- Učlanjen(a)
- 02.11.2000
- Poruke
- 5,749
- Poena
- 770
Zaista bi mi bilo drago da što više članova makar pročita ovu temu, i upozna se sa jednim od mogućih načina za zaštitu od neverovatno dosadnih autorun virusa na flash drajvovima.
Širenje virusa je omogućeno izuzetno korisnim "feature-om" Windows XP-a da bez ikakvog pitanja pokreće autorun.inf skript po umetanju flash/cd/dvd diska i time izvrši bilo koji exe ili čak ozbiljniji skript.
Do sada su virusi na koje sam nailazio bili relativno jednostavni, skriveni .exe, skriveni autorun.inf koji ga poziva, kada se pokrene jasno se vidi proces, lako se uklanja ubijanjem procesa i pronalaženjem fajlove iste dužine u System32 folderu. Medjutim danas sam imao tu cast da se upoznam sa virusom koji se pokrece preko sistemskog .dll-a i ne vidi se u procesima. Krije se u RECYCLER folderu i brise kreirani autorun.inf koji je read only (jedan od načina zaštite je bio kreiranje praznog read only autorun.inf fajla). Ovaj virus sam danas našao na jednom računaru u firmi i ličnom flash disku koji koristim samo kada idem do foto radnje.
S obzirom na rasprostranjenost flash diskova, jasno je kolika je opasnost od ovakvih virusa. Preventiva je jednostavna: ISKLJUCITE AUTORUN.
Procedura je sledeca:
Pokrenite REGEDIT (ako ne znate kako, ovo uputstvo nije za vas)
pronadjite kljuc Explorer koji se nalazi na sledećoj putanji:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Policies
Explorer
Izaberite Explorer, sa desne strane treba da se pojavi podatak (data) NoDriveTypeAutoRun, dvoklik na njega (ili desni klik pa modify). Vrednost koju unosite treba da bude HEXADECIMAL.
Windows vrednost postavlja na 91 (sve dozvoljeno), da bi isključili autorun na removable uređajima treba uneti 95, dok za removable + optika treba uneti b5. Još jednom napominjem da su ovo HEXADECIMALNE vrednosti i da ih treba uneti onako kako je napisano.
(dopuna)
Igoritza je primetio da NoDriveTypeAutoRun postoji na još nekoliko mesta, pa nije loše uraditi pretragu za istim (CTRL+F ili meni EDIT -> Find, pa odaberite samo Values, sa F3 tražite sledeći).
Originalna uputstva možete pogledati:
ovde
i ovde
a i ovde
(dopuna)
sirNemanjapro je napravio potrebne .reg fajlove, imate verziju za iskljucivanje removable i jos jednu za removable i CD diskove.
Širenje virusa je omogućeno izuzetno korisnim "feature-om" Windows XP-a da bez ikakvog pitanja pokreće autorun.inf skript po umetanju flash/cd/dvd diska i time izvrši bilo koji exe ili čak ozbiljniji skript.
Do sada su virusi na koje sam nailazio bili relativno jednostavni, skriveni .exe, skriveni autorun.inf koji ga poziva, kada se pokrene jasno se vidi proces, lako se uklanja ubijanjem procesa i pronalaženjem fajlove iste dužine u System32 folderu. Medjutim danas sam imao tu cast da se upoznam sa virusom koji se pokrece preko sistemskog .dll-a i ne vidi se u procesima. Krije se u RECYCLER folderu i brise kreirani autorun.inf koji je read only (jedan od načina zaštite je bio kreiranje praznog read only autorun.inf fajla). Ovaj virus sam danas našao na jednom računaru u firmi i ličnom flash disku koji koristim samo kada idem do foto radnje.
S obzirom na rasprostranjenost flash diskova, jasno je kolika je opasnost od ovakvih virusa. Preventiva je jednostavna: ISKLJUCITE AUTORUN.
Procedura je sledeca:
Pokrenite REGEDIT (ako ne znate kako, ovo uputstvo nije za vas)
pronadjite kljuc Explorer koji se nalazi na sledećoj putanji:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Policies
Explorer
Izaberite Explorer, sa desne strane treba da se pojavi podatak (data) NoDriveTypeAutoRun, dvoklik na njega (ili desni klik pa modify). Vrednost koju unosite treba da bude HEXADECIMAL.
Windows vrednost postavlja na 91 (sve dozvoljeno), da bi isključili autorun na removable uređajima treba uneti 95, dok za removable + optika treba uneti b5. Još jednom napominjem da su ovo HEXADECIMALNE vrednosti i da ih treba uneti onako kako je napisano.
(dopuna)
Igoritza je primetio da NoDriveTypeAutoRun postoji na još nekoliko mesta, pa nije loše uraditi pretragu za istim (CTRL+F ili meni EDIT -> Find, pa odaberite samo Values, sa F3 tražite sledeći).
Originalna uputstva možete pogledati:
ovde
i ovde
a i ovde
(dopuna)
sirNemanjapro je napravio potrebne .reg fajlove, imate verziju za iskljucivanje removable i jos jednu za removable i CD diskove.
Prilozi
Poslednja izmena: