Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2009.08.16;
Скачать: CL | DM;

Вниз

Защита от AUTORUN.INF вирусов.   Найти похожие ветки 

 
brother ©   (2009-06-17 05:46) [0]

Никто такое не использует?
mkdir "\\?\G:\AUTORUN.INF\LPT3"
фишка в том, что данную папку удалить нельзя (только переместить), при создании файла, вирус тоже получит отказ)


 
Джо ©   (2009-06-17 07:32) [1]

Ну, переместит твою папку вирус или переименует, если шибко умный. И что?


 
brother ©   (2009-06-17 07:47) [2]

я думаю самый простой механизм у них - замещение с удалением, вот и интересуюсь, кто пробовал?


 
miek   (2009-06-17 08:43) [3]

есть более замысловатый скрипт, его недавно выкладывли на хабрахабре.
называется autostop.
там еще и атрибуты каталога меняются на запрещенные, а внутри него создается запрещенный файл.
советую попробовать - за три месяца ни на одной флешке его вирусы не погрызли.


 
brother ©   (2009-06-17 08:46) [4]

> атрибуты каталога меняются на запрещенные

чкт я такого атрибута не знаю...


 
Рамиль ©   (2009-06-17 09:37) [5]

Я форматирую в ntfs, создаю пустой файл и отбираю у всех права (правда не знаю, помогает ли - зараженных автораном компов в живую не видел, приносят только зараженые флешки).


 
oldman ©   (2009-06-17 09:45) [6]

Я просто отключил автозагрузку с флешки, а на приносимые сразу напускаю Веба.
Пока жив.


 
Loginov Dmitry ©   (2009-06-17 09:47) [7]


> Никто такое не использует?
> mkdir "\\?\G:\AUTORUN.INF\LPT3"


Давно использую такое:

mkdir "G:\AUTORUN.INF"
mkdir "G:\AUTORUN.INF\111 \"

главное число пробелов в конце запомнить, иначе потом сложно чем удалить.
Очень эффективный способ противодействия вирусам-автораннерам.
На а если на компе отключить автозапуск (службу Определение оборудования оболочки), то можно надолго забыть про вирусы))


 
brother ©   (2009-06-17 09:50) [8]

> mkdir "G:\AUTORUN.INF\111 \"

не понял фишки, что с пробелами не так?


 
brother ©   (2009-06-17 09:51) [9]

> Я форматирую в ntfs, создаю пустой файл и отбираю у всех
> права


это тож вариант


 
Loginov Dmitry ©   (2009-06-17 10:38) [10]


> не понял фишки, что с пробелами не так?


фишка в том, что винда позволит создать каталог "111 \", однако удалить такой каталог довольно сложно (из-за пробелов в конце).


 
brother ©   (2009-06-17 11:10) [11]

создал на C: удалилось без проблемм ;)


 
KSergey ©   (2009-06-17 11:35) [12]

> Loginov Dmitry ©   (17.06.09 10:38) [10]
> фишка в том, что винда позволит создать каталог "111 \",
>  однако удалить такой каталог довольно сложно (из-за пробелов в конце).

А если воспользоваться простым проводником а не командной строкой? :)


 
KSergey ©   (2009-06-17 11:37) [13]

про авторан-каталог - давно тут на форуме вычитал "фишку", не запомнил автора, увы:(
Очень классный способ!

интересно, вирусы, котрые переименовывают уже появились? Пока не попадалось


 
capkoh ©   (2009-06-17 11:40) [14]

> [3] miek   (17.06.09 08:43)
> есть более замысловатый скрипт, его недавно выкладывли на
> хабрахабре.

http://habrahabr.ru/blogs/infosecurity/53642/
http://habrahabr.ru/blogs/infosecurity/54187/


 
brother ©   (2009-06-17 11:40) [15]

> интересно, вирусы, котрые переименовывают уже появились?
> Пока не попадалось

ну теперь скоро ждите ;)


 
brother ©   (2009-06-17 11:46) [16]

> http://habrahabr.ru/blogs/infosecurity/53642/
> http://habrahabr.ru/blogs/infosecurity/54187/

много плюсов, но один большой минус: только не для NTFS дисков!
File attributes: 0x40 Device (internal use only, never found on disk) интересно!


 
Кто б сомневался ©   (2009-06-17 13:15) [17]


> Я просто отключил автозагрузку с флешки, а на приносимые
> сразу напускаю Веба.
> Пока жив.


У меня это давным давно . Если вирус, файл вируса сразу видно, ручками его удаляю.


 
AIRDIGER ©   (2009-06-18 04:40) [18]

Выкинте все ваши бредни... авторан жил живет и будет жить ... найдутся и по мнее вас и что-нить новое состряпоют.. (:


 
brother ©   (2009-06-18 05:24) [19]

> Выкинте все ваши бредни...

обязательно!


 
oldman ©   (2009-06-18 09:02) [20]


> Кто б сомневался ©   (17.06.09 13:15) [17]
> У меня это давным давно . Если вирус, файл вируса сразу
> видно, ручками его удаляю.


авторан.инф видно, не спорю.
А бывают еще гадкие добавки.


 
brother ©   (2009-06-18 09:16) [21]

> А бывают еще гадкие добавки.

типа папки RECYCLER и прочих


 
oldman ©   (2009-06-18 09:22) [22]

Убил тут на сервере вирус - файл с расширением .pif
Вот уж век живи, век сомневайся!


 
brother ©   (2009-06-18 09:24) [23]

> файл с расширением .pif

и не такое видели ;) xxx.jpg picture.gif ))))))))


 
brother ©   (2009-06-18 09:27) [24]

я молчу про двойные расширения и 200 пробелов между ними)


 
TIF ©   (2009-06-19 01:27) [25]

А может всё-таки легче на компьютерах, где флешку свою втыкать, использовать антивирусы? Как-то по-китайски строить препоны, когда логичнее ликвидировать причину возникновения неприятностей

Хотя если с флешкой кто-то ходит в организации, где от слов "сисадмин" и "антивирус" у большинства делаются круглые глаза, то да, препоны "рулят"...



Страницы: 1 вся ветка

Текущий архив: 2009.08.16;
Скачать: CL | DM;

Наверх




Память: 0.52 MB
Время: 0.015 c
2-1245498247
Mouse
2009-06-20 15:44
2009.08.16
Количество нажатий кнопки мыши


15-1244816619
dnepr
2009-06-12 18:23
2009.08.16
Вопрос про потоки


2-1244993614
Gumz
2009-06-14 19:33
2009.08.16
Преобразование координат пикселей в градусы


2-1245257837
Bred
2009-06-17 20:57
2009.08.16
Unable to invoke Code Completion due to errors in source code


15-1245261116
jack128_
2009-06-17 21:51
2009.08.16
Ну что, вот я и папа!