AuTorun inf что это за программа

Autorun.inf

Кроме того, некоторые фирмы, производящие диски с аудиосодержимым, пытались применить данную технологию для защиты содержимого дисков от копирования, путём автозапуска программы, препятствующей копированию. Однако известен случай поведения данной программы как [2]

Безопасность [ ]

В настоящее время файл autorun.inf широко используется для распространения компьютерных Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.

Находящийся в FAR Manager , Отключение автозапуска [ ]

Групповая политика (gpedit.msc) [ ]

Настройка автозапуска в групповой политике находится в ветке «Конфигурация компьютера — Административные шаблоны — Система». Пункт «Отключить автозапуск» имеет три значения: не задан, включён, отключен. Задание значения «включён» позволяет выбрать тип дисков:

• CD-дисководы (включает: неизвестные, CD, сетевые и съёмные диски),
• все дисководы.

Реестр (ветвь HKCU), Policies [ ]

За включение и отключение автозапуска для разных типов носителей отвечают ключи реестра:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] «NoDriveTypeAutoRun»=dword:000000ff [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] «NoDriveTypeAutoRun»=dword:000000ff

Возможные значения данного ключа:

• 0x01 (DRIVE_UNKNOWN) — отключить автозапуск на приводах неизвестных типов (тип которого не может быть определён)
• 0x02 (DRIVE_NO_ROOT_DIR) — отключить автозапуск на дисках, которым не назначена буква (не примонтированных в корень)
• 0x04 (DRIVE_REMOVABLE) — отключить автозапуск съёмных устройств (дискеты, флешки)
• 0x08 (DRIVE_FIXED) — отключить автозапуск НЕсъемных устройств (жёсткий диск)
• 0x10 (DRIVE_REMOTE) — отключить автозапуск сетевых дисков
• 0x20 (DRIVE_CDROM) — отключить автозапуск CD-приводов
• 0x40 (DRIVE_RAMDISK) — отключить автозапуск на виртуальном диске (RAM-диск)
• 0x80 (DRIVE_FUTURE) — отключить автозапуск на приводах неизвестных типов (будущие типы устройств)
• 0xFF — отключить автозапуск вообще всех дисков.

Значения могут комбинироваться суммированием их числовых значений. Допустимые значения ключа NoDriveTypeAutoRun описаны в KB967715.

Следует отметить, что запрет автозапуска при помощи вышеприведённого ключа реестра не устраняет опасности заражения компьютера. Это связано с тем, что значение ключа влияет только на исполнение autorun.inf при определении системой подключенного носителя, но не запрещает исполнение при двойном клике на значке носителя. Таким образом, даже если функция автозапуска отключена, заражение происходит при попытке пользователя открыть подключённый диск для просмотра. Microsoft выпустила исправление, описанное в KB967715, полностью решающее данную проблему.

Реестр (ветвь HKLM), подмена autorun.inf файла [ ]

Альтернативный, более радикальный, способ запрета обработки autorun.inf:

По сути, он подменяет содержимое файла autorun.inf значением из реестра, которое нарочно задаётся пустым/неверным. Это приводит к тому, что если на диске и есть файл autorun.inf, то он воспринимается как пустой.

Указанный способ следует считать самым надёжным. Простой способ его использования заключается в создании соответствующего reg-файла, запускаемого на компьютере. [3]

Реестр (ветвь HKLM), запрет автостарта всех типов файлов [ ]

Возможное решение запрета автостарта всех типов файлов (Только автостарт, обработка двойного клика и контекстного меню будет произведена):

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles] «*.*»=»»

Обновление Windows [ ]

Большое количество вредоносных программ, распространявшихся с помощью autorun.inf, вынудило корпорацию Microsoft в новой Windows 7 отключить автозапуск программ для носителей информации, подключающихся через порт USB (флешек, кардридеров и др.). В феврале 2011 года Microsoft выпустила обновления, отключающие автозапуск программ из autorun.inf для Windows XP и Windows Vista. В результате уже к лету 2011 года число компьютеров, на которых были зарегистрированы вирусы семейств autorun, уменьшилось примерно на 60%. [4]

Структурные блоки файла [ ]

Блок [autorun] [ ]

Параметр action [ ]

Параметр action отвечает за отображение текста в меню автозапуска (используется редко).

