ЗАЩИТА СЪЕМНЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ОТ ВРЕДОНОСНОЙ АКТИВНОСТИ AUTORUN ВИРУСОВ

Научная статья
Выпуск: № 4 (23), 2014
Опубликована:
2014/05/08
PDF

Родин Ю.А.1, Самохвалова С.Г.2

1Студент 4 курса; 2кандидат технических наук, доцент, Амурский государственный университет

ЗАЩИТА СЪЕМНЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ОТ ВРЕДОНОСНОЙ АКТИВНОСТИ AUTORUN ВИРУСОВ

Аннотация

В статье рассмотрен механизм заражения Autorun вирусами, и предлагаются простые и эффективные способы защиты съемных носителей от автоматического заражения вредоносным ПО.

Ключевые слова: информационная безопасность, вредоносное программное обеспечение, компьютерные вирусы, съемные носители информации.

Rodin Y.A.1, Samohvalova S.G.2

14th year student; 2PhD in technics, associate professor, Amur State University

PROTECTION REMOVABLE STORAGE MEDIA AGAINST MALICIOUS AUTORUN VIRUS ACTIVITY

Abstract

The article describes the mechanism of infection by Autorun viruses, and offers simple and effective ways to protect removable storage media from automatically malware infection.

Keywords: information security, malicious software, computer viruses, removable media.

Характерной чертой современного общества стало проникновение информационных технологий в различные сферы человеческой деятельности. С одной стороны, это дает возможность быстрого обмена информацией, позволяет решить или упростить решение многих задач. Но с другой стороны, побочным эффектом внедрения новых информационных технологий стало возникновение новых видов угроз: заражение компьютерными вирусами, искажение или уничтожение информации, ограничение доступа законных пользователей, подавление информационного обмена в сетях, нарушение работы аппаратуры и компьютерных систем [1].

Для большинства пользователей активность вредоносных программ несёт массу проблем: сокрытие файлов и папок, частичная блокировка функций операционной системы, блокировка веб-сайтов, засорение жестких дисков и съемных носителей, снижение быстродействия ПК за счёт потребления ресурсов ЦП и оперативной памяти [2]. Среди операционных систем наибольшую популярность получили ОС семейства Windows корпорации Microsoft, поэтому большинство вредоносных программ ориентированы именно на их уязвимости [3].

Отличительной чертой большинства современных вредоносных программ является скрытое проникновение, закрепление в зараженной системе и сокрытие своей деятельности. Несмотря на разнообразие вирусов, прослеживаются общие методы решения вышеназванных проблем.

В последнее время большое распространение получили Autorun-вирусы, использующие файл автозапуска на съемных носителях для автоматического выполнения своего кода. При подключении устройства с подобным вирусом, ОС Windows автоматически запускает файл вируса, который поражает систему. Структура файла Autorun.inf содержит 1 заголовок – блок [autorun] и 8 необязательных параметров. Наиболее часто используемые – это Open, Icon, Action и Label. Параметр OPEN содержит путь к файлу, который будет запускаться при подключении носителя или попытке доступа к нему через Проводник Windows. Параметр ICON содержит путь к файлу иконки-значка для носителя. Параметр ACTION задаёт текст контекстного меню автозапуска. Параметр LABEL задаёт название носителя.

Вредоносный файл копирует себя на носитель и создаёт файл Autorun.inf. В параметр OPEN подставляется путь к вредоносному файлу, а в остальные параметры может помещаться ложная информация, сбивающая с толку пользователя. Например, в ICON – путь к иконке антивирусной программы, в ACTION – предложение «Обновить драйвера», а в LABEL – название известной компании.

При первом рассмотрении проблемы находится очевидное решение – воспрепятствовать самостоятельному запуску вируса, отключив в ОС обработку файла автозапуска, которая по умолчанию включена. Этот способ защищает отдельную рабочую станцию от зараженного носителя, такого как дискета, жесткий диск или flash-накопитель. Недостатком этого способа является необходимость производить отключение автозапуска на всех рабочих станциях. Также это не защищает от заражения сам носитель. Зараженный носитель, содержащий тело вируса и файл его автозапуска, продолжает представлять опасность для других систем. Существуют специальные программы, которые резидентно находятся в оперативной памяти и при подключении съемных носителей перехватывают обращение к ним, ищут файл автозапуска и удаляют его, делая дальнейшую работу с носителем более безопасной. Но не всегда такие программы успевают первыми перехватить доступ к подключенному устройству, и вероятность заражения системы остаётся высокой.

Другой способ заключается в аппаратном запрете записи новой информации на устройство и реализуется переключателем на корпусе устройства. Но производители съемных жестких дисков и flash устройств не всегда оснащают свою продукцию подобными переключателями, а дискеты, хоть и имеют такой переключатель, практически вышли из обихода. Кроме того, аппаратная защита создаёт неудобство в работе с устройством – блокируется запись не только вредоносной программы, но и любой другой информации.

Третий способ доступен для устройств, поддерживающих файловую систему NTFS. Устройство форматируется, затем в корне диска создаётся структура папок, после чего через управление правами доступа запрещается любая запись в корень устройства. Такой запрет лишает вредоносных программ возможности записывать что-либо в корневой каталог устройства. Пользователь также лишается этой возможности, но имеет возможность записи в заранее созданную им структуру папок.

Альтернативный подход базируется на блокировке механизма автозапуска вируса. Для этого необходимо создать собственный файл автозапуска Autorun.inf, который воспрепятствует записи вредоносного файла автозапуска на это устройство. И если вредоносная программа скопируется на съемный диск, она не сможет обеспечить себе автозапуск, что позволит безопасно подключать носитель к рабочим станциям, без риска автоматического заражения. Все дальнейшие действия должны быть направлены лишь на закрепление собственного Autorun.inf – защиту от случайного или преднамеренного переименования и удаления. Операции удаления файла и удаления папки имеют существенное отличие – удаление папки возможно лишь в том случае, если она пуста. Следовательно, в качестве собственного файла Autorun.inf выгоднее использовать папку с одноимённым названием, содержащую как минимум один любой файл. Таким образом, созданная пользователем папка Autorun.inf на съемном носителе, внутри которой расположен пустой текстовый документ, уже не может быть удалена командой удаления папки. Помимо этого, в качестве дополнительной защиты, можно использовать возможности файловой системы NTFS, ограничив права на доступ к папке Autorun.inf. В результате этих нехитрых манипуляций, носитель получает защиту от вредоносных файлов автозапуска. Вредоносная программа, попадая на такой носитель, не в состоянии записать свой Autorun.inf на место уже имеющейся папки. Предлагаемый метод очень прост и эффективен, и позволяет использовать накопители информации в «опасной среде», не опасаясь дальнейшего их использования в незараженных системах.

Литература

  1. Ярочкин В.И. Информационная безопасность: учебник для студентов вузов. М.: Трикста: Акад. проект, 2005. 542 с.
  2. Дудоров Е.Н. Возможные подходы к выявлению подозрительной активности программного обеспечения // Проблемы информационной безопасности. Компьютерные системы. – 2005. – № 2. – С. 31–37.
  3. Касперски К. Компьютерные вирусы изнутри и снаружи. СПб.: Питер, 2007. 527 с.