вдвойне, потому что эвристика здесь практически бессильна.