[autorun] action=Текст Заголовка

Допустимо указания текста из библиотеки

[autorun] action=[путь]имя_файла,-IDресурса

Параметр icon [ ]

Параметр icon назначает файл

[autorun] icon=имя_ресурса[,номер]
[autorun] icon=файл.ico

Параметр Defaulticon [ ]

Команда Defaulticon отличается лишь тем, что позволяет задавать ещё и путь к файлу значка:defaulticon=iconpath[,index]

В случае использования двух команд — icon и defaulticon система обрабатывает только defaulticon.

Параметр label [ ]

Этот параметр служит для указания «

[autorun] label=ЛюбойТекст

Параметр open [ ]

Параметр open содержит путь к файлу программы, которая будет запускаться при подключении устройства или попытке доступа к нему (открытие двойным щелчком). Этот параметр не следует использовать вместе с shellexecute, возможно возникновение конфликта!

[autorun] . open=[путь]файл [параметр1 [параметр2] . ] .

Параметр UseAutoPlay [ ]

Этот параметр совместим только с ОС

[autorun] . UseAutoPlay=1 .

Параметр shellexecute [ ]

Файл, указанный в этом параметре, открывается при автозапуске той программой, которая ассоциирована с этим типом файлов в системном реестре Windows.

Этот параметр можно использовать вместо параметра «open», использовать эти два параметра вместе не рекомендуется.

Данный параметр корректно работает на всех версиях ОС семейства Windows. В ОС MS Windows Vista диск с этим параметром сразу определяется как диск с программным обеспечением или играми, и для него вызывается соответствующее меню.

[AutoRun] shellexecute=»Readme.txt»

В данном примере файл «.txt» будет открыт программой, которую пользователь по умолчанию использует для открытия файлов «.txt»

Параметр shell [ ]

shell=ключ указывает команду по умолчанию (

Блок [Content] [ ]

В этом блоке используется всего три ключа: MusicFiles, PictureFiles, VideoFiles, что соответствует типам данных на носителе: музыка, изображения, видео.

Значениями для этих ключей могут быть только логическое false (ложь).

Истина задаётся любым из данных значений: 1, y, yes, t, true.

Ложь задаётся как: 0, n, no, f, false.

[Content] MusicFiles=Y PictureFiles=0 VideoFiles=false
Windows Registry Edition version 5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer] «NoCDBurning»=dword:00000001 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] «NoCDBurning»=dword:00000001

Блок [IgnoreContentPaths] [ ]

При попытке определить тип содержимого на данном носителе информации поиск файлов не будет производиться в папках, указанных в этом блоке, и всех их подпапках. Путь задаётся в произвольном формате, приветствуются относительные пути. Пример:

[IgnoreContentPaths] Portable Documents Install

Данный блок поддерживается только ОС MS Windows Vista.

Блок [DeviceInstall] [ ]

Используется один параметр DriverPath, который указывает путь к драйверам. Используется очень редко и только в MS Windows XP.

[DeviceInstall] DriverPath=driversvideo DriverPath=driversaudio

Пример листинга файла autorun.inf [ ]

[autorun] ; точка с запятой — это комментарий (также комментариями являются любые сторонние символы и неизвестные команды) shellexecute=readme.txt action=Studio icon=usb.ico description=Inc_drive label=Inc_drive shellabout=ReadMe shellaboutcommand=Notepad.exe readme.txt [Content] MusicFiles=false PictureFiles=false VideoFiles=false [ExclusiveContentPaths] MultimediaVideo MultimediaMusic MultimediaPictures [IgnoreContentPaths] Portable Documents Install

Источники [ ]

1. ↑ Инструкция к материнским платам ↑Эволюция руткитов — Securelist
2. ↑National Cyber Alert System. Technical Cyber Security Alert TA09-020A
3. ↑Количество вредоносных атак на Vista и XP снизилось более чем на 60% | Новости Software — 3DNews — Daily Digital Digest

