Подписка на новости

Статьи /

Что такое autorun вирус?

Флешки — основной источник заражения для
компьютеров, не подключенных к Интернету
— Wikipedia

В наше время мало кто задумывается о таком понятии, как компьютерная безопасность. Не удивительно, ведь тема эта довольно обширна и большинство материала на эту тему рассчитано на подготовленного пользователя. Но стоит рядовому пользователю столкнуться с проблемой вирусов (например, появление файла autorun.inf на флешке), как тут же начинаются активные поиски методов защиты и борьбы с ними.

В этой статье будет рассмотрено:

  1. Назначение файла autorun.inf
  2. Вирус autorun
  3. Признаки заражения флешки
  4. Признаки заражения системы
  5. Источники заражения

Назначение файла autorun.inf

Файл autorun.inf (от англ. auto – автоматический и run – запуск) используется в операционной системе Microsoft Windows для автоматического запуска приложений с носителей, что позволяет значительно упростить действия пользователя при установке приложений и драйверов с накопителей.

Файл автозапуска можно встретить практически на любом диске с программным обеспечением или драйвером к какому-либо устройству. Помимо этого он выполняет функцию автозапуска меню на флешках с предустановленными или портативными утилитами.

Структура файла autorun.inf разделена на блоки, параметры и значения. В файле содержатся параметры, описывающие диск, такие как: как метка диска, иконка диска, запускаемый файл и некоторые другие специфические параметры. В частности, для автоматического запуска какого-либо приложения с флешки при ее подключении к компьютеру в файле autorun.inf будет достаточно двух строк:

[autorun]
open = имя_файла

Где [autorun] – имя блока, open – имя параметра, имя_файла – содержит путь к файлу приложения, которое будет автоматически запущено.

Стоит отметить, что worm win32 autorun способен обфусцировать (запутывать) содержимое файла autorun.inf, тем самым затрудняя анализ файла. Однако, программа для защиты флешки Antirun без проблем распознает содержимое файла автозапуска, над которым поработал autorun червь.

Вирус autorun

Изначально безобидное предназначение файла автозапуска со временем стало использоваться вирусописателями как эффективный способ распространения worm win32 autorun. Сам по себе файл autorun.inf не содержит исполняемый код вируса, он является лишь средством запуска autorun червя.

Вирусом autorun называется такой тип вирусов, которые распространяются посредством копирования исполняемого файла (своей копии) на съемные носители и прописываясь в файл автозапуска autorun.inf, таким образом, заражая их. Заражению подвержены абсолютно все внешние накопители (флешки, mp3-плееры, цифровые камеры и прочие устройства), которые не защищены каким-либо образом от записи на диск (аппаратная защита, или же уже существующий в корне диска защищенный файл или папка autorun.inf).

В Windows XP autorun по-умолчанию запускается со съемных носителей. Существует масса способов устранения этой уязвимости: от установки официальных заплаток (обновлений) от Microsoft до применения различных настроек. Программа для защиты флешки от вирусов Antirun при установке автоматически устраняет эту уязвимость. Также в настройках программы доступно возобновление функции автозапуска.

В Windows 7 autorun обрабатывается несколько иначе: по-умолчанию автозапуск со съемных носителей отключен, однако это не обеспечивает защиту от autorun вирусов с флешек. Поэтому для защиты от worm win32 autorun рекомендуется использовать программу Antirun вместе с основным антивирусом.

Признаки заражения флешки

Наличие файла автозапуска на CD диске с игрой означает скорее то, что на диске есть инсталлятор игры. Аналогично, как и на CD диске с фильмом присутствует меню с возможностью установить кодеки для просмотра видео. Однако, присутствие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) уже вызывает подозрение и с большой долей вероятности указывает на присутствие autorun червя на флешке.

