Autorun.inf fájl - vírus vagy tréfa?

Milyen fájl az Autorun.inf ?
Ez egy rejtett fájl a Windowsban, amely a lemez gyökérzetében található..
Minden alkalommal, amikor megnyit egy lemezt (helyi, hordozható vagy a meghajtóban lévő) vagy egy USB flash meghajtót (gyakori eset), a rendszer azonnal ellenőrzi, hogy van-e fájl. Ha ő, akkor megnézte, mi van írva, és elindul.
Ez egy indító fájl, amely jelzi, hogy a rendszernek mit kell tennie a lemez indításakor..
Általában jó célokra használják. Gondolkozott már azon azon, hogy miért nyit meg egy lemezt, amikor egy programot vagy játékot helyez a meghajtóba, és azonnal megjelenik egy gyönyörű menü, ahol további lehetőségek vannak? És általában a lemez ikonját egy másik váltja fel, a játék / program alkotói által. Szóval, ez mind a fájl miatt.
Pontosan ezeknek a tulajdonságoknak köszönhetően annyira szeretik a vírusok, hogy a rosszindulatú kód futtatásához írhassák..
Mi az Autorun.inf fájl? ?
Ez egy rendes szöveges dokumentum (bár rejtett), amelyen belül regisztrálják a futó programok kódját. A szokásos Jegyzettömb segítségével is megnyitható és szerkeszthető..
Az Autorun.inf fájl általában a következő kódot tartalmazza:
[AutoRun]
shellexecute = 1
Akció = 2
Ikon = 3
Címke = 4

ahol:
1 az út a programhoz
2 - a program neve
3 - ikon
4 - lemeznév (címke)
Ez egy példa. Sok parancs van neki, de egy általános bemutatáshoz ez elég.
Hogyan lehet létrehozni az Autorun.inf fájlt az automatikus futtatáshoz ?
Ez egyfajta tréfa juttatás
1) Hozzon létre egy Autorun nevű szöveges dokumentumot.
2) Hozza létre a vindavoz mappát.
3) Nyissa meg az Autorun programot, és helyezze be oda
[AutoRun]
open = vindavoz \ MyProg.exe
action = vindavoz \ program
icon = vindavoz \ MyIcon.ico
label = vindavoz \ Windows

4) Mentse el a .inf kiterjesztéssel
5) Dobja el a fájlt és a mappát a lemez gyökérzetébe
Az eredménynek a következőnek kell lennie:
Lemez (vagy flash meghajtó) betöltésekor az ikon a MyIcon.ico ikon lesz. A lemez neve Vindavoz lesz. És azonnal a MyProg.exe nyílik meg a névvel a program indítási menüjében.
Természetesen ezek a nevek például vannak, és már a vindavoz mappában kell lennie.
Nos, a "szépség" érdekében elrejtheti ezeket a mappákat és fájlokat.
Ezenkívül egyszerűen meg is adhatja a lemez nevét és ikonját. Nem új az, hogy meglepte barátait azzal a ténnyel, hogy a flash meghajtónak megvan a saját neve. De amikor az ikon is más lesz - ez már a hangsúly
Az AutoRun.inf fájl tartalma ezután:
[AutoRun]
icon = vindavoz \ MyIcon.ico
label = vindavoz \ Windows

Igaz, hogy egyes antivírusok esküszhetnek erre, de tudod, hogy benne nincs semmi veszélyes.
AutoRun.inf fájl és vírusok
Jelenleg az autorun.inf fájlt széles körben használják számítógépes vírusok terjesztésére flash meghajtók és hálózati meghajtók útján. Ehhez a vírusírók rosszindulatú kóddal írják be a futtatható fájl nevét az open paraméterbe. Amikor egy fertőzött flash meghajtó csatlakozik, a Windows elindítja a "nyitott" paraméterben rögzített fájlt végrehajtás céljából, és számítógépes fertőzést eredményez.
A vírus, amely a fertőzött számítógép operációs memóriájában található, rendszeresen megvizsgálja a rendszert, hogy új lemezeket keressen, és amikor ezeket észlelik (új flash meghajtó vagy hálózati meghajtó csatlakoztatásakor) létrehozza az autorun.inf fájlt egy hivatkozással a futtatható fájl másolatához, ezáltal további terjedését.
Hogyan lehet eltávolítani AutoRun.inf fájlt ?
Általában a vírus minden lehetséges módon megpróbálja megvédeni magát: rejtetté, nem eltávolíthatóvá teszi, megakadályozza, hogy belépjen az USB flash meghajtóra stb..
A piszkos trükkö manuális eltávolításához használja a parancssort (győzelem+r -> írja be a cmd-t).
1) Lépjen a fertőzött flash meghajtóra (nézze meg a meghajtó betűjét a Sajátgépben)
g:

Van egy flash meghajtóm a g betű alatt, tehát ehelyett meg kell írnia a levelet.
2) Módosítsa a fájlattribútumokat normál értékre
attrib -a -s -h -r autorun.inf

