Классический флешечник. Способ защиты? - Безопасность, Шифрование

Alex Cones · 20.01.2010, 16:28

Сегодня был в универе и по дороге слушал филм в mp3. Пришел, у одногруппника был с собой ноут. Не смотря на мои предостережения плеер был немедленно втыкнут в разъем USB. Дело было под вистой. Сразу же на мой мп3шник накинулись полчища голодных вирусов. Открыв диспетчер задач (Я так и не понял, как Лёня его врубил) и завершив оооочень подозрительный 234642...чететам.ехе осмотрел развалины Трои - Autorun.inf, какой-то ехе + все папки продублировались и копии сделались файлами с разрешением ехе. "Прелесть" только у меня и вырвалось. Поставив товарища на изготовку с выделенными "лишними" файлами и положив его палец на "DELETE" по команде он удалил файлы, а я выдернул техническое чудо.
Включаю - "не найдено звуковых файлов" Я в шоке, там вся моя коллекция! Врубаю записи с диктофона, сохраняю, врубаю файл менеджер (на мп3 естесственно) видит только две папки (системные FMIN.DIR и MICIN.DIR) Другие папки с музыкой мы игнорируем. Удалил запись, пришел домой. На всякий пожарный ликвидировал WINE. Вставляю - все папки на месте. Включаю мп3 - он их не видит. Удалил папки с музыкой, создал их заного, перекинул туда музыки, все увидел и как обычно начал воспроизводить. Такая вот история.
А теперь вопросы:
- Во-первых: в винде есть такая функа - SHIFT+вставить устройство - блокирует autorun.inf. Есть ли такая функция в линуксе? (кстати когда я его открыл autorun`а там не обнаружил - не успел перезаписаться после слаженной работы DELETE и моих пальцев. Так что этот способ помогает локально очиститься - NotaBene!)
- Во-вторых: Правильно ли я поступил, ликвидировав WINE перед вставкой? Если бы там все-таки был autorun, привело бы это к чему-нибудь?
- В-третьих: Как получается, что флешка перестала видеть папки, если они были на месте? (тип фс во влешке -msdos)
- В-четвертых: Можно ли как-то предотвратить подобные случаи? (кроме отрубания рук "друзьям").
P.S. Флешка здорова, чего и Вам желаю!

Stilet · 20.01.2010, 16:34

Цитата:

Как получается, что флешка перестала видеть папки, если они были на месте?

Не флешка а проигрыватель. Некоторые вири папки не стирают а ставят им атрибут "системные", а эти папки Эксплорером (например) не просматриваются.

Utkin · 20.01.2010, 16:38

Цитата:

Сообщение от Alex Cones

- Во-первых: в винде есть такая функа - SHIFT+вставить устройство - блокирует autorun.inf. Есть ли такая функция в линуксе? (кстати когда я его открыл autorun`а там не обнаружил - не успел перезаписаться после слаженной работы DELETE и моих пальцев. Так что этот способ помогает локально очиститься - NotaBene!)

Кажись есть, но зачем она там? Все что на съемных носителях обычно лишается прав на исполнение (на компкат-дисках точно, на флешках не помню). Чтобы что-то оттуда запустить (в смысле прогу), нужен Root, а тогда значит пользователь в курсе чего он делает

.

Цитата:

- Во-вторых: Правильно ли я поступил, ликвидировав WINE перед вставкой? Если бы там все-таки был autorun, привело бы это к чему-нибудь?

Скорее всего да

. Но не факт, что сработало бы. WINE предоставляет не все функции...

Цитата:

- В-третьих: Как получается, что флешка перестала видеть папки, если они были на месте? (тип фс во влешке -msdos)

Не понял, кто кого перестал видеть, но скорее всего они стали скрытыми (а их копии с расширением exe - видимыми

, просто изначально винда не показывает расширения).

Цитата:

- В-четвертых: Можно ли как-то предотвратить подобные случаи? (кроме отрубания рук "друзьям").

Думаю нет. Но, можно попробовать USB штекер плоскогубцами сплющить...

Alex Cones · 20.01.2010, 16:45

Цитата:

Некоторые вири папки не стирают а ставят им атрибут "системные"

Ясно, благодарю.

Цитата:

Чтобы что-то оттуда запустить (в смысле прогу), нужен Root, а тогда значит пользователь в курсе чего он делает .

Ясненько, спасибо.

Цитата:

можно попробовать USB штекер плоскогубцами сплющить...

Варварский способ. А если написать СВОЙ autorun.inf и засадить его на фле... проигрыватель? По идее вирус должен искать наличие файла, а не содержимое.
P.S. Еще подумаю над своим механизмом "Абсолютно защищенной папки", может удастьсь поставить хук на сообщения типа обращения к фл... Проигрывателю. Хотя и на флешке по идее должно сработать.
Тогда механизм такой - Autorun.inf => Defence.exe.
P.S. И как наконец запретить линуксу создавать .Trash-1000 на мп3? Руки уже устали удалять "корзину".

Utkin · 20.01.2010, 16:48

Цитата:

Сообщение от Alex Cones

Варварский способ. А если написать СВОЙ autorun.inf и засадить его на фле... проигрыватель? По идее вирус должен искать наличие файла, а не содержимое.

Я так и делаю на всех своих флехах. Создаешь папку autorun.inf и делаешь ее скрытой и системной. Файл делать бесполезно - некоторые умники затирают своим телом. Вирус конечно на флешку записывается, но она становится не опасной (если сам не запустишь).

Цитата:

P.S. И как наконец запретить линуксу создавать .Trash-1000 на мп3? Руки уже устали удалять "корзину".

Посмотри в настройках Гнома (у меня в КДЕ таких проблем не возникало).

Alex Cones · 20.01.2010, 16:57

Цитата:

Создаешь папку autorun.inf и делаешь ее скрытой и системной

А как папка поможет этому делу?

Код:

FileExists('E:/Autorun.inf')

вернет false.

russian-stalker · 20.01.2010, 17:03

Хех.
Сегодня в школе всунул флешку в ноут и увидел что все мои папки превратились в exe файлы размером 1.6 mb. Всунув это дело в свой ноут, мой антивирус сразу засветился разноцветными сообщениями. Всё почистил и уже думал что информация потеряна, но установив параметр "Показывать скрытые папки" я увидел свои папки в целости и сохраности.

JTG · 20.01.2010, 17:33

В принципе если очень постараться, то можно это обойти, но 99% троянов не смогут записать свой autorun, т.к. DeleteFile вернёт ошибку "Параметр задан неверно", а RemoveDirectory - "Папка не пуста".

Alex Cones · 20.01.2010, 17:47

Спасибо....................

Serge_Bliznykov · 20.01.2010, 17:48

Цитата:

Сообщение от Alex Cones

Цитата:

Сообщение от Utkin

Создаешь папку autorun.inf и делаешь ее скрытой и системной

А как папка поможет этому делу?
FileExists('E:/Autorun.inf')
вернет false.

1) - не уверен.
2) даже если и так, ну и что? тем хуже для автора вируса! Вы попробуйте создать файл с тем же именем, какое имеет папка (тем более НЕ ПУСТАЯ!!

Вас ждет СюрПриз - в файловой системе FAT / NTFS в одном каталоге НЕ МОЖЕТ БЫТЬ ДВУХ объектов с одним и тем же именем!!
так что, думаю, что этот способ вполне действенный!

20.01.2010, 16:28	#1
Alex Cones Trust no one. Старожил Регистрация: 07.04.2009 Сообщений: 6,526	Классический флешечник. Способ защиты? Сегодня был в универе и по дороге слушал филм в mp3. Пришел, у одногруппника был с собой ноут. Не смотря на мои предостережения плеер был немедленно втыкнут в разъем USB. Дело было под вистой. Сразу же на мой мп3шник накинулись полчища голодных вирусов. Открыв диспетчер задач (Я так и не понял, как Лёня его врубил) и завершив оооочень подозрительный 234642...чететам.ехе осмотрел развалины Трои - Autorun.inf, какой-то ехе + все папки продублировались и копии сделались файлами с разрешением ехе. "Прелесть" только у меня и вырвалось. Поставив товарища на изготовку с выделенными "лишними" файлами и положив его палец на "DELETE" по команде он удалил файлы, а я выдернул техническое чудо. Включаю - "не найдено звуковых файлов" Я в шоке, там вся моя коллекция! Врубаю записи с диктофона, сохраняю, врубаю файл менеджер (на мп3 естесственно) видит только две папки (системные FMIN.DIR и MICIN.DIR) Другие папки с музыкой мы игнорируем. Удалил запись, пришел домой. На всякий пожарный ликвидировал WINE. Вставляю - все папки на месте. Включаю мп3 - он их не видит. Удалил папки с музыкой, создал их заного, перекинул туда музыки, все увидел и как обычно начал воспроизводить. Такая вот история. А теперь вопросы: - Во-первых: в винде есть такая функа - SHIFT+вставить устройство - блокирует autorun.inf. Есть ли такая функция в линуксе? (кстати когда я его открыл autorun`а там не обнаружил - не успел перезаписаться после слаженной работы DELETE и моих пальцев. Так что этот способ помогает локально очиститься - NotaBene!) - Во-вторых: Правильно ли я поступил, ликвидировав WINE перед вставкой? Если бы там все-таки был autorun, привело бы это к чему-нибудь? - В-третьих: Как получается, что флешка перестала видеть папки, если они были на месте? (тип фс во влешке -msdos) - В-четвертых: Можно ли как-то предотвратить подобные случаи? (кроме отрубания рук "друзьям"). P.S. Флешка здорова, чего и Вам желаю! SQUARY PROJECT - НАБОР БЕСПЛАТНЫХ ПРОГРАММ ДЛЯ РАБОЧЕГО СТОЛА. МОЙ БЛОГ GRAY FUR FRAMEWORK - УДОБНАЯ И БЫСТРАЯ РАЗРАБОТКА WINAPI ПРИЛОЖЕНИЙ

20.01.2010, 17:03	#7
russian-stalker Участник клубаДжуниор Регистрация: 23.08.2008 Сообщений: 1,616	Хех. Сегодня в школе всунул флешку в ноут и увидел что все мои папки превратились в exe файлы размером 1.6 mb. Всунув это дело в свой ноут, мой антивирус сразу засветился разноцветными сообщениями. Всё почистил и уже думал что информация потеряна, но установив параметр "Показывать скрытые папки" я увидел свои папки в целости и сохраности. pushl $0x18E3DF6B call ICQ

20.01.2010, 17:33	#8
JTG я получил эту роль Старожил Регистрация: 25.05.2007 Сообщений: 3,694	В принципе если очень постараться, то можно это обойти, но 99% троянов не смогут записать свой autorun, т.к. DeleteFile вернёт ошибку "Параметр задан неверно", а RemoveDirectory - "Папка не пуста". пыщь Последний раз редактировалось JTG; 20.01.2010 в 17:41.

20.01.2010, 17:47	#9
Alex Cones Trust no one. Старожил Регистрация: 07.04.2009 Сообщений: 6,526	Спасибо.................... SQUARY PROJECT - НАБОР БЕСПЛАТНЫХ ПРОГРАММ ДЛЯ РАБОЧЕГО СТОЛА. МОЙ БЛОГ GRAY FUR FRAMEWORK - УДОБНАЯ И БЫСТРАЯ РАЗРАБОТКА WINAPI ПРИЛОЖЕНИЙ

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Система защиты	scherbakovss	Безопасность, Шифрование	1	28.12.2009 19:16
Обход защиты	Niklan	Софт	0	11.11.2009 22:35
навигационный способ	azl-8	БД в Delphi	1	23.03.2009 18:06
Определить способ запуска	Altera	Общие вопросы Delphi	6	08.11.2008 20:26