Недавно задумался над проблемой защиты от многочисленых вирусов, которые клиенты постоянно привносят на своих флешках. При этом производители антивирусов не всегда успевают за этим "народным творчеством", поэтому приходится сражаться с этим добром при помощи FAR.

Пару дней назад решил не ждать пока все новшества достигнут лабораторий Касперского и Нортона и начал создавать собственный черный список, благо в WinXP предусмотрено замечательное средство. (К сожалению на 2000 аналогичного не обнаружил)

Итак, открываем mmc, добавляем оснастку "редактор объекта групповой политики" и находим раздел:
       Политика "локальный компьютер"->Конфигурация компьютера->Конфигурация Windows
->Параметры безопасности->Политики ограниченного использования программ->Дополнительные правила.

Щелкаем правой и выбираем "Создать правило для пути"

Теперь следует определиться каким образом добавить вредоносную программу в список, т.к. можно выделить две группы:
1. Имя файла может напоминать системный файл и заставить задуматься, однако системных файлов с таким именем не существует. В таком случае лучше всего внести в список просто имя файла без указания пути. Таким образом гарантируется, что ни одна программа с таким именем не запустится.
2. Несколько сложнее, когда имя вируса повторяет имя одного из системных файлов. Запрещать все программы с таким именем опасно, т.к. можно ненароком зацепить и нужную службу.
Слава богам, места обитания вирусов winlogon.exe, ctfmon.exe и подобных отличаются от типичного расположения системных файлов. Поэтому перед именем вируса указываем путь к его типичному месторасположению.

За пару дней черный список пополнился следующими записями:

fun.xls.exe
locale.exe
usbcash.exe
%userprofile%\Главное меню\Программы\Автозагрузка\ctfmon.exe
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ctfmon.exe
C:\Temp\winlogon.exe
C:\TMP\winlogon.exe


Предлагаю совместными усилиями продолжить его составление.










Это сообщение отредактировал(а) Infector - 3.8.2008, 17:55

с системного диска (из корневого каталога) лучше вообще запретить запуск *.exe

Добавлено через 2 минуты и 48 секунд
а как можно запретить создание файлов autorun.inf, например в центральных каталогах дисков?

Где-то есть запрет автозапуска как явления. 
Хотя autorun.inf создаваться все равно будут, меньше вреда от них получается

обычно в реестре...

Он есть в групповых политиках mmc, но где именно так просто этого не вспомню. Нужно искать в куче бумаг, ту где конкретное местечко указано   

gpedit.msc -> Конфигурация компьютера -> Административные шаблоны -> Система
Пункт "Отключить автозапуск" 

да вот в том то всё и дело, что хотелосьбы отключить автозапуск только на нек. дисках

а ведь скорее всего реально ;)

Добавлено через 23 секунды
т.к. автозапуск для флешек можно отключить (для каждой по отдельности)

Автозапуск отключается в двух местах.
В одном - в принципе. На всё сразу.
В другом - вводится маска запрета по именам дисков.
Также есть отдельная точка, где можно запретить автозапуск сидюков и автозапуск съемных накопителей.

Самое имхо разумное - это принципиальное отключение автозапуска через локальные политики станции. Если потребуется - запустить вручную несложно. 

Вносим в список:

*\RECYCLER\*.*

Infector, а ты не ошибся папкой?

Это сообщение отредактировал(а) Akella - 5.8.2008, 20:15

Это же "корзина", чего с ней не так? Бывает она называется RECYCLER или RECYCLED, но что в ней не так? 

Скажи как!!!

nitr, а в список-то её зачем?

Добавлено через 30 секунд
Dobermann, в свойствах диска есть закладка Автозапуск

Akella, вы меня не поняли =) я тоже удивлен, зачем это в список "игнора"...

Dobermann, или когда вставляете флешку, выбираете "не выполнять никаких действий" =) и галочку "запомнить"...

Вот именно, корзина! И ничему кроме мусора там делать нечего. Проверял, свои функции она от этого не теряет, но не одна программа/скрипт/батник, уложенный туда с помощью проводника или FAR запускаться перестает. А прициденты с обитающей там холерой были   

Нужно попросить Миханика или Локахоста скриптик написать  , который бы брал список из текстового файла и вносил бы список в реестр, чтобы ручками групповые политики не ковырять.

Это сообщение отредактировал(а) Akella - 7.8.2008, 12:38

Можно из редактора реестра попытаться ветку выгрузить (довольно просто, т.к. ветка отыскивается по любому из элементов списка). А вот как это сработает при экспорте на другую машину не проверял. 

Забыли старого знакомого - help.com

А?
Что?  
Кого позвать?

  

Знать бы какого формата будет текстовый файл и куда все это вносить в реестр, можно было и "консольку" наваять или полноценное Win32 приложение 

system_v.exe

8ng8w.com

mihanik, ну и... ты согласен... напишем своеобразный винградовский антивирускин против "авторанов"  

Akella, а что я-то сразу?   
Вы мне дайте ТЗ, а уж я попробую...

1. Формат текстового файла?
2. Действие по каждому пункту такого текстового файла?
внести изменение в реестр, убить процесс в памяти, стереть файл с диска...