Рассмотрим типичный пример зараженного съемного диска:

autorun.inf jwgkvsq.vmx

На рисунке явно видно, что на съемном диске (G:) присутствует скрытый файл autorun.inf и скрытая папка RECYCLER. Анализируя содержимое файла автозапуска, становится понятно, что при автозапуске съемного носителя запускается файл jwgkvsq.vmx (worm win32 autorun) из папки RECYCLER.

Разумеется, для просмотра скрытых файлов и папок в Проводнике, необходимо поставить соответствующую галочку в настройках вида папок (пункт Сервис в меню Проводника – Параметры папок – Вид).

Стоит напомнить, что не всегда файл автозапуска является признаком заражения вирусом worm win32 autorun. Возможно, на флешке присутствует автоматическое меню с набором портативных программ, или же файл autorun.inf указывает только на иконку устройства.

Если при попытке открытия файла autorun.inf система выдает сообщение о том, что доступ к файлу невозможен, скорее всего, система уже заражена и доступ к файлу заблокировал worm autorun.

Рассмотрим работу антивирусной утилиты Antirun в данном случае. При подключении устройства, зараженного вирусом autorun (файл jwgkvsq.vmx), программа Antirun предупредит пользователя о существующей угрозе в всплывающем диалоге в области над системным треем:

antirun autorun.inf jwgkvsq.vmx

На данном диалоге видно, что Antirun распознал автоматически запускающийся файл (jwgkvsq.vmx) и предложил его удалить. Также из данного диалога можно безопасно открыть диск, не запуская файл вируса, просмотреть информацию о диске, либо безопасно извлечь устройство.

Признаки заражения системы

Как правило, большая часть autorun вирусов, при своей деятельности, блокируют те или иные функции системы, при помощи которых пользователь может как-либо противостоять угрозе. Самые основные из них:

  1. При попытке запустить диспетчер задач Windows появляется сообщение «Диспетчер задач отключен администратором».
  2. При попытке запустить редактор реестра Windows появляется сообщение «Редактирование реестра запрещено администратором системы».
  3. На дисках создается скрытый файл autorun.inf, а при удалении создается снова.
  4. Невозможно открыть или удалить файл autorun.inf. Windows сообщает, что доступ к файлу невозможен. Это типичное проявление активности червя worm win32 autorun.
  5. При попытке открытия диска открывается диалог«Выберите программу для открытия этого файла»
  6. При попытке открытия диска он стал открываться в отдельном окне;
  7. Из меню Проводника Сервис исчез пункт Свойства папки.

Источники заражения

Широкое распространение worm win32 autorun получил благодаря повсеместному использованию внешних накопителей. Сейчас практически у каждого пользователя ПК имеется флешка (а то и несколько), цифровой плеер или камера с картой памяти. Используются эти устройства на разных компьютерах, большинство которых даже не защищены антивирусом, не говоря уже об актуальных базах вирусных сигнатур.

Источником заражения вирусом worm win32 autorun может послужить любой зараженный компьютер. Это может быть:

  • фотолаборатория, куда вы отдали флеш-карту для распечатки фотографий;
  • рабочий компьютер;
  • компьютер друзей;
  • интернет-кафе и прочие публичные места.

Также известны случаи, когда новая флешка, купленная в магазине, уже содержала worm win32 autorun.

В заключение стоит добавить, что за довольно долгую историю существования autorun вирусов и появившуюся за это время массу методов защиты и профилактики, проблема все еще остается актуальной. Далеко не все лидирующие на рынке комплексные антивирусные решения способны грамотно справиться с этой задачей. Для надежной защиты от autorun вирусов рекомендуется использовать антивирусную утилиту Antirun совместно с основным антивирусным комплексом.

В следующих статьях будут рассмотрены методы защиты системы и внешних устройств (флешек, mp3-плееров, камер и пр.) от вирусов autorun, которые использует в своей работе антивирусная программа Antirun.

Читайте также:

← На главную

Copyright © 2014 Antirun.net
Лицензионное соглашение