Ha minden teljesen helyesen történik, akkor semmi sem változik. Ha hibát követett el, akkor releváns információk jelennek meg..
3) Távolítsa el a vírust
del autorun.inf

Hogyan lehet eltávolítani AutoRun.inf vírust a beállításjegyzék segítségével
Hogyan juthat el a nyilvántartás-szerkesztőbe, már fentebb írtam. Szükségünk van a [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 \ (nem nyitható meghajtó betűje) ágra]

és törölje a Shell alkulcsot. Mindent törölhet a MountPoints2 szakaszból, de ekkor az összes adathordozóra vonatkozó információ törlődik. Ön dönti el.
Használhatja az Anti Autorun programot is, amely blokkolja az autorun.inf fájl létrehozását, és lehetetlenné teszi a rosszindulatú programok automatikus futtatását. Létrehoz egy speciális mappát és fájlt, amelyek nem foglalják el a helyet.
Még néhány program, amelyek segíthetnek, mint gondolom, az Autorun Guard és az USB_Tool.
Hogyan lehet védeni az AutoRun.inf vírusok ellen ?
Természetesen Az automatikus futtatás letiltása!
Kicsit írtam erről a számítógép biztonságának biztosítása című cikkben, különösen az első tippben. Bemutatta, hogyan lehet letiltani az automatikus futtatást a Windows szabványos eszközeivel, és most leírom, hogyan kell ezt "keményen" végrehajtani a Beállításszerkesztő használatával..
Nyissa meg a regisztrációs szerkesztőt (győzelem+r -> írja be a regedit parancsot), és haladjon a HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer ágon, amelyben létrehozzuk a DWORD paramétert (32 bit)

NoDriveTypeAutoRun kardértékkel: 000000ff
Most tegyük még erősebbé a védelmet
A helyzet az, hogy a Windows operációs rendszer nem engedélyezi az azonos nevű fájlok és mappák létrehozását, mert ehhez a fájl és a mappa közötti különbség csak egy bit.
Ha valaki ezzel vitatkozik velem - hozzon létre egy mappát bárhová, majd hozzon létre egy azonos fájlt név szerint.
Ez az név szerint, meghosszabbítás nélkül.

Ezért ha létezik az autorun.inf mappa, akkor az ilyen nevű fájlt már nem lehet létrehozni. Ezért a kezdeti lehetőség egy autorun.inf nevű fájl vagy mappa létrehozása. A vírus látni fogja, hogy ilyen név már létezik, megsértik és semmit sem hagy el
Ez a hely, hogy igaz legyen, de azért vannak olyan „intelligens” vírusok, amelyek megértik, hogy van egy azonos nevű fájl vagy mappa, és könnyen törölhetik a létrehozott mappát (fájlt), és megírhatják az autorun.inf fájlt, amely futtatja a vírusokat.
A probléma megoldásához létrehozunk egy super-duper törhetetlen mappát . Amit csak akkor lehet eltávolítani, ha formázza az USB flash meghajtót.
Tehát egy ilyen mappa létrehozásához létre kell hoznia egy egyszerű szöveges dokumentumot a Jegyzettömbben, amely a következő tartalommal rendelkezik:
attrib -s -h -r autorun. * del autorun. * mkdir "\\? \% ~ d0 \ autorun.inf \ vindavoz ... \" attrib + s + h% ~ d0 \ autorun.inf

sajtó fájl - Mentés másként ... és írjon be bármilyen nevet, de a lényeg az, hogy a kiterjesztés legyen .denevér
Például a vindavoz.bat.
Ezután másolja ezt a fájlt az USB flash meghajtóra, és futtassa.
Ennek eredményeként be kell szereznie az autorun.inf mappát, amelyben az ellenállhatatlan vindavoz mappa fekszik

Nos, azoknak, akik nem akarnak ezzel zavarni, elkészítettem ezt a fájlt az archívumban. vindavoz.zip307 letöltések: 1555
Elegendő letölteni, kicsomagolni, a vindavoz.bat fájlt áthelyezni egy USB flash meghajtóra (lemezen) és futtatni.
Mellesleg, ha az ezt követő mappa látható maradt - akkor változtassa meg az attribútumot rejtettként, ha rákattint rá az RMB-re, és válassza a Tulajdonságok menüpontot.
Ez a "Fókusz" nem fog működni az NTFS-ken, de a flash meghajtók gyakrabban használják a FAT-ot, így használhatják.
P.S.
Miért készítsen mappát egy mappába? Igen, mert az autorun.inf mappa "mutatóként" szolgál. És ha a számítógépek körüli vándorlás után megkapja neked, és a rejtett attribútum nem rejtőzik, akkor a vírusok már akarták eltávolítani és regisztrálni benne, és megváltoztatta az attribútumokat. Biztonságosan kereshet és törölhet ismeretlen rejtett fájlokat. Vírusok lesznek.
Az általános információtartalomhoz elolvashatja a róla szóló Wikipedia cikket..