НОВАЯ ВЕРСИЯ ЗАЩИТЫ ДЛЯ ФЛЭШ НАКОПИТЕЛЕЙ V 1.3 ИЛИ ОБНОВЛЕННАЯ ЗАЩИТА ДЛЯ ФЛЕШКИ.









Не поверите, прошло несколько дней после того как я выложил обновленную версию защиты против вирусов Autoruner, как мне пришло в голову несколько улучшений... Кидать ссылки по сайтам не буду, устал. Какие улучшения спросите вы теперь в этой версии? Читайте...



@Echo off
@Title Stop_Flash_infect_For_USB_Flash_Drive_v1.3
@Echo ________________________________________________________________________________
@Echo Stop_Flash_Infect_For_USB_Flash_Drive_v1.3 By Igor Nesterov. Zaporozye. 2009.
@Echo ________________________________________________________________________________
@Color A0
@Echo off
@Set /p drive= “ЉЂ†€’… ЌЂ Љ‹Ђ‚€Ђ’“ђ… Ѓ“Љ‚“ ”‹ќ˜ ЌЂЉЋЏ€’…‹џ € ЌЂ†Њ€’… "ENTER" (Ѓ“Љ‚“ ”‹ќ˜ ЌЂЉЋЏ€’…‹џ ЊЋ†ЌЋ ЏЋ‘ЊЋ’ђ…’њ ‚ "ЊЋ‰ ЉЋЊЏњћ’…ђ") G:\ H:\ I:\ ? ...
@Echo ________________________________________________________________________________

@Rem Создаем папку с названием Autorun.inf Это название файла, запускаещего вирус, который прописуется в корень флэш накопителя, при его заражении вирусом.

@Echo Ћ†€„Ђ…Њ, ‡Ђ™€’Ђ “‘’ЂЌЂ‚‹€‚Ђ…’‘џ...
Attrib -s -h -r -a %drive%:\Autorun.inf
If exist %drive%:\Autorun.* Del \\?\%drive%:\Autorun.* /f /a /q
If exist %drive%:\Autorun.inf Rmdir \\?\%drive%:\Autorun.inf /s /q
Mkdir \\?\%drive%:\Autorun.inf

@Rem Создаем в папку, неудаляемый стандартными способами файл.
Echo > \\?\%drive%:\Autorun.inf\NUL.Stop_Flash_infect_by_Fagot
Attrib +s +h +r +a %drive%:\Autorun.inf

@Rem В итоге мы имеем в корне флэш накопителя неудаляемую папку Autorun.inf И вирус уже не сможет скопировать файл, запуска себя. На флэшку скопируется тело вируса, но он не сможет запуститься !! так как название файла запуска вируса , Autorun.inf, в директории уже присутствует, а два одинаковых названия в одной директории быть не могут! Т. Е. вирус "пролетает"

@Rem Такой же принцип как и впредидущем блоке.
Attrib -s -h -r -a %drive%:\Desktop.ini
If exist %drive%:\Desktop.* Del \\?\%drive%:\Desktop.* /f /a /q
If exist %drive%:\Desktop.ini Rmdir \\?\%drive%:\Desktop.ini /s /q
Mkdir \\?\%drive%:\Desktop.ini
Echo > \\?\%drive%:\Desktop.ini\NUL.Stop_Flash_infect_by_Fagot
Attrib +s +h +r +a %drive%:\Desktop.ini

@Rem Многие вирусы любят создавать на флэш накопителе папку RECYCLER, и не только папку с таким названием. Да это название папки мусорки, но на флэшке ее нет, и быть не должно в принципе!!! Такая директория создается системой на локальных дисках компьютера, но не на флэш накопителях! Далее идет создание папок , часто создаваемых различными " флэш" вирусами, в которые они копируются, и отуда запускаются. Если в корне флэшки, существует файл, с названием папки, которую хочет создать вирус, то вирус, не сможет создать на флэшке, свою папку, с телом вируса.

