Интернет магазин китайских планшетных компьютеров

Компьютеры - Autorun.inf - Безопасность

В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.

Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.

В некоторых случаях в autorun.inf записывается не путь к исполняемому файлу, вирус полностью заменяет файл своим кодом в текстовом виде и не требует дополнительных файлов.

Отключение автозапуска

Групповая политика

Настройка автозапуска в групповой политике находится в ветке «Конфигурация компьютера — Административные шаблоны — Система». Пункт «Отключить автозапуск» имеет три значения: не задан, включён, отключен. Задание значения «включён» позволяет выбрать тип дисков:

• CD-дисководы,
• все дисководы.

Реестр, Policies

За включение и отключение автозапуска для разных типов носителей отвечают ключи реестра:

"NoDriveTypeAutoRun"=dword:000000ff

"NoDriveTypeAutoRun"=dword:000000ff

Возможные значения данного ключа:

• 0x01 — отключить автозапуск на приводах неизвестных типов
• 0x02 — отключить автозапуск на дисках которым не назначена буква
• 0x04 — отключить автозапуск съёмных устройств
• 0x08 — отключить автозапуск НЕсъемных устройств
• 0x10 — отключить автозапуск сетевых дисков
• 0x20 — отключить автозапуск CD-приводов
• 0x40 — отключить автозапуск на виртуальном диске
• 0x80 — отключить автозапуск на приводах неизвестных типов
• 0xFF — отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений. Допустимые значения ключа NoDriveTypeAutoRun описаны в KB967715.

Следует отметить, что запрет автозапуска при помощи вышеприведённого ключа реестра не устраняет опасности заражения компьютера. Это связано с тем, что значение ключа влияет только на исполнение autorun.inf при определении системой подключенного носителя, но не запрещает исполнение при двойном клике на значке носителя. Таким образом, даже если функция автозапуска отключена, заражение происходит при попытке пользователя открыть подключённый диск для просмотра. Microsoft выпустила исправление, описанное в KB967715, полностью решающее данную проблему.

Реестр, подмена autorun.inf файла

Альтернативный, более радикальный, способ запрета обработки autorun.inf:

Windows Registry Editor Version 5.00
 

@="@SYS:DoesNotExist"

По сути он подменяет содержимое файла autorun.inf значением из реестра, которое нарочно задаётся пустым/неверным. Это приводит к тому, что если на диске и есть файл autorun.inf, то он воспринимается как пустой.

Указанный способ следует считать самым надёжным. Простой способ его использования заключается в создании соответствующего reg-файла, запускаемого на компьютере.

Реестр, запрет автостарта всех типов файлов

Возможное решение запрета автостарта всех типов файлов:

"*.*"=""