Головна  /  Принтери  /  Autorun inf синтаксис. Керуємо автоматичним завантаженням за допомогою Autoruns

Autorun inf синтаксис. Керуємо автоматичним завантаженням за допомогою Autoruns

Принтери
26.08.2023

У мережі інтернет є багато інформації про те, що таке файл Autorun.infі яку шкоду він завдає.
У цій статті ми спробуємо підкорити і навіть, більше того, використати з метою цього «звіра».
Отже, що потрібно знати про файл Autorun.infі де місця його проживання?

Насамперед, сила його полягає в тому, що він повинен перебувати в корені диска, тільки тоді він може включити свої «чарівні» можливості.
Операційна система Windowsналаштована так, що кожного разу, коли ми відкриваємо диск , флешку , дискету ..., роблячи подвійний клік, система переглядає: чи немає випадково в корені диска того самого файлу Autorun.inf . І якщо його знайдено, тоді операційна системазапускає на виконання весь код, прописаний у цьому файлі .
Autorun.infнічого надприродного не представляє, це - простий текстовий документ , який має розширення .inf» і включає деякі команди.
Думаю, кожен бачив роботу такого файлу. Прикладом його роботи може бути будь-який ліцензійний диск із програмою або грою, включаючи який ми бачимо вікно запуску програми, яка запустилася як наслідок присутності файлу Autorun.inf. Початковою його місією, або однією з місій, був запуск програм на дисках для запуску установки ігор, установки програм і так далі.

Як змусити працювати цей файл на нас?
Що ж усередині?

Отже, кожен файл Autorun.infдля повноцінної роботиповинен мати приблизно таку структуру:
open=MyProgProgram.exe

Параметр openмістить команду або шлях до файлу програми, яка запускатиметься при підключенні диска або при відкритті подвійним кліком. Це і є один із головних параметрів даного файлу.
Записавши файл Autorun.infв корінь диска або змінного носіяінформації, а також програму, яку він запускатиме, можна автоматизувати деякі процеси під час роботи.

У меню автозапуску можна відобразити будь-який текст запуску і робиться за допомогою параметра action:


open=MyProgProgram.exe
action=Програма Для більш ефектного візуального відображення у провіднику можна використовувати параметр icon, що у вікні перегляду дисків (Мій комп'ютер) дасть можливість відображати наш носій якимось малюнком (іконкою).
Вказавши параметр icon, після знаку « = » прописуємо шлях до файлу іконки:
open=MyProgProgram.exe
action=Програма
icon=MyProgIcon.ico Якщо хочеться, наприклад, щоб замість напису « Знімний диск до» був інший напис - це можна зробити, використовуючи параметр labelу файлі Autorun.inf:
open=MyProgProgram.exe
action=Програма
icon=MyProgIcon.ico
label=Стоппп Файл Autorun.infмає багато й інших параметрів, але для нас поки що цього достатньо.
Тепер запускаємо програму « Блокнот», прописуємо там:
open=MyProgProgram.exe
action=Програма
icon=MyProgIcon.ico
label=Стоппп

вставляючи після знака « = » свої шляхи та дані, які повинні запускатися та відображатися щоразу, коли ми підключаємо флешку або диск .

Тепер натискаємо «Зберегти», вибираємо «Тип файлу» → «Всі файли», прописуємо ім'я Autorun.inf, вибираємо місце зберігання та натискаємо кнопку зберегти .
Після цього записуємо наш файл разом з програмою та іконкоюдиск або інший носій. Єдина умова – щоб файл Autorun.infзнаходився в корені диска.

