Меню

Autorun inf для жесткого диска



Файл Autorun.inf — вирус или шалость?

Что за файл — Autorun.inf ?
Это скрытый файл в ОС Windows, находящийся в корне диска.
Каждый раз, когда Вы открываете диск (локальный, портативный или тот, что в приводе) или USB флешку (частый случай) система сразу проверяет его на наличие данного файла. Если он есть — она смотрит что там прописано и запускает.
Это автозагрузочный файл, который указывает что делать системе при запуске диска.

Его обычно используют в хороших целях. Вы никогда не задумывались, почему при открытии диска с программой или игрой, вставленного в привод, сразу выводится красивое меню с выбором дальнейших действий? А так же обычно иконка диска заменяется на другую, от создателей игры/программы. Так вот, это всё именно из-за этого файла.

И именно из за этих свойств, его так любят вирусы, чтобы прописать в нем путь для запуска своего вредоносного кода.

Что из себя представляет файл Autorun.inf ?
Это обычный текстовый документ (правда он скрытый), внутри которого прописан код для запуска программ. И его так же можно открыть и редактировать с помощью стандартного Блокнота.

Обычно файл Autorun.inf содержит в себе следующий код:

Где:
1 — это путь к программе
2 — имя программы
3 — иконка
4 — название (метка) диска

Это для примера. Команд для него большое множество, но для общего представления достаточно.

Как создать файл Autorun.inf для автозапуска ?
Это своего рода пособие по шалости

1) Создаем текстовый документ с названием Autorun .
2) Создаем папку vindavoz .
3) Открываем наш Autorun и вставляем туда

4) Сохраняем его с расширением .inf
5) Закидываем файл и папку в корень диска

В итоге должно получится следующее:
При загрузке диска (или флешки) иконка будет та, которая MyIcon.ico . Название диска будет Виндавоз. И сразу откроется MyProg.exe с названием в меню автозапуска Прога.

Разумеется все эти названия для примера и они должны уже быть в папке vindavoz.
Ну и для «красоты», можно сделать эти папку и файлы скрытыми.

Так же можно просто сделать название диска и иконку. Удивить друзей тем, что у Вашей флешки будет своё имя — это не ново. А вот когда ещё и иконка будет другая — это уже фокус
Содержание файла AutoRun.inf тогда будет таким:

Правда некоторые антивирусы могут ругаться на такое, но Вы то знаете что в нем ничего опасного.

Файл AutoRun.inf и вирусы
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.

Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.

Как удалить файл AutoRun.inf ?
Обычно вирус всячески пытается защититься: делает себя скрытым, не удаляемым, не дает зайти в во флешку и т.п.

Для того, чтобы удалить эту пакость вручную, воспользуемся командной строкой (win+r -> вводим cmd ).
1) Переходим на зараженную флешку (посмотрите на букву диска в Моем компьютере)

У меня флешка под буквой g , соответственно вместо неё Вы должны написать свою букву.

2) Меняем атрибуты файла на нормальные

Если всё сделано абсолютно правильно, ничего не изменится. В случае, если была допущена ошибка, появится соответствующая информация.

3) Удаляем вирус

Как удалить вирус AutoRun.inf с помощью реестра
Как попасть в Редактор реестра я уже писал выше. Нам нужна ветка [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)]

и удаляем в нем подраздел Shell . Можно так то удалить всё в разделе MountPoints2, но тогда удалится информация обо всех носителях. Решать Вам.

Так же можете воспользоваться программой Anti Autorun , которая блокирует создание файла autorun.inf и делает невозможным автозапуск любых вредоносных программ. Создает специальную папку и файл, которые не занимают места на диске.
Ещё пара программ которые могут Вам помочь, как я считаю, это Autorun Guard и USB_Tool .

Как защититься от вирусов AutoRun.inf ?

Конечно же Отключить автозапуск!
Немного об этом я писал в статье Как обезопасить свой компьютер, в частности в первом совете. В нем было описано как отключить автозапуск стандартными средствами Windows, а сейчас я опишу как это сделать «жестко» с помощью Редактора реестра.
Открываем редактор реестра (win+r ->вводим regedit ) и идем по ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer в которой создаем параметр DWORD (32 Бита)

NoDriveTypeAutoRun со значением dword:000000ff

А теперь сделаем защиту ещё прочнее
Дело в том, что ОСь Windows не позволяет создавать файлы и папки с одинаковыми именами, потому что для нее разница между файлом и папкой состоит только в одном бите.

Поэтому если существует папка autorun.inf, то файл с таким именем создаться уже не сможет. Поэтому первоначальный вариант — создать файл или папку с названием autorun.inf . Вирус увидит что такое название уже есть, обидится и уйдет ни с чем
Это имеет место быть правдой, но т.к. есть «интеллектуальные» вирусы, которые поймут, что существует файл или папка с таким именем и смогут запросто удалить Вашу созданную папку (файл) и записать свой файл autorun.inf, который будет запускать вирусы.
Для решения этой проблемы мы создадим супер-пупер неудоляемую папку . Которую удалить можно будет только если отформатировать флешку.

Итак, для создания такой папки, нужно создать простой текстовый документ в Блокноте со следующим содержанием:

d0\autorun.inf\vindavoz..\» attrib +s +h %

Ну а для тех, кому не хочется с этим возиться, я приготовил этот файл в архиве. vindavoz.zip 307 b cкачиваний: 1634
Достаточно его скачать, распаковать, перенести файл vindavoz.bat на флешку (диск) и запустить.

Читайте также:  Программа для удаления свободного места на жестком диске

Этот «Фокус» не получится на система NTFS, но флешки чаще используют FAT, так что можно пользоваться.

P.S.
Зачем делать папку в папке? Да потому что папка autorun.inf служит как бы «индикатором». И если после блужданий по компьютерам она к Вам попапла и атрибут у неё стоит не скрытый — значит вирусы уже хотели её удалить и прописаться в ней для чего и сменил атрибуты. Можете смело искать незнакомые скрытые файлы и удалять их. Это будут вирусы.

Для общей информативности, можете почитать статью на Википедии про него.

Источник

Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

Серия уроков по пакету утилит SysInternals

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

У большинства компьютерных фанатов есть свой инструмент для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 10, но ни один из них не является таким мощным, как Autoruns, именно эту программу мы рассмотрим в данном уроке.

Раньше, чтобы программное обеспечение запускалось автоматически, добавляли запись в папку «Startup» в меню «Пуск» или добавляя значение в раздел «Run» в реестре, но по мере того, как люди и программное обеспечение стали более сообразительными в поиске нежелательных записей и их удалении, производители сомнительного программного обеспечения начали искать всё более и более хитрыми способы автоматически запустить программу при включении системы.

Эти сомнительные компании по производству вредоносного ПО начали выяснять, как автоматически загружать своё программное обеспечение с помощью вспомогательных объектов браузера, служб, драйверов, запланированных задач и даже с помощью некоторых чрезвычайно продвинутых методов, таких как перехват образов и AppInit_dll.

Проверка каждого из этих условий вручную будет не только трудоёмкой, но и практически невозможной для обычного человека.

Вот где на помощь приходит Autoruns, которая спасает положение. Конечно, вы можете использовать Process Explorer, чтобы просматривать список процессов и углубляться в потоки и дескрипторы, а Process Monitor может точно определить, какие ключи реестра открываются каким процессом, и показать вам невероятные объёмы информации. Но ни один из них не предотвращает повторную загрузку вредоносных программ или нежелательных программ при следующем включении компьютера.

Конечно, разумной стратегией было бы использовать все три вместе. Process Explorer видит, что в данный момент работает, и использует ваш процессор и память, Process Monitor видит, что приложение делает под капотом, а затем входит Autoruns, чтобы очистить вещи, чтобы они больше не возвращались.

Autoruns позволяет вам увидеть почти все, что автоматически загружается на вашем компьютере, и отключить любой элемент так же просто, как переключить флажок. Программа невероятно проста в использовании и почти не требует пояснений, за исключением некоторых действительно сложных вещей, которые вам нужно знать, чтобы понять, что на самом деле означают некоторые вкладки. Именно этому и научит нас данный урок — уметь понимать вкладки Autoruns и значение записей в них.

Как запустить Autoruns

Если вы скачали полный пакет SysInternals, то для запуска дважды кликните на файл Autoruns64.exe или на Autoruns.exe (это 64-битная и 32-битна версии соответственно).

Работа с интерфейсом Autoruns

Вы можете загрузить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки.

Примечание: Autoruns не требует запуска от имени администратора, но на самом деле имеет смысл просто сделать это, поскольку есть несколько функций, которые в противном случае не будут работать, и есть большая вероятность, что ваше вредоносное также ПО запускается от имени администратора.

При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. На вкладке Everything («Все») по умолчанию отображается всё из каждой вкладки, но это может быть немного запутанным и длинным, поэтому мы советуем просто просматривать каждую вкладку отдельно.

Стоит отметить, что по умолчанию Autoruns скрывает все встроенные компоненты в Windows, которые настроены на автоматический запуск. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем это делать.