Ссылки [ ]

• Microsoft Russia
• MSDN Russia
• Автозапуск на MSDN
  Компоненты Microsoft Windows Основные

Autorun.inf • Планировщик классов мультимедиа • Теневая копия • Файловые
системы

Active Directory • Службы развёртывания • Служба репликации файлов • Hyper-V • IIS • Защита доступа к сети (NAP) • Службы печати для UNIX • Удалённое разностное сжатие • Службы удаленной установки • Служба управления правами • Перемещаемые профили пользователей • Удаленный рабочий стол • WSUS • Групповая политика • Координатор распределённых транзакций

NT • Диспетчер транзакций ядра • Диспетчер логических дисков • Защита ресурсов • lsass.exe • csrss.exe • smss.exe • Запуск

BitLocker • Защитник • Предотвращение выполнения данных • Обязательный контроль целостности • Защищённый канал данных • UAC • Брандмауэр • Центр обеспечения безопасности • Защита файлов

Источник: windows.fandom.com

Что такое autorun вирус?

В наше время мало кто задумывается о таком понятии, как компьютерная безопасность. Не удивительно, ведь тема эта довольно обширна и большинство материала на эту тему рассчитано на подготовленного пользователя. Но стоит рядовому пользователю столкнуться с проблемой вирусов (например, появление файла autorun.inf на флешке), как тут же начинаются активные поиски методов защиты и борьбы с ними.

В этой статье будет рассмотрено:

1. Назначение файла autorun.inf
2. Вирус autorun
3. Признаки заражения флешки
4. Признаки заражения системы
5. Источники заражения

Назначение файла autorun.inf

Файл autorun.inf (от англ. auto – автоматический и run – запуск) используется в операционной системе Microsoft Windows для автоматического запуска приложений с носителей, что позволяет значительно упростить действия пользователя при установке приложений и драйверов с накопителей.

Файл автозапуска можно встретить практически на любом диске с программным обеспечением или драйвером к какому-либо устройству. Помимо этого он выполняет функцию автозапуска меню на флешках с предустановленными или портативными утилитами.

Структура файла autorun.inf разделена на блоки, параметры и значения. В файле содержатся параметры, описывающие диск, такие как: как метка диска, иконка диска, запускаемый файл и некоторые другие специфические параметры. В частности, для автоматического запуска какого-либо приложения с флешки при ее подключении к компьютеру в файле autorun.inf будет достаточно двух строк:

[autorun]
open = имя_файла

Где [autorun] – имя блока, open – имя параметра, имя_файла – содержит путь к файлу приложения, которое будет автоматически запущено.

Стоит отметить, что worm win32 autorun способен обфусцировать (запутывать) содержимое файла autorun.inf, тем самым затрудняя анализ файла. Однако, программа для защиты флешки Antirun без проблем распознает содержимое файла автозапуска, над которым поработал autorun червь.

Вирус autorun

Изначально безобидное предназначение файла автозапуска со временем стало использоваться вирусописателями как эффективный способ распространения worm win32 autorun. Сам по себе файл autorun.inf не содержит исполняемый код вируса, он является лишь средством запуска autorun червя.

Вирусом autorun называется такой тип вирусов, которые распространяются посредством копирования исполняемого файла (своей копии) на съемные носители и прописываясь в файл автозапуска autorun.inf, таким образом, заражая их. Заражению подвержены абсолютно все внешние накопители (флешки, mp3-плееры, цифровые камеры и прочие устройства), которые не защищены каким-либо образом от записи на диск (аппаратная защита, или же уже существующий в корне диска защищенный файл или папка autorun.inf).

В Windows XP autorun по-умолчанию запускается со съемных носителей. Существует масса способов устранения этой уязвимости: от установки официальных заплаток (обновлений) от Microsoft до применения различных настроек. Программа для защиты флешки от вирусов Antirun при установке автоматически устраняет эту уязвимость. Также в настройках программы доступно возобновление функции автозапуска.

В Windows 7 autorun обрабатывается несколько иначе: по-умолчанию автозапуск со съемных носителей отключен, однако это не обеспечивает защиту от autorun вирусов с флешек. Поэтому для защиты от worm win32 autorun рекомендуется использовать программу Antirun вместе с основным антивирусом.

Признаки заражения флешки

Наличие файла автозапуска на CD диске с игрой означает скорее то, что на диске есть инсталлятор игры. Аналогично, как и на CD диске с фильмом присутствует меню с возможностью установить кодеки для просмотра видео. Однако, присутствие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) уже вызывает подозрение и с большой долей вероятности указывает на присутствие autorun червя на флешке.

Рассмотрим типичный пример зараженного съемного диска:

На рисунке явно видно, что на съемном диске (G:) присутствует скрытый файл autorun.inf и скрытая папка RECYCLER. Анализируя содержимое файла автозапуска, становится понятно, что при автозапуске съемного носителя запускается файл jwgkvsq.vmx (worm win32 autorun) из папки RECYCLER.

Разумеется, для просмотра скрытых файлов и папок в Проводнике, необходимо поставить соответствующую галочку в настройках вида папок (пункт Сервис в меню Проводника – Параметры папок – Вид).

Стоит напомнить, что не всегда файл автозапуска является признаком заражения вирусом worm win32 autorun. Возможно, на флешке присутствует автоматическое меню с набором портативных программ, или же файл autorun.inf указывает только на иконку устройства.

Если при попытке открытия файла autorun.inf система выдает сообщение о том, что доступ к файлу невозможен, скорее всего, система уже заражена и доступ к файлу заблокировал worm autorun.

Рассмотрим работу антивирусной утилиты Antirun в данном случае. При подключении устройства, зараженного вирусом autorun (файл jwgkvsq.vmx), программа Antirun предупредит пользователя о существующей угрозе в всплывающем диалоге в области над системным треем:

На данном диалоге видно, что Antirun распознал автоматически запускающийся файл (jwgkvsq.vmx) и предложил его удалить. Также из данного диалога можно безопасно открыть диск, не запуская файл вируса, просмотреть информацию о диске, либо безопасно извлечь устройство.

Признаки заражения системы

Как правило, большая часть autorun вирусов, при своей деятельности, блокируют те или иные функции системы, при помощи которых пользователь может как-либо противостоять угрозе. Самые основные из них:

1. При попытке запустить диспетчер задач Windows появляется сообщение «Диспетчер задач отключен администратором».
2. При попытке запустить редактор реестра Windows появляется сообщение «Редактирование реестра запрещено администратором системы».
3. На дисках создается скрытый файл autorun.inf, а при удалении создается снова.
4. Невозможно открыть или удалить файл autorun.inf. Windows сообщает, что доступ к файлу невозможен. Это типичное проявление активности червя worm win32 autorun.
5. При попытке открытия диска открывается диалог«Выберите программу для открытия этого файла»
6. При попытке открытия диска он стал открываться в отдельном окне;
7. Из меню Проводника Сервис исчез пункт Свойства папки.

Источники заражения

Широкое распространение worm win32 autorun получил благодаря повсеместному использованию внешних накопителей. Сейчас практически у каждого пользователя ПК имеется флешка (а то и несколько), цифровой плеер или камера с картой памяти. Используются эти устройства на разных компьютерах, большинство которых даже не защищены антивирусом, не говоря уже об актуальных базах вирусных сигнатур.

Источником заражения вирусом worm win32 autorun может послужить любой зараженный компьютер. Это может быть:

• фотолаборатория, куда вы отдали флеш-карту для распечатки фотографий;
• рабочий компьютер;
• компьютер друзей;
• интернет-кафе и прочие публичные места.

Также известны случаи, когда новая флешка, купленная в магазине, уже содержала worm win32 autorun.

В заключение стоит добавить, что за довольно долгую историю существования autorun вирусов и появившуюся за это время массу методов защиты и профилактики, проблема все еще остается актуальной. Далеко не все лидирующие на рынке комплексные антивирусные решения способны грамотно справиться с этой задачей. Для надежной защиты от autorun вирусов рекомендуется использовать антивирусную утилиту Antirun совместно с основным антивирусным комплексом.

В следующих статьях будут рассмотрены методы защиты системы и внешних устройств (флешек, mp3-плееров, камер и пр.) от вирусов autorun, которые использует в своей работе антивирусная программа Antirun.

Источник: antirun.net

Файл Autorun.inf — вирус или шалость?

Что за файл — Autorun.inf ?
Это скрытый файл в ОС Windows, находящийся в корне диска.
Каждый раз, когда Вы открываете диск (локальный, портативный или тот, что в приводе) или USB флешку (частый случай) система сразу проверяет его на наличие данного файла. Если он есть — она смотрит что там прописано и запускает.
Это автозагрузочный файл, который указывает что делать системе при запуске диска.

Его обычно используют в хороших целях. Вы никогда не задумывались, почему при открытии диска с программой или игрой, вставленного в привод, сразу выводится красивое меню с выбором дальнейших действий? А так же обычно иконка диска заменяется на другую, от создателей игры/программы. Так вот, это всё именно из-за этого файла.

И именно из за этих свойств, его так любят вирусы, чтобы прописать в нем путь для запуска своего вредоносного кода.

Что из себя представляет файл Autorun.inf ?
Это обычный текстовый документ (правда он скрытый), внутри которого прописан код для запуска программ. И его так же можно открыть и редактировать с помощью стандартного Блокнота.

Обычно файл Autorun.inf содержит в себе следующий код:

[AutoRun]
shellexecute= 1
Action= 2
Icon= 3
Label= 4

Где:
1 — это путь к программе
2 — имя программы
3 — иконка
4 — название (метка) диска

Это для примера. Команд для него большое множество, но для общего представления достаточно.

Как создать файл Autorun.inf для автозапуска ?
Это своего рода пособие по шалости

1) Создаем текстовый документ с названием Autorun .
2) Создаем папку vindavoz .
3) Открываем наш Autorun и вставляем туда

4) Сохраняем его с расширением .inf
5) Закидываем файл и папку в корень диска

В итоге должно получится следующее:
При загрузке диска (или флешки) иконка будет та, которая MyIcon.ico . Название диска будет Виндавоз. И сразу откроется MyProg.exe с названием в меню автозапуска Прога.

Разумеется все эти названия для примера и они должны уже быть в папке vindavoz.
Ну и для «красоты», можно сделать эти папку и файлы скрытыми.

Так же можно просто сделать название диска и иконку. Удивить друзей тем, что у Вашей флешки будет своё имя — это не ново. А вот когда ещё и иконка будет другая — это уже фокус
Содержание файла AutoRun.inf тогда будет таким:

[AutoRun]
icon=vindavozMyIcon.ico
label=vindavozВиндавоз

Правда некоторые антивирусы могут ругаться на такое, но Вы то знаете что в нем ничего опасного.

Файл AutoRun.inf и вирусы
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.

Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.

Как удалить файл AutoRun.inf ?
Обычно вирус всячески пытается защититься: делает себя скрытым, не удаляемым, не дает зайти в во флешку и т.п.

Для того, чтобы удалить эту пакость вручную, воспользуемся командной строкой (win+r -> вводим cmd ).
1) Переходим на зараженную флешку (посмотрите на букву диска в Моем компьютере)

У меня флешка под буквой g , соответственно вместо неё Вы должны написать свою букву.

2) Меняем атрибуты файла на нормальные

attrib -a -s -h -r autorun.inf

Если всё сделано абсолютно правильно, ничего не изменится. В случае, если была допущена ошибка, появится соответствующая информация.

3) Удаляем вирус

del autorun.inf

Как удалить вирус AutoRun.inf с помощью реестра
Как попасть в Редактор реестра я уже писал выше. Нам нужна ветка [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2(Буква_неоткрывающегося_диска)]

и удаляем в нем подраздел Shell . Можно так то удалить всё в разделе MountPoints2, но тогда удалится информация обо всех носителях. Решать Вам.

