На днях шел по городу вместе со знакомым админом, и в разговоре промелькнула фраза о том, что, наверное, практически каждый имеющий флэшку, сталкивался с заражением ее вирями. Один из таких вирей я недавно обнаружил на компе клиента. Правда, после того, как вставил в его комп свой флэш-девайс. Вирусяка оказался червем. Не самым безобидный, тупо швырял свое файло в корневые папки разделов, не особенно маскируясь, но при этом способный любого довести до бешенства постоянной выдачей на экран сообщенией об ошибке. Простым убиванием такой гад не лечится - толку-то, если он сидит в мемори и после, к примеру, входа-выхода в подпапку, снова копирует себя в корневые (многие черви построены по принципу "матрешки").
К чему я это говорю? К тому, что не все в этом мире просиживают за компом сутками, есть люди, которые незнакомы с функциями Форточек, позволяющими осуществлять первичную, примитивную, но эффективную защиту от вирусяки, напавшего на комп со вставленной флэшки. Для таких людей и объясняю. Можно, конечно, просто и тупо вставлять каждую флэшку, перед этим нажимая и удерживая Shift, но эта фишка срабатывает не всегда. Кроме того, надо же становиться продвинутыми юзерами
.
Принесли вам флэшку. Вы ее вставляете, и ваша Винда с ходу начинает процедуру определения оборудования и автозапуска. Первое вы не видите, второе появляется в виде окошка с бегущей линией. Вот именно в этот момент вирь и прыгает к вам на комп. Хохма в том, что не позволить ему прыгнуть - довольно просто. Надо сделать так, чтобы при вставке флэшки в USB-порт Винда не начинала автозапуск. Но флэшка - съемный носитель, это не привод DVD/CD, который постоянно находится в системе. Поэтому для флэшки не так просто вырубить автозапуск. Как это сделать? Элементарно. Жмем кнопку "Пуск", затем "Выполнить" и пишем руками команду: gpedit.msc - появляется окно "Групповая политика". Кликаем по следующим пунктам: "Административные шаблоны" - "Система". В веточке "Система" ищем строку "Отключить автозапуск". Кликаем дважды. Появилось окно параметров. По умолчанию эта функция выставлена в режиме "Отключен". То есть - автозапуск РАБОТАЕТ! Выбираем "Включен" и в поле "Отключить автозапуск на" выбираем пункт "всех дисководах". Затем "Ок", закрываем окно "Групповой политики". Чтобы не перезагружаться, ожидая, пока Винда применит новые настройки, жмем снова "Пуск", "Выполнить", запускаем командную строку (команда
cmd), пишем в появившемся окне: gpupdate, жмем Enter. Все, настройки политики обновлены в текущем сеансе, можно не перезагружаться, а сразу вставлять флэшку. Теперь можно и открывать содержимое зараженной флэшки, но, чтобы не свести ваши усилия к нулю, не открывайте ее средствами Винды. Запустите Far Manager или Total Commander.
Все описанное позволяет избежать попадания с зараженной флэшки на ваш компьютер вируса Win32.Worm.GameSpy (и его модификаций). Информацию по вирусу (качественная статья!) можно посмотреть по ссылке:
Ссылка скрыта от гостей
Зарегистрироваться или
Войти.
Именно с этим вирем (с одной из модификаций) мой клиент и столкнулся. Вирь, как я уже говорил, не сильно маскировался. Да это и не входит в его задачу. Конкретно: в корневые папки разделов бросает два файла - autorun.inf, и ylr.exe, оба с атрибутом "скрытый". Увидеть их через Проводник нельзя - от этого вирь страхуется. Меняет определенные значения в реестре, в результате любая попытка пользователя включить параметр "Показывать скрытые файлы и папки" в свойствах просмотра папок через Проводник заканчивается тем, что система автоматически сбрасывает параметр к исходному значению.
Вопреки распространенным в инете методам лечения с помощью активации скриптов, ковыряния реестра, скачивания и последующего запуска не всегда надежных утилит, автор угрохал вирус очень просто. Тупо установил на комп клиента лицензионного Касперского (пробную версию!), и Каспер, не напрягаясь, аккуратно снес вирь ко всем чертям.
Кстати, ни в коем случае не хочу спорить по поводу "какой антивирь круче", но в описанной ситуации я, прикола ради, попытался, перед Каспером, убить вирь другими антивирусами. Использовались: лицензионный Avast, вирусные базы свеженькие. Avast легко запустился и не менее легко полностью проигнорировал наличие виря. Касперский, повторюсь еще раз, обнаружил с ходу, предложил зловредное файлы уничтожить и, получив согласие, тут же их и грохнул. Попутно нашел и расстрелял еще два червя. Эти изначально были фактически безвредны, но "порядок есть порядок", как считает Антивирус Касперского. Вывод, дабы не обидеть фанатов других антивирей, таков: в любом случае нет ничего лучше и надежней лицензионного антивирусника и регулярных к нему обновлений.