Отключение программ и служб из автозагрузки

Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это всё, что вам нужно сделать, просто просмотреть список и удалить всё, что вам не нужно, перезагрузить компьютер и снова запустить его, чтобы убедиться, что всё в порядке.

Примечание: некоторые вредоносные программы будут постоянно отслеживать места, откуда куда они прописали свой автозапуск, и немедленно возвращают значение обратно. Вы можете использовать клавишу F5 для повторного сканирования и просмотра, вернулись ли какие-либо записи после их отключения. Если одна из них снова появится, вам следует использовать Process Explorer, чтобы приостановить или убить эту вредоносную программу, прежде чем отключать её здесь.

Цвета

Как и большинство инструментов SysInternals, элементы в списке могут быть разных цветов, и вот что они означают:

  • Розовый — это означает, что информация об издателе не найдена, или, если проверка кода включена, означает, что цифровая подпись либо не существует, либо не соответствует, либо информация об издателе отсутствует.
  • Зелёный — этот цвет используется при сравнении с предыдущим набором данных автозапуска для обозначения элемента, которого не было в прошлый раз.
  • Жёлтый — запись для запуска есть, но файл или задание, на которое она указывает, больше не существует.

Так же, как и большинство инструментов SysInternals, вы можете щёлкнуть правой кнопкой мыши любую запись и выполнить ряд действий, включая переход к записи или изображению (фактический файл в проводнике). Вы можете выполнить поиск в Интернете по имени процесса или данных в столбце, просмотреть подробные свойства или посмотреть, запущена ли эта запись, выполнив быстрый поиск через Process Explorer, хотя у многих процессов есть загрузчик, который что-то запускает и выходит, поэтому если вы ничего не нашли среди запущенных процессов, это ещё ничего не значит.

Читайте также:  Зануление жесткого диска программы

Если вы нажали Jump to Entry («Перейти к записи»), вы попадёте прямо в редактор реестра, где сможете увидеть этот конкретный раздел реестра и осмотреться. Если это что-то другое, вы можете перейти к другой утилите, например к Планировщику заданий. Реальность такова, что в большинстве случаев Autoruns прямо в интерфейсе отображает информацию достаточно полно, поэтому вам обычно не нужно беспокоиться, если вы не хотите узнать больше.

Меню User («Пользователь») позволяет вам анализировать другую учётную запись пользователя, что может быть действительно полезно, если вы загрузили Autoruns в другую учётную запись на том же компьютере. Стоит отметить, что вам, очевидно, потребуется работать от имени администратора, чтобы видеть другие учётные записи пользователей на ПК.

Проверка подписей кода

Пункт меню Filter Options («Параметры фильтра») переносит вас на панель параметров, где вы можете выбрать один очень полезный параметр: Verify Code Signatures («Проверить подписи кода»). Это позволит убедиться, что каждая цифровая подпись проанализирована и проверена, и отобразит результаты прямо в окне. Вы заметите, что все элементы, выделенные розовым цветом на скриншоте ниже, не проверены или информация об издателе не существует.

И для дополнительной уверенности вы можете заметить, что этот снимок экрана ниже почти такой же, как и тот, что находится в начале, за исключением того, что некоторые элементы в списке не отмечены как розовые. Разница в том, что по умолчанию без включённой опции «Проверить подписи кода» Autoruns будет предупреждать вас розовой строкой только в том случае, если информация об издателе не существует.

Анализ выключенного компьютера (использование Autoruns для диска другого компьютера)

Представьте, что компьютер вашего друга полностью неисправен и либо не загружается, либо загружается так медленно, что вы не можете им пользоваться. Вы пробовали безопасный режим и варианты восстановления, такие как Восстановление системы, но это не имеет значения, потому что его нельзя использовать.

Вместо того, чтобы переустанавливать систему, вы можете вынуть жёсткий диск и подключить его к ПК или ноутбуку с помощью SATA-USB переходника. Затем вы просто загружаете Autoruns и идете в File → Analyze Offline System.

Найдите каталог Windows на другом жёстком диске и профиль пользователя, которого вы пытаетесь диагностировать, и нажмите OK, чтобы начать.

Разумеется, вам понадобится доступ для записи на диск, потому что нужно сохранить настройки, чтобы удалить всё ненужное.

Сравнение с другим ПК (или предыдущая чистая установка)

Параметр File → Compare («Файл» → «Сравнить») кажется невзрачным, но это может быть один из самых эффективных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или сравнения с известным чистым ПК.

Чтобы использовать эту функцию, просто загрузите Autoruns на ПК, который вы пытаетесь проверить, или используйте автономный режим, который мы описали ранее, затем перейдите в File → Compare. Всё, что было добавлено с момента сравнения версии файла, будет отображаться ярко-зелёным цветом. Это так просто. Чтобы сохранить новую версию, воспользуйтесь опцией File → Save (Файл → Сохранить).

Если вы действительно хотите стать профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить её на флэш-накопитель, чтобы взять с собой. Сохраняйте новую версию каждый раз, когда вы впервые прикасаетесь к ПК, чтобы быть уверенным, что вы сможете быстро идентифицировать все новое вредоносное ПО, добавленное владельцем.

Вкладки Autoruns

Как вы уже видели, Autoruns — очень простая, но мощная утилита, которую, вероятно, может использовать почти любой. Я имею в виду, всё, что вам нужно сделать, это снять флажок, верно? Однако полезно получить дополнительную информацию о том, что означают все эти вкладки, поэтому мы постараемся вас познакомить здесь.

Logon (Вход в систему)

Эта вкладка проверяет все «обычные» места в Windows на предмет автоматической загрузки, включая ключи Run и RunOnce реестра, меню «Пуск»… и многие другие места. Как оказалось, существует 43 различных «обычных» места, куда программное обеспечение может вставлять себя для автоматического запуска при входе в систему или выходе из неё. Неудивительно, что в Windows существуют такие огромные проблемы с вредоносным, нежелательным и шпионским ПО!

Наш совет: снимите галочки со всего, что вам не нужно. Вы всегда можете повторно включить это, если хотите.

Explorer (Проводник)

На этой вкладке перечислены все дополнительные компоненты, которые могут загружаться в проводник Windows. В основном это будут надстройки контекстного меню и другие подобные вещи.

Если вы испытываете снижение производительности при просмотре файлов, использовании контекстного меню или просто во всех окнах Windows, это, вероятно, является виновником. Вы можете отключить здесь все, что захотите, хотя вы можете потерять некоторые функции для определённых приложений.

Internet Explorer

Эта вкладка потеряла актуальность, поскольку мало кто уже использует Internet Explorer. На этой вкладке перечислены все расширения браузера, панели инструментов и вспомогательные объекты браузера, которые обычно используются вредоносными программами, чтобы шпионить за вами или показывать вам рекламу. Мы рекомендуем снимать отметку практически со всех элементов, которые вы видите.

Scheduled Tasks (Задачи по расписанию)

Это один из самых сложных способов скрытия вредоносных программ в наши дни. Вместо того, чтобы прятаться в каких-либо местах, которые люди умеют искать, вредоносная программа создаёт запланированную задачу для переустановки себя, показа рекламы или выполнения всевозможных гнусных вещей. Проблема усугубляется тем, что планировщик задач может сбивать с толку, поэтому большинство людей даже не догадаются сюда заглянуть. К счастью, Autoruns упрощает эту задачу.

Мы рекомендуем удалить почти все, что вы не узнаете и определённо не принадлежит Microsoft. Это один из примеров, когда действительно полезно использовать параметр Verify Code Signatures («Проверить подписи кода»).

Читайте также:  Программы очищающие жесткие диски от лишнего мусора

Services (службы)

После выполнения задач одно из наиболее распространённых и коварных мест, где вредоносное ПО скрывается в наши дни, — это регистрация службы в Windows или, в некоторых случаях, создание службы, которая помогает убедиться, что другие вредоносные процессы все ещё работают.

Будьте осторожны при отключении чего-либо на этой вкладке, поскольку некоторые вещи могут быть законными и необходимыми. На скриншоте ниже вы увидите несколько подходящих сервисов Google, Microsoft и Mozilla. Если мы отключим их, это не сильно навредит, но все же стоит провести дополнительное исследование, прежде чем отключать какие-либо вещи, если вы ещё не определили их как вредоносное или нежелательное ПО.

Drivers (Драйверы)

Вы не поверите, но некоторые производители вредоносного ПО и вредоносных программ на самом деле создали драйверы устройств, содержащие вредоносные программы или очень соминтельные компоненты, которые шпионят за вами. После того, как наша тестовая машина была заражена кучей вредоносных программ, мы заметили, что одна из них принесла с собой драйвер. Мы все ещё не совсем уверены в том, что он делает, но учитывая, как он туда попал, вряд ли это что-то хорошее.

Вы определенно захотите быть более осторожными на этом экране. Отключение неправильных драйверов может сломать ваш компьютер, поэтому исследуйте, щелкните каждый из них правой кнопкой мыши и выполните поиск в Интернете, и отключайте что-то только в том случае, если оно, скорее всего, связано со шпионским ПО. В приведенном ниже примере мы уже определили папку в пути к изображению для выделенной строки как вредоносную, поэтому было логично отключить ее.

Codecs (Кодеки)

Это библиотеки кода, которые используются для управления воспроизведением мультимедиа для видео или аудио, и, к сожалению, вредоносные программы использовали их как способ автоматического запуска на компьютере. При необходимости вы можете отключить их здесь.

Boot Execute (выполнение при загрузке)

С этим вам, вероятно, не придётся иметь дело, это используется для вещей, которые запускаются во время загрузки системы, например, когда вы планируете проверку жёсткого диска во время загрузки, поскольку это не может произойти, пока Windows фактически загружена.

Image Hijack (перехват образа)

Если вы прочитали наш второй урок о Process Explorer, то вы узнали, что вы можете заменить диспетчер задач на Process Explorer, но вы, вероятно, не знали, как это происходит на самом деле, не говоря уже о том, что вредоносное ПО может и использует тот же метод для захвата приложений.

Вы можете установить ряд настроек в реестре, которые управляют загрузкой вещей, включая захват всех исполняемых файлов и их запуск через другой процесс или даже назначение «отладчика» любому исполняемому файлу, даже если это приложение не является отладчиком.

По сути, вы можете назначать значения в реестре, чтобы при попытке загрузить notepad.exe вместо этого загружался calc.exe. Или любое приложение может быть заменено другим приложением. Это один из способов, которым вредоносное ПО блокирует загрузку антивирусов или других средств защиты от вредоносных программ.

Вы можете убедиться в этом сами — слева находится имя исполняемого файла, а с правой стороны клавиша «Отладчик» установлена на экземпляр Process Explorer, который запущен с моего рабочего стола. Но вы можете изменить это на что угодно и это будет работать. Вероятно, это будет отличная шутка, которую не так просто обнаружить.

Если вы видите что-либо на вкладке Image Hijacks, кроме значений для Process Explorer, вы должны немедленно отключить их.

AppInit

Еще один пример того, почему в Windows так много вредоносного и шпионского ПО, записи AppInit_dlls в реестре удивительны и невероятны. В какой-то момент Microsoft добавила в Windows функцию, которая загружает все файлы DLL, перечисленные в определённом разделе реестра… в каждый запускаемый процесс.

Что ж, технически, всякий раз, когда приложение загружает библиотеку Windows user32.dll, оно проверяет значение ключа реестра, а затем загружает в процесс любые библиотеки DLL, найденные в списке, что позволяет вредоносным программам захватить каждое приложение.

В Windows Vista и более поздних версиях они, наконец, решили немного ограничить это, потребовав, чтобы библиотеки DLL были подписаны цифровой подписью… если ключ RequireSignedAppInit_DLLs не установлен в 0, что заставляет Windows все равно загружать их. Как вы понимаете, вредоносное ПО воспользовалось этим, как вы можете видеть в примере ниже.

Помните, в уроке 3 мы показали вам, как Conduit перехватывает и вставляет свои файлы DLL в процессы вашего браузера? Это делалось именно таким способом. На скриншоте выше вы можете увидеть файл spvc64loader.dll, который затем использовался для загрузки файла SPVC64.dll в браузер.

KnownDLLs

Этот ключ гарантирует, что Windows использует определённую версию файла DLL. По большей части вам не нужно беспокоиться об этом, если вредоносное ПО не испортило этот список — основная цель использования этой вкладки — просто убедиться, что все, что там указано, действительно является проверенным компонентом Windows, что довольно просто.

Winlogon, Winsock Providers, Print Monitors, LSA Providers, Network Providers

Обычно вам не следует беспокоиться об этих вкладках, поскольку они просто содержат надстройки, расширяющие различные аспекты Windows — Winlogon и LSA подключаются к системе входа и аутентификации, Winsock и Network обрабатывают сеть, а мониторы печати — это сторонние приложения, которые работают с вашим принтером.

Если у вас есть значения на этих вкладках, стоит изучить их, прежде чем отключать их. Несомненно, вредоносное ПО может захватить эти вещи.

Гаджеты боковой панели

Если у вас есть какие-либо гаджеты боковой панели в Vista или Windows 7, вы увидите их здесь и можете отключить их, если хотите.

Следующий урок

Это все для Autoruns, но следите за обновлениями в следующих частях, когда мы расскажем вам о BGInfo и отображении системной информации на вашем рабочем столе.

Источник