Так же можете воспользоваться программой Anti Autorun , которая блокирует создание файла autorun.inf и делает невозможным автозапуск любых вредоносных программ. Создает специальную папку и файл, которые не занимают места на диске.
Ещё пара программ которые могут Вам помочь, как я считаю, это Autorun Guard и USB_Tool .

Как защититься от вирусов AutoRun.inf ?

Конечно же Отключить автозапуск!
Немного об этом я писал в статье Как обезопасить свой компьютер, в частности в первом совете. В нем было описано как отключить автозапуск стандартными средствами Windows, а сейчас я опишу как это сделать «жестко» с помощью Редактора реестра.
Открываем редактор реестра (win+r ->вводим regedit ) и идем по ветке HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer в которой создаем параметр DWORD (32 Бита)

NoDriveTypeAutoRun со значением dword:000000ff

А теперь сделаем защиту ещё прочнее
Дело в том, что ОСь Windows не позволяет создавать файлы и папки с одинаковыми именами, потому что для нее разница между файлом и папкой состоит только в одном бите.

Если кто со мной попытается спорить в этом — в любом месте создайте папку, а затем файл с таким же именем .
Именно с именем , без расширения.

Поэтому если существует папка autorun.inf, то файл с таким именем создаться уже не сможет. Поэтому первоначальный вариант — создать файл или папку с названием autorun.inf . Вирус увидит что такое название уже есть, обидится и уйдет ни с чем
Это имеет место быть правдой, но т.к. есть «интеллектуальные» вирусы, которые поймут, что существует файл или папка с таким именем и смогут запросто удалить Вашу созданную папку (файл) и записать свой файл autorun.inf, который будет запускать вирусы.
Для решения этой проблемы мы создадим супер-пупер неудоляемую папку . Которую удалить можно будет только если отформатировать флешку.

attrib -s -h -r autorun.* del autorun.* mkdir «\?%~d0autorun.infvindavoz..» attrib +s +h %~d0autorun.inf

Нажимаем Файл — Сохранить как. и вводим любое название, но главное чтобы расширение было .bat
Например vindavoz.bat .
Затем копируем этот файл на флешку и запускаем.
В итоге Вы должны получить папку autorun.inf внутри которой будет лежать неудоляемая папка vindavoz

Ну а для тех, кому не хочется с этим возиться, я приготовил этот файл в архиве. vindavoz.zip 307 b cкачиваний: 1927
Достаточно его скачать, распаковать, перенести файл vindavoz.bat на флешку (диск) и запустить.

Кстати, если папка после этого осталась видимой — смените ей атрибут на скрытый, щелкнув на ней ПКМ и выбрав Свойства

Этот «Фокус» не получится на система NTFS, но флешки чаще используют FAT, так что можно пользоваться.

P.S.
Зачем делать папку в папке? Да потому что папка autorun.inf служит как бы «индикатором». И если после блужданий по компьютерам она к Вам попапла и атрибут у неё стоит не скрытый — значит вирусы уже хотели её удалить и прописаться в ней для чего и сменил атрибуты. Можете смело искать незнакомые скрытые файлы и удалять их. Это будут вирусы.

Для общей информативности, можете почитать статью на Википедии про него.

Источник: vindavoz.ru

Autorun.inf: что это?

При работе с современным антивирусным ПО нередко возникают типичные «внештатные» ситуации, которые вызывают множество вопросов со стороны пользователей. В число таких входит проблема с обнаружением вредоносного объекта, скрывающегося в файле Autorun.inf. Директорией данного файла являются накопители информации USB и локальные диски. Далее в материале будет описано предназначение данного файла и рассмотрен вопрос его опасности для ПК.

Предназначение файла Autorun.inf

Данный файл является неотъемлемой частью любого носителя информации и основной его задачей является автоматический запуск приложений, что установлены на локальном диске или флэш-карте. Отсутствие данного файла редкость. На специальных картах памяти он отвечает за переход к меню управления предустановленным (портативным) софтом с данного носителя.

Файл Autorun.inf на флешке

Структура файла имеет разделение на блоки, параметры и значения. В число параметров, что описывают конкретный носитель информации, входят:

• метка диска;
• иконка;
• файл запуска и т.д.

Содержимое нормального файла Autorun.inf

Создать такой файл можно и самостоятельно. Достаточно в системный текстовый документ (.txt – создаётся «Блокнотом») вписать следующие строки:

В данном случае первая строка является наименованием блока, а во второй – слева и справа от знака равно прописаны наименования параметра и значения соответственно. Значению присваивается точное название автоматически запускаемого файла. Достаточно поменять разрешение созданного текстового документа на .inf, чтобы после размещении на диске он стал работоспособным.

Поражение Autorun.inf вирусами

В структуре карт памяти вредоносному воздействию чаще всего подвергается именно файл Autorun.inf. Самым распространенным вирусом, что встречается на таких носителях, является «червь» win32 autorun.

Пример обнаружения вредоносного кода в файле Autorun.inf

Обезопасить ПК от вирусного воздействия можно путём установки антивирусного ПО, либо специальных утилит-сканеров для USB-носителей («USB Disk Security», «Autorun Virus Remover» и т.д.). Последние вполне надежно справляются с обнаружением и удалением вирусов автозапуска.

Чаще всего при обнаружении вируса в файле Autorun.inf антивирусы его просто удаляют. После этого программа или файл, запускаемые при подключении флешки к ПК автоматически, перестают запускаться, так как за это отвечал файл Autorun.inf.

Заключение

Таким образом, Autorun.inf – это файл, содержащий данные о диске и алгоритм автоматического запуска программ установки со съемных носителей информации. Он выполняет вполне реальную функциональную задачу, но его работоспособность может нарушаться вмешательством вирусных программ. Устранить последнее можно посредством использования полноценного антивируса или специального сканирующего ПО.

Лучшая благодарность автору — репост к себе на страничку:

Источник: helpadmins.ru

Autorun вирус. Что такое авторун вирус?

Доброго времени суток друзья. На этом сайте вы можете найти много статей о такой напасти как компьютерные вирусы, о борьбе с ними и профилактике призванной не допустить заражения вашей системы. Совсем недавно появились две статьи посвященные защите съёмных носителей от вирусов (в простонародье флешек). Вот ссылки на эти статьи Защита флешки от вирусов.

Часть 1 и Защита флешки от вирусов. Часть 2. В обоих этих статьях не раз упоминается термин «автозагрузка«, а по английски autorun.

Я вкратце описывал в тех статьях принцип работы автозагрузки и использование её вирусами в своих целях. Сегодня я бы хотел познакомить Вас по ближе с таким видом вирусов как autorun вирусы, чтобы вы уже не боялись и не паниковали при возникновении ситуаций, когда на флешке вдруг появляется файл с названием autorun.inf или что то подобное. После этой статьи выйдет третья по счету статья из цикла «Защита флешки от вирусов«, в которой вы узнаете об утилите защищающей вашу систему от авторун вирусов, проникающих в неё с флешь-накопителей, т.е. флешек. Ну, а в данной статье вы узнаете как о самом вирусе, так и о признаках заражения системы и флешки, а также источниках заражения. Поехали…

Autorun-вирус. Функции файла autorun.inf

Функция файла autorun.inf (в перев. с англ. auto – автоматический и run – запуск) в операционной системе Microsoft Windows заключается в автоматическом запуске программ и приложений со съёмных носителей. Вы спросите «А зачем это нужно?» А я вам отвечу: «А нужно это для нашего с вами удобства при установке драйверов и программ с накопителей». Такие файлы бывают практически на всех дисках, на которых записаны драйвера или другое программное обеспечение.
По своей структуре файл autorun.inf делится на блоки, параметры и значения. По своей сути файл autorun.inf указывает системе какое приложение необходимо запустить при подключении флешки к компьютеру. Для этого в нем достаточно прописать две строки:

Где: [autorun] – имя блока, open – имя параметра, имя_файла – значение, котрое содержит путь к исполняемому файлу — приложению.