If exist %drive%:\RECYCLER.* Attrib -s -h -r -a %drive%:\RECYCLER.*
If exist %drive%:\RECYCLER Attrib -s -h -r -a %drive%:\RECYCLER
If exist %drive%:\RECYCLER.* del %drive%:\RECYCLER.* /f /a /q
If exist %drive%:\RECYCLER Rmdir %drive%:\RECYCLER /s /q
Echo %DATE% FAGOT_GUARD!!! > %drive%:\RECYCLER
Attrib +s +h +r +a %drive%:\RECYCLER

@Rem Такой же принцип как и впредидущем блоке.
If exist %drive%:\Recycled.* Attrib -s -h -r -a %drive%:\Recycled.*
If exist %drive%:\Recycled Attrib -s -h -r -a %drive%:\Recycled
If exist %drive%:\Recycled.* del %drive%:\Recycled.* /f /a /q
If exist %drive%:\Recycled Rmdir %drive%:\Recycled /s /q
Echo %DATE% FAGOT_GUARD!!! > %drive%:\Recycled
Attrib +s +h +r +a %drive%:\Recycled

@Rem Такой же принцип как и впредидущем блоке.
If exist %drive%:\"System Volume Information.*" Attrib -s -h -r -a %drive%:\"System Volume Information.*"
If exist %drive%:\"System Volume Information" Attrib -s -h -r -a %drive%:\"System Volume Information"
If exist %drive%:\"System Volume Information.*" del %drive%:\"System Volume Information.*" /f /a /q
If exist %drive%:\"System Volume Information" Rmdir %drive%:\"System Volume Information" /s /q
Echo %DATE% FAGOT_GUARD!!! > %drive%:\"System Volume Information"
Attrib +s +h +r +a %drive%:\"System Volume Information"

@Rem Такой же принцип как и впредидущем блоке.
If exist %drive%:\temp.* Attrib -s -h -r -a %drive%:\temp.*
If exist %drive%:\temp Attrib -s -h -r -a %drive%:\temp
If exist %drive%:\temp.* del %drive%:\temp.* /f /a /q
If exist %drive%:\temp Rmdir %drive%:\temp /s /q
Echo %DATE% FAGOT_GUARD!!! > %drive%:\temp
Attrib +s +h +r +a %drive%:\temp

@Cls
@Echo ________________________________________________________________________________
@Echo ‡Ђ™€’Ђ ЌЂ ”‹ќ˜ ЌЂЉЋЏ€’…‹€ “‘’ЂЌЋ‚‹…ЌЂ “‘Џ…˜ЌЋ!!!
@Echo ________________________________________________________________________________
@Echo „‹џ ‚›•Ћ„Ђ €‡ ЏђЋѓђЂЊЊ› ЌЂ†Њ€’… "ENTER"
@Echo ________________________________________________________________________________
@Pause
@Rem Stop_Flash_Infect_For_USB_Flash_Drive_v1.3 By Igor Nesterov. Zaporozye.
@rem Date: 14.04.2009
@rem Nesterov Igor Vladimirovich (FagotAdmin)
@rem Web: http://antivirusfagot.blogspot.com/
@rem © Нестеров Игорь Владимирович 2009 год.

Насколько Вы видите в защиту добавилось

1) Не убиваемая папка с названием "Desktop.ini" Файл Desktop.ini в некоторрых вирусах используется как файл запуска вируса.

2) Добавился файл с атрибутами скрытый, системный, только для чтения. "Recycled"
Это одно из распостранненных названий папки, в которую вирусы копируют свое тело, насколько Вы видите название немного другое по сравнению с "Recycler" Это так сказать неправильное название, вирмейкеры пишут для того, что б на "созвучии" юзер принял эту папку за системную.

3) Файл с атрибутами скрытый системный, "System Volume Information" в папку под таким названием тоже полюбляют копироваться вирусы, на флэшку.

4) Файл с атрибутами скрытый, системный "temp" тоже любят создавать папку с таким именем на флэшке, и туда копировать тело вируса.

Скачать обновленную версию защиты можно ЗДЕСЬ


© Нестеров Игорь Владимирович 2009 год

6 комментариев:

Анонимный комментирует...

а как удалить потом его?

F@got@dmin комментирует...

Как удалить? а зачем?

Анонимный комментирует...

форматируй флешку, если что...не нравиться
Спасибо!!
идея хорошая
и так все флешки с RECYCLED и System Volume Information
так пусть лучше с таким размером сидят... :)

Анонимный комментирует...

По моему мнению Вы допускаете ошибку. Могу отстоять свою позицию. Пишите мне в PM, пообщаемся.

F@got@dmin комментирует...

Удаляемо, спец командой, или без заморочек просто форматом.
2) да

Анонимный комментирует...

спасибо, интересный сайт, добавлю в закладки