По данным антивирусной лаборатории PandaLabs в 2010 году 25% всех новых вирусов и прочих вредоносных программ было разработано специально для распространения через USB-устройства. Один из наиболее простых и эффективных способов распространения — использование функции автозапуска со сменных накопителей. При подключении накопителя срабатывает автоматический запуск, и выполняется программа, указанная в блоке [autorun] файла autorun.inf.
Для борьбы с подобного рода угрозами достаточно отключить автозапуск. Существует несколько способов отключения:
Групповая политика
- Запустите gpedit.msc
- Перейдите к административному шаблону «Система» («Конфигурация компьютера — Административные шаблоны — Система»)
- Активируйте пункт «Отключить автозапуск» и выберите тип дисков к которым будет применена эта настройка: все дисководы или CD-дисководы (в этом случае автозапуск будет отключен для CD, сетевых и съемных дисков)
Реестр (ветвь HKCU), Policies
Следует отметить, что без установки исправления KB967715 описанный ниже способ полностью не устраняет опасность заражения компьютера, так как значение ключа реестра влияет только на исполнение файла autorun.inf при определении системой подключенного накопителя, но не запрещает исполнение при двойном щелчке на значке диска. Таким образом, даже если функция автозапуска отключена, заражение происходит при попытке пользователя открыть подключённый диск для просмотра. Данный способ удобен тем, что позволяет гибко настраивать с каких типов носителей разрешать автозапуск, а с каких нет.
Для отключения автозапуска внесите следующие изменения в реестр:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
NoDriveTypeAutoRun может принимать следующие значения:
- 0x01 (DRIVE_UNKNOWN) — отключить автозапуск на приводах неизвестных типов (тип которого не может быть определён)
- 0x02 (DRIVE_NO_ROOT_DIR) — отключить автозапуск на дисках которым не назначена буква (не примонтированных в корень)
- 0x04 (DRIVE_REMOVABLE) — отключить автозапуск съёмных устройств (дискеты, флешки)
- 0x08 (DRIVE_FIXED) — отключить автозапуск НЕсъемных устройств (жёсткий диск)
- 0x10 (DRIVE_REMOTE) — отключить автозапуск сетевых дисков
- 0x20 (DRIVE_CDROM) — отключить автозапуск CD-приводов
- 0x40 (DRIVE_RAMDISK) — отключить автозапуск на виртуальном диске (RAM-диск)
- 0x80 (DRIVE_FUTURE) — отключить автозапуск на приводах неизвестных типов (будущие типы устройств)
- 0xFF — отключить автозапуск вообще всех дисков.
Реестр (ветвь HKLM), подмена файла autorun.inf
Этот способ подменяет содержимое файла autorun.inf пустым значением из реестра. В результате даже если на диске есть файл autorun.inf, то он воспринимается системой как пустой. Это наиболее безопасный способ отключения автозапуска вне зависимости от установленных обновлений Windows.
Для отключения автозапуска измените ключ реестра следующим образом:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"