Вы мне скажите, чего вы хотите!

Тю, ну ты ж и сам не дурак. Подумай, помиркуй.
Берем текстовый файл, где в строку будут имена вирусов или пути:

Убивать, думаю не нужно, т.к. можно что-то не то убить. Помоему винда сразу сама ищет и закрывает процесс после добавления имени файла в политики.
Записываем список в реестр. Попутно отключаем автозагрузку всех дисков.


Вот что получилось:


Не знаю, можно ли как это провернуть. Вот, что получается в реесте... каша.

Я так понимаю, что это всё должно работать на отдельно стоящем компе.
Т.е. использоваться должны только локальные политики?

Не знаю... Возьмусь я за это или нет...
Сейчас всё так лениво (в организме переизбыток пива).   
Я же в отпуске!!!

Обещаю подумать над этим предложением, но не обещаю выполнить.

Если это в AD будет работать, то хуже не станет. Даже лучше, не надо по машинам бегать   

А у многих ли дома AD?

  Однако ж вирусы тоже не только дома живут 

Мне помогла в борьбе с вирусом "autorun" эта статья http://azbukapk.com.ua/kak-udalit-virus-autorun  

Вот ещё статья для борьбы с этим вирусом http://azbukapk.com.ua/kak-vosstanovit-pun...-svojstva-papki

Обязательно надо воспользоваться двумя статьями!!

Пополнение для коллкции:

system_cashe.exe
xn1i9x.com
d.com
winlogan.exe
msmine82.exe
msfun80.exe

Негодяй: проблема в том, что Autorun.inf сам по себе довольно безобиден и без исполняемого файла на который ссылается ни на что не способен, однако набор прилагающихся к нему *.exe и *.com потенциально могут нести в себе самые разнообразные функции от безобидных шуток, до usbcash.exe начисто убивающего флешку (починить так и не смог). При этом честно попытался удалить его только Dr.Web, но т.к. флешка вирусом от записи начисто защищена, сделать этого не смог.

если не будет такого файла, то винда не сможет открыть центральный каталог диска, и сразу выдаст окно с предложением выбора программы для неопределённого типа файла

также не смог

Да черт с ним с окном, закроем. Лишь бы винда жива осталась, железо, да информация на дисках   

В корне диска создаешь папочку autorun.inf, и этот файлик там создаваться не будет.

тогда при открытии диска будет ошибка или файл тупо перезаписан будет

Ты о чём? Данный способ покатит для флешек.

Попробуйте запустить чистую ДОС при уже вставленной флешке. Если БИОС умеет определять флеши (а почти все современные умеют), то как устройство она будет видна.
Если удастся удалить екзешник вируса - хорошо. Если не удастся - полное переформатирование или пересоздание раздела при помощи Partition Magic под ДОСом.

Добавлено через 4 минуты и 1 секунду
ЗЫ
По умолчанию полагаю, что Вы не забыли додуматься отключить в БИОСе запуск с самой флешки.

Partition Magic не испытывал, но под ДОСОМ такие вещи, как Diskedit, Format и Fdisk не проходят. А с DR.WEB вообще интересная штука - он остается в полной уверенности, что файл удален, тоже показывает FAR, но по факту остается там где и был, стоит только флешку перевоткнуть, и он там где был.

Вообще Флешку забрали уже, в музей    а так поэксперементировал бы еще.

Это сообщение отредактировал(а) Infector - 5.9.2008, 18:53

Ребят, извините,  конечно, но может я не туда  пишу, просто поиском нет времени пользоваться, комп просто в бешенстве ))) просто на D у меня куча файлов которые нужно сохранить(т.е. я не могу формануть D ), а сколько не пере устанавливай винду с D бежит в прогамм куча хлама )) 
Ваш метод Политики мне понравился , никогда даже не слышал что такое есть.

В общем тут вот еще какой вопрос Касперыч пишет (аваст тоже писал до 1-ой переустановки винды) что Комп был атакован, в общем вот вам маленький отчет и это всего за 5 минут, потом правда это прикратилось, но спустя пол часа снова пошли атаки, даже сейчас когда пишу это окно вылазит (конечно можно нажать "больше не показывать" но мне интересно сколько это будет продолжаться)

Подскажите что сделать или к кому или куда обратиться и на сколько это опасно, ведь поидее он не все атаки защищает ? я заметил что там в настройках отключена опция "Блокировать атакующий айпи", но походу она не помогла, еще не нажимал(касперыч триальный, да и всеравно я почти по два раза в день переустанавливаю винду)

Началось это в принципе когда я установил Left 4 Dead (игра предусмотрена чтобы играть в неё как одиночным так и он-лайн режимом через Steam, подключения к серверам идут напрямую через IP, т.е. все у кого пиратские версии все кидают в чат свои IP  и орут мол народ подключайся ну и потом играем)

Я конечно сомневаюсь что комне на комп пытается кто то залезть)) хм зачем ?? вобщем подскажите пожалуйста

Присоединённый файл ( Кол-во скачиваний: 2 )
 Report.csv 2,85 Kb

Ещё сюда следует внести: system.exe

io.exe
n1detect.com