Виберіть програмне забезпечення

Larston"S Black Book on Corporate Security Registry Firewall MSDN Disc 0235 G-Tech Installation CD GTech Microsoft Outlook Dead Space 3 Limited Edition Visual Script XML VAIO System Recovery CD: PCV-RZ20P Series CD#3 VAIO System Recovery CD: PCV-RZ20P Series CD #2 MagicISO Final Draft AV Final Draft AV Math Missions to Spectacle City Arcade SaveMyFiles Digital Giggles SmartDraw Communicate Visually Rosetta Stone Level 1 & 2 German Maui Wowee Backspin Billiards Poser 6 Will Maker Plus 2009 Estate Planning Software WillMaker Plus 2007 WebWatcher 6000 Sound Clips Dora the Explorer World Adventure Defender Pro Utilities Font pack 3 The Egyptian Prophecy PhotoFile It's the Big Game, Charlie Brown! Quake 4 PhotoBackup H&R Block Deduction Pro 1500 Fonts with Font Installer Quicken Will Maker Plus 2008 Adventure Math Missions: The Race to Spectacle City Arcade Command & Conquer Tiberian Sun SaveMyFiles Digital Giggles NTI Backup Now EZ SmartDraw Communicate Visually Rosetta Stone Level 1 & 2 Німеччина 2007 Quicken WillMaker Plus 2011 WillMaker plus APB Reloaded Avast! Pro Antivirus 6 Quickstudy Physics 2 WebWatcher 6000 Sound Clips Dora the Explorer World Adventure Professor Teaches Office Font pack 3 The Egyptian Prophecy PhotoFile It's the Big Game, Charlie Brown! Quake 4 1500 Fonts with Font Installer Quicken Will Maker Plus 2008 Estate Planning Software Wedding Planner Software до Плану в Lifetime Together Wedding Planner National Geographic Herod's Lost Tomb Final Draft AV Math Missions The Amazing Arcade Adventure Math Missions: The Race to Spectacle City Arcade Digital Maui Wowee Backspin Billiards WillMaker Plus 2007 Quickstudy Physics 2 6000 Sound Clips Dora the Explorer World Adventure Font pack 3 Єгипетська професіонала Це великий грав, Charlie Brown! Підприємство Wedding Planner Math Missions The Amazing Arcade Adventure G-Tech Installation CD GTech Installation CD Отримайте closer Look - The Mail Handlers Benefit Plan Math Missions The Amazing Arcade Adventure Math Missions: Race to Spectacle City Arcade 6000 Sound Clips Defender Pro Мистецтво Arcade Adventure Math Missions: The Race to Spectacle City Arcade Command & Conquer Tiberian Sun Digital Giggles Maui Wowee Backspin Billiards WillMaker Plus 2007 6000 Sound Clips Defender Pro Utilities Font pack 3 H&R Block Deduction Pro 1500 Fonts with Font Installer Math Missions: The Race to Spectacle City Arcade Math Missions: The Race to Spectacle City Arcade Command & Conquer Tiberian Sun SaveMyFiles NTI Backup EZ SmartDraw Communicate 2011 WillMaker plus Living Trust Maker Avast! Pro Antivirus 6 WebWatcher Professor teaches Windows Vista Font pack 3 PhotoFile Quicken Legal Business Pro Contracts & Forms 2010 1500 Fonts with Font Installer Quicken Will Maker Plus 2008 54 Mbps Wireless USB 2.0 Adapter WG111v2 Resource CD NTI Backup Now EZ NTI Backup Now EZ AnyTime Organizer Deluxe Maker plus APB Reloaded WebWatcher Professor Teaches Windows Vista Professor Teaches Office FIFA 14 Rosetta Stone Level 1 & 2 German Avira Internet Security 2012 Avira Antivirus Premium 2012 Avira Internet Security 2012 Avira Antivirus Premium 2012 Avira Internet Security 2012 Avast! Pro Antivirus 6 Avira Antivirus Premium 2012 Avira Internet Security 2012 Avira Antivirus Premium 2012 Avira Internet Security 2012 APB Reloaded Avast! Pro Antivirus 6 Avira Antivirus Premium 2012 Avira Internet Security 2012 Avira Antivirus Premium 2012 AnyTime Organizer Deluxe APB Reloaded Quickstudy Physics 2 Dora the Explorer World Adventure 6000 Sound Clips Dead Space 3 Limited Edition Dead Space 3 Limited Edition Dead Space 3 Limited Edition TITANFALL TITANFALL TITANFALL Defender Pro Utilities Defender Pro Utilities Defender Pro Utilities H&R Block Deduction Pro Defender Pro Utilities Defender Pro Utilities FIFA 14 Cubase Studio 5

Файл в Windows, що знаходиться в корені диска.
Щоразу, коли Ви відкриваєте диск (локальний, портативний чи той, що у приводі) або USB флешку(Частий випадок) система відразу перевіряє його на наявність даного файлу. Якщо він є - вона дивиться, що там прописано і запускає.
Це автозавантажувальний файл, який вказує, що робити системі при запуску диска.

Його зазвичай використовують із гарною метою. Ви ніколи не замислювалися, чому при відкритті диска з програмою або грою, вставленого в привід, одразу виводиться гарне менюіз вибором подальших дій? А також зазвичай іконка диска замінюється на іншу, від творців гри/програми. Так ось, це все саме через цей файл.

І саме через ці властивості, його так люблять віруси, щоб прописати в ньому шлях для запуску свого шкідливого коду.

Що являє собою файл Autorun.inf ?
Це звичайний текстовий документ (щоправда він прихований), у якому прописаний код для запуску програм. І його також можна відкрити і редагувати за допомогою стандартного Блокнота.