Autorun-вирус. Как он действует?

Из описания функций файла autorun.inf т.е. автозагрузки нам понятно, что по своему предназначению изначально оно носит безобидный характер. Но, смекалистые вирусописатели стали использовать файл автозапуска как эффективный способ распространения вируса worm win32 autorun. Файл autorun.inf сам не является вирусом, он является лишь пусковым механизмом для autorun червя.

Autorun вирусами называются вирусы, распространяющиеся методом копирования исполняемого файла (т.е.своей копии) на съемные носители и прописывающиеся в файл автозапуска autorun.inf. Заражению подвергаются абсолютно все съёмные накопители (флешки, цифровые камеры, mp3-плееры, микро флешки и прочие устройства), если их не защитить должным образом от записи на диск (о том как их защитить я писал в этих статьях).

Autorun-вирус. Признаки заражения флешки.

Следует заметить, что наличие файла автозапуска на CD диске или флеш накопителе, не всегда указывает на его заражение вирусом. Например на CD-диске с игрой, наличие такого файла указывает скорее всего на то, что на диске присутствует инсталлятор игры. Но все же, наличие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) скорее должно вызвать у вас подозрение, так как в большинстве таких случаев с большой долей вероятности это означает, что на флешку проник autorun-червь.

Вот вам пример зараженного съемного диска:
autorun.inf jwgkvsq.vmx

На рисунке мы видим скрытый файл autorun.inf и скрытую папку RECYCLER. Из открытого программой «блокнот» файла автозапуска видим, что в нем прописан запуск файла по названием jwgkvsq.vmx (worm win32 autorun) из папки с флешки под названием RECYCLER. Эти файлы невозможно увидеть, при стандартной настройке Windows. Чтобы иметь возможность видеть скрытые файлы и папки делаем следующее:
Жмем Пуск —> далее Панель управления —> далее Параметры папок (в XP «Свойства папок»). В открывшемся окошке переходим во вторую вкладку « Вид «. Здесь в самом конце, внизу переставляем кнопку с « не показывать скрытые файлы, папки и диски » на « показывать скрытые файлы, папки и диски «.
Теперь мы не пропустим скрытые файлы и папки. Если вы увидели на флешке файл autorun.inf попытайтесь его открыть. Если при такой попытке система выдает сообщение о том, что доступ к файлу невозможен, то велика вероятность заражения системы вирусом worm autorun, который заблокировал доступ к этому файлу.

Autorun-вирус. Признаки заражения системы.

• При запуске диспетчера задач Windows появляется сообщение «Диспетчер задач отключен администратором» (о том как исправить такую ситуацию читайте в статье Диспетчер задач отключен администратором. Решение).
• При запуске редактора реестра Windows появляется сообщение «Редактирование реестра запрещено администратором системы».
• На дисках создается скрытый файл autorun.inf, а при удалении создается снова.
• Невозможно открыть или удалить файл autorun.inf. Windows сообщает, что доступ к файлу невозможен.
• При попытке открытия диска открывается диалог «Выберите программу для открытия этого файла»
• При попытке открытия диска он стал открываться в отдельном окне;
  Из меню Проводника (в Xp) Сервис исчез пункт Свойства папки.

Autorun-вирус. Источники заражения.

• фотолаборатория, куда вы отдавали флеш-карту для распечатки фотографий;
• компьютер на работе;
• компьютер ваших друзей, где вы в гостях может быть подключали флешку;
• интернет-кафе и подобные публичные места.

В следующей статье я расскажу вам как защитить свою систему от флешки зараженной авторун вирусом.

Заключение:
Есть много способов защититься от autorun вирусов да и от всех других вирусов и напастей. Но я основным оружием против вирусов все же считаю элементарную осторожность, которой стоит придерживаться везде — в интернете ли, в гостях у друзей ли или в интернет кафе. Ну, а в сочетании осторожности с методами защиты флешки от вирусов, которые я описывал на этом сайте в предыдущих статьях, думаю вам не страшны ни какие авторун вирусы и всякие троянские кони с червями.

Источник: 4aynikam.ru