double arrow

Захист від копіювання

Крім того, деякі фірми, що роблять диски з аудіозмістовним, намагалися застосувати дану технологію для захисту вмісту дисків від копіювання, шляхом автозапуску програми, що перешкоджає копіюванню. Однак відомий випадок поводження даної програми як руткита.

 

Безпека

У сучасний час файл autorun.inf широко використовується для поширення комп'ютерних вірусів через flash-накопичувачі й мережні диски. Для цього автори вірусів прописують ім'я файлу, що виконується, зі шкідливим кодом у параметр open. При підключенні зараженого flash-накопичувача Windows запускає записаний у параметрі «open» файл на виконання, у результаті чого відбувається зараження комп'ютера.

Вірус, який перебуває в оперативній пам'яті зараженого комп'ютера періодично сканує систему з метою пошуку нових дисків, і при їхньому виявленні (при підключенні іншого flash-накопичувача або мережного диска) створює на них autorun.inf з посиланням на копію свого файлу, що виконується, забезпечуючи в такий спосіб своє подальше поширення.

У деяких випадках в autorun.inf записується не шлях до файлу, що виконується, вірус повністю заміняє файл своїм кодом у текстовому виді і не вимагає додаткових файлів.

Відключення автозапуску

Групова політика (gpedit.msc)

Настроювання автозапуску в груповій політиці перебувають у вітці «Конфігурація комп'ютера – Адміністративні шаблони – Система».

Пункт «Відключити автозапуск» має три значення:

– не заданий;

– включений;

– відключений.

Завдання значення «включений» дозволяє вибрати тип дисків:

– CD-дисководи (включає: невідомі, CD, мережні й знімні диски);

– всі дисководи.

Реєстр (гілка HKCU), Policies

За включення й відключення автозапуску для різних типів носіїв відповідають ключі реєстру:

– [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

– [HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

Можливі значення даного ключа:

– 0x01 (DRIVE_UNKNOWN) – відключити автозапуск на приводах невідомих типів (тип якого не може бути визначений).

– 0x02 (DRIVE_NO_ROOT_DIR) – відключити автозапуск на дисках яким не призначена буква (не примонтованих у корінь).

– 0x04 (DRIVE_REMOVABLE) – відключити автозапуск знімних пристроїв (дискети, флешки).

– 0x08 (DRIVE_FIXED) – відключити автозапуск НЕ з’ємних пристроїв (жорсткий диск).

– 0x10 (DRIVE_REMOTE) – відключити автозапуск мережних дисків.

– 0x20 (DRIVE_CDROM) – відключити автозапуск CD-приводів.

– 0x40 (DRIVE_RAMDISK) – відключити автозапуск на віртуальному диску (RAM-диск).

– 0x80 (DRIVE_FUTURE) – відключити автозапуск на приводах невідомих типів (майбутні типи пристроїв).

– 0xFF – відключити автозапуск взагалі всіх дисків.

Значення можуть комбінуватися підсумовуванням їхніх числових значень. Припустимі значення ключа NoDriveTypeAutoRun описані в KB967715 (документ microsoft).

Слід зазначити, що заборона автозапуску за допомогою вищенаведеного ключа реєстру не усуває небезпеки зараження комп'ютера. Це пов'язане з тим, що значення ключа впливає тільки на виконання autorun.inf при визначенні системою підключеного носія, але не забороняє виконання при подвійному кліку на значку носія. Таким чином, навіть якщо функція автозапуску відключена, зараження відбувається при спробі користувача відкрити підключений диск для перегляду. Microsoft випустила виправлення, описане в KB967715, яке повністю вирішає дану проблему.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Сейчас читают про: