суббота, 11 февраля 2012 г.

Заглушки от вирусов

  Как затруднить распространение неизвестных вирусов?
  Конкретный пример - в сети есть вирус, но антивирусы его не видят. Вирус сильно новый. Отослать образец в антивирусные компании, это понятно выход. Но он займет некоторое время. А что делать если надо как-то защититься сразу. Хочу поделиться способом.
  У кого-то на просторах инета подсмотрел способ как не дать создаться файлу в конкретной папке. Лучше пояснить на примере.
  Если я не хочу, чтобы в папке Windows появлялся файл svchost.exe (зачем он там, когда стандартный svchost.exe лежит в system32), то надо там создать папку с таким же именем svchost.exe И для верности назначить ей какой-нибудь аттрибут. Типа ¨скрытый¨ и ¨только для чтения¨. Данный способ прекрасно работает, если имена файлов у вируса не изменяются от компа к компу. При заражении вирус может записать себя в реестр, но создать свой файл уже нет. Вирусописатели это пока не предусмотрели. После заражения максимум что происходит - открывается пустая папка. Это все же лучше чем запуск вируса.
  Далее приведен скрипт, который создает во всех местах куда лезет зараза такие папки-заглушки. Его можно сохранить в файл prezervativ.cmd и одним кликом защитить ПК. Или запускать из Active Directory для всей сети.
  Предполагается, что дисков три C: D: E:. Если их меньше ничего страшного не произойдет. Появится сообщение об ошибке и скрипт дальше продолжит работу. В корне этих дисков появятся папки autorun.inf autorun.bat autorun.exe. В папке Windows создаются x.exe и x. В system32 те же autorun -ы, иксы и explorer.exe
  И можно еще усилить защиту ограничив на наши папки права на NTFS командой cacls
------------------------------------------------------------------------------------------------------------------------------
@echo off
echo Заглушка от вирусов (c) Ymka email:Pyshistij.Ymka@gmail.com
c:
cd \
attrib -S -H -R autorun.* > nul
del /Q autorun.* > nul
mkdir autorun.inf > nul
attrib +H +R autorun.inf > nul
mkdir autorun.bat > nul
attrib +H +R autorun.bat > nul
mkdir autorun.exe > nul
attrib +H +R autorun.exe > nul

d:
cd \
attrib -S -H -R autorun.* > nul
del /Q autorun.* > nul
mkdir autorun.inf > nul
attrib +H +R autorun.inf > nul
mkdir autorun.bat > nul
attrib +H +R autorun.bat > nul
mkdir autorun.exe > nul
attrib +H +R autorun.exe > nul

e:
cd \
attrib -S -H -R autorun.* > nul
del /Q autorun.* > nul
mkdir autorun.inf > nul
attrib +H +R autorun.inf > nul
mkdir autorun.bat > nul
attrib +H +R autorun.bat > nul
mkdir autorun.exe > nul
attrib +H +R autorun.exe > nul

%SystemDrive%
cd %windir%\system32
mkdir  csrcs.exe
attrib +H +R csrcs.exe
attrib -S -H -R autorun.* > nul
del /Q autorun.* > nul
mkdir autorun.inf > nul
attrib +H +R autorun.inf > nul
mkdir autorun.bat > nul
attrib +H +R autorun.bat > nul
mkdir autorun.exe > nul
attrib +H +R autorun.exe > nul
mkdir x.exe
attrib +H +R x.exe
mkdir x
attrib +H +R x
mkdir explorer.exe
attrib +H +R explorer.exe

cd %windir%
mkdir x.exe
attrib +H +R x.exe
mkdir x
attrib +H +R x

rem Preservitive done
pause