Súbor Autorun.inf - vírus alebo žart?

Aký je typ súboru Autorun.inf ?
Toto je skrytý súbor v systéme Windows, ktorý sa nachádza v koreňovom adresári disku..
Vždy, keď otvoríte disk (lokálny, prenosný alebo disk v jednotke) alebo USB flash disk (častý prípad), systém ho okamžite skontroluje na prítomnosť tohto súboru. Ak je, pozrie sa na to, čo je tam napísané a začne.
Toto je spúšťací súbor, ktorý ukazuje, čo by mal systém urobiť, keď sa disk spustí..
Zvyčajne sa používa na dobré účely. Zaujímalo vás niekedy, prečo keď otvoríte disk s programom alebo hrou vloženou do jednotky, okamžite sa zobrazí nádherné menu s výberom ďalších akcií? Ikona disku sa zvyčajne nahrádza aj inou od tvorcov hry / programu. To je všetko kvôli tomuto súboru.
A práve vďaka týmto vlastnostiam ho vírusy tak veľmi milujú, aby sa do nich dalo napísať ako spôsob spustenia škodlivého kódu..
Čo je súbor Autorun.inf? ?
Toto je obyčajný textový dokument (aj keď je skrytý), v ktorom je zaregistrovaný kód na spustenie programov. A môže byť tiež otvorený a upravovať pomocou štandardného programu Poznámkový blok..
Súbor Autorun.inf zvyčajne obsahuje nasledujúci kód:
[AutoRun]
shellexecute = 1
Akcia = 2
Ikona = 3
Štítok = 4

kde:
1 je cesta k programu
2 - názov programu
3 - ikona
4 - názov disku (štítok)
Toto je príklad. Je pre neho veľa príkazov, ale na všeobecnú prezentáciu stačí.
Ako vytvoriť súbor Autorun.inf pre autorun ?
Toto je druh žartového príspevku
1) Vytvorte textový dokument s názvom Autorun.
2) Vytvorte priečinok vindavoz.
3) Otvorte náš Autorun a vložte ho
[AutoRun]
open = vindavoz \ MyProg.exe
action = vindavoz \ program
icon = vindavoz \ MyIcon.ico
label = vindavoz \ Windows

4) Uložte ho s príponou .inf
5) Presuňte súbor a priečinok do koreňového adresára disku
Výsledkom by malo byť toto:
Pri načítaní disku (alebo jednotky Flash) bude ikona rovnaká ako ikona MyIcon.ico. Názov disku bude Vindavoz. A myProg.exe sa okamžite otvorí s názvom v ponuke Štart programu.
Samozrejme, všetky tieto názvy sú napríklad a mali by byť už v priečinku vindavoz.
Pre krásu môžete tieto priečinky a súbory skryť.
Môžete tiež jednoducho vytvoriť názov a ikonu disku. Prekvapenie priateľov tým, že flash disk bude mať svoje vlastné meno, nie je nič nové. Ale aj keď sa ikona bude líšiť - to je už zameranie
Obsah súboru AutoRun.inf bude potom:
[AutoRun]
icon = vindavoz \ MyIcon.ico
label = vindavoz \ Windows

Je pravda, že niektoré antivírusy to môžu prisahať, ale viete, že v tom nie je nič nebezpečné.
AutoRun.inf súbor a vírusy
V súčasnosti sa súbor autorun.inf bežne používa na šírenie počítačových vírusov prostredníctvom jednotiek flash a sieťových jednotiek. Na tento účel autori vírusov zapíšu názov spustiteľného súboru so škodlivým kódom do parametra otvorenia. Keď je pripojená infikovaná jednotka flash, systém Windows spustí súbor zaznamenaný v parametri „otvorené“ na vykonanie, čo vedie k počítačovej infekcii.
Vírus, ktorý sa nachádza v operačnej pamäti infikovaného počítača, pravidelne kontroluje systém, aby vyhľadal nové disky, a keď sa zistia (keď je pripojená iná jednotka flash alebo sieťová jednotka), vytvorí na nich autorun.inf s odkazom na kópiu spustiteľného súboru, čím poskytne ďalšie informácie nátierka.
Ako odstrániť súbor AutoRun.inf ?
Vírus sa zvyčajne pokúša brániť všetkými možnými spôsobmi: robí sa skrytými, nevymeniteľnými, bráni vstupu USB kľúča atď..
Ak chcete tento špinavý trik odstrániť manuálne, použite príkazový riadok (výhra+r -> zadajte cmd).
1) Prejdite na infikovanú jednotku Flash (pozrite sa na písmeno jednotky v Tento počítač)
g:

Mám písmeno Flash pod písmenom g, takže namiesto toho musíte napísať svoj list.
2) Zmeňte atribúty súboru na normálne
attrib -a -s -h -r autorun.inf

Ak sa všetko urobí úplne správne, nič sa nezmení. Ak došlo k chybe, zobrazia sa príslušné informácie..
3) Odstráňte vírus
del autorun.inf

Ako odstrániť vírus AutoRun.inf pomocou registra
Ako sa dostať do Editora databázy Registry, som už písal vyššie. Potrebujeme vetvu [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 \ (neotvoriteľné písmeno jednotky)]

a vymažte z nej podkľúč Shell. Môžete odstrániť všetko v časti MountPoints2, ale potom sa odstránia informácie o všetkých médiách. Vy rozhodujete.
Môžete tiež použiť program Anti Autorun, ktorý blokuje vytváranie súboru autorun.inf a znemožňuje automatické spúšťanie škodlivého softvéru. Vytvorí špeciálny priečinok a súbor, ktorý nezaberá miesto na disku.
Ďalšími programami, ktoré vám môžu, podľa môjho názoru, pomôcť, sú Autorun Guard a USB_Tool.
Ako sa chrániť pred vírusmi AutoRun.inf ?
Samozrejme Zakázať automatické spustenie!
Niečo som o tom napísal v článku Ako zabezpečiť počítač, najmä v prvom tipe. Popisuje, ako zakázať automatické spustenie pomocou štandardných nástrojov systému Windows, a teraz popíšem, ako to urobiť „tvrdo“ pomocou Editora databázy Registry.
Otvorte editor databázy Registry (výhra+r -> zadajte regedit) a choďte pozdĺž vetvy HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer, v ktorej vytvoríme parameter DWORD (32 bitov)

NoDriveTypeAutoRun s hodnotou dword: 000000ff
Teraz urobme obranu ešte silnejšou
Faktom je, že operačný systém Windows neumožňuje vytváranie súborov a priečinkov s rovnakým názvom, pretože rozdiel medzi súborom a priečinkom je iba jeden bit.
Ak sa o to niekto so mnou pokúša hádať - vytvorte priečinok kdekoľvek a potom súbor s rovnakým obsahom podľa mena.
je s podľa mena, bez rozšírenia.

Ak teda existuje priečinok autorun.inf, súbor s týmto menom už nebude možné vytvoriť. Počiatočnou možnosťou je preto vytvoriť súbor alebo priečinok s názvom autorun.inf. Vírus zistí, že takéto meno už existuje, bude urazené a nezostane nič
Toto je miesto, kde má byť pravda, ale pretože existujú „inteligentné“ vírusy, ktoré chápu, že existuje súbor alebo priečinok s rovnakým názvom a môžete ľahko odstrániť vytvorený priečinok (súbor) a napísať súbor autorun.inf, ktorý spustí vírusy.
Na vyriešenie tohto problému vytvoríme super duplikátnu nerozbiteľnú zložku . Ktoré je možné odstrániť, len ak naformátujete jednotku USB Flash.
Ak chcete vytvoriť takýto priečinok, musíte v programe Poznámkový blok vytvoriť jednoduchý textový dokument s nasledujúcim obsahom:
attrib -s -h -r autorun. * del autorun. * mkdir "\\? \% ~ d0 \ autorun.inf \ vindavoz ... \" attrib + s + h% ~ d0 \ autorun.inf

lis súbor - Uložiť ako ... a zadajte akékoľvek meno, ale hlavná vec je, že rozšírenie bude .netopier
Napríklad vindavoz.bat.
Potom skopírujte tento súbor na USB flash disk a spustite ho.
Ako výsledok by ste mali dostať priečinok autorun.inf, v ktorom bude ležať neodolateľný priečinok vindavoz

Pre tých, ktorí sa s tým nechcú obťažovať, som tento súbor pripravil v archíve. vindavoz.zip307 stiahnutí: 1555
Stačí stiahnuť, rozbaliť, preniesť súbor vindavoz.bat na USB flash disk (disk) a spustiť.
Mimochodom, ak priečinok po tom zostal viditeľný - zmeňte atribút na skrytý kliknutím naň pomocou RMB a výberom Vlastnosti
Toto „Focus“ nebude fungovať na NTFS, ale flash disky používajú FAT častejšie, takže ich môžete používať.
P.S.
Prečo vytvoriť priečinok v priečinku? Áno, pretože priečinok autorun.inf slúži ako „indikátor“. A ak sa po potulkách po počítačoch objaví a atribút, ktorý má, nie je skrytý, potom ho vírusy chceli odstrániť a zaregistrovať v ňom, na čo a zmenili atribúty. Môžete bezpečne vyhľadať neznáme skryté súbory a odstrániť ich. Bude to vírus.
Všeobecný informačný obsah si môžete prečítať v článku Wikipedia o ňom..