Зазвичай файл Autorun.inf містить наступний код:


shellexecute=1
Action=2
Icon=3
Label=4


Де:
1 - це шлях до програми
2 - ім'я програми
3 - значок
4 - назва (мітка) диска

Це для прикладу. Команд для нього безліч, але для загального уявлення достатньо.

Як створити файл Autorun.inf для автозапуску?
Це свого роду посібник з витівки

1) Створюємо текстовий документ з назвою Autorun.
2) Створюємо папку vindavoz .
3) Відкриваємо наш Autorun та вставляємо туди


open=vindavoz\MyProg.exe
action=vindavoz\Прога
icon=vindavoz\MyIcon.ico
label=vindavoz\Віндавоз


4) Зберігаємо його з розширенням .inf
5) Закидаємо файл та папку в корінь диска

У результаті має вийде таке:
При завантаженні диска (або флешки) іконка буде та, яка MyIcon.ico. Назва диска буде Віндавоз. І одразу відкриється MyProg.exeз назвою в меню автозапуску Прога.

Зрозуміло всі ці назви для прикладу і вони вже повинні бути в папці vindavoz.
Ну і для "краси", можна зробити ці папку та файли прихованими.

Також можна просто зробити назву диска та іконку. Здивувати друзів тим, що Ваша флешка матиме своє ім'я - це не нове. А ось коли ще й іконка буде іншою – це вже фокус
Зміст файлу AutoRun.inf тоді буде таким:


icon=vindavoz\MyIcon.ico
label=vindavoz\Віндавоз

Правда деякі антивіруси можуть лаятися на таке, але Ви знаєте що в ньому нічого небезпечного.

Файл AutoRun.inf та віруси
В даний час файл autorun.inf широко використовується для поширення комп'ютерних вірусівчерез flash-накопичувачі та мережні диски. Для цього автори вірусів прописують ім'я файлу з шкідливим кодом у параметр open. При підключенні зараженого flash-накопичувача Windows запускає записаний у параметрі "open" файл на виконання, внаслідок чого відбувається зараження комп'ютера.

Що знаходиться в оперативної пам'ятізараженого комп'ютера вірус періодично сканує систему з метою пошуку нових дисків, і при їх виявленні (при підключенні іншого flash-накопичувача або мережного диска) створює на них autorun.inf з посиланням на копію свого файлу, що виконується, забезпечуючи таким чином своє подальше поширення.

Як видалити файл AutoRun.inf?
Зазвичай вірус всіляко намагається захиститися: робить себе прихованим, не видаляється, не дає зайти у флешку і т.п.

Для того, щоб видалити цю пакість вручну, скористаємося командним рядком (win+r-> Вводимо cmd).
1) Переходимо на заражену флешку.

g:


У мене флешка під буквою g відповідно замість неї Ви повинні написати свою букву.

2) Змінюємо атрибути файлу на нормальні

attrib -a -s -h -r autorun.inf


Якщо все зроблено правильно, нічого не зміниться. У випадку, якщо було допущено помилку, з'явиться відповідна інформація.

3) Видаляємо вірус

del autorun.inf

Як видалити вірус AutoRun.inf за допомогою
Як потрапити до Редактора реєстру я вже писав вище. Нам потрібна гілка


і видаляємо у ньому підрозділ Shell. Можна так видалити все в розділі MountPoints2, але тоді видалиться інформація про всіх носіїв. Вирішувати вам.

Також можете скористатися програмою, яка блокує створення файлу autorun.inf і унеможливлює автозапуск будь-яких шкідливих програм. Створює спеціальну папкута файл, який не займає місця на диску.
Ще пара програм, які можуть Вам допомогти, як я вважаю, це і .

Як захиститися від вірусів AutoRun.inf?

Звичайно ж Вимкнути автозапуск!
Трохи про це я писав у статті, зокрема у першій раді. У ньому було описано як вимкнути автозапуск стандартними засобами Windows, а зараз я опишу як це зробити "жорстко" за допомогою Редактора реєстру.
Відкриваємо редактор реєстру ( win+r->вводимо regedit) і йдемо по гілці HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorerу якій створюємо параметр DWORD (32 Біта)


NoDriveTypeAutoRun зі значенням dword:000000ff

А тепер зробимо захист ще міцнішим
Справа в тому, що ОС Windows не дозволяє створювати файли і папки з однаковими іменами, тому що для неї різниця між файлом і папкою полягає тільки в одному біті.

Якщо хтось зі мною спробує сперечатися в цьому - у будь-якому місці створіть папку, а потім файл з таким же ім'ям .
Саме з ім'ямбез розширення.


Тому якщо існує папка autorun.inf, файл з таким ім'ям створюватися вже не зможе. Тому початковий варіант – створити файл або папку з назвою autorun.inf. Вірус побачить, що така назва вже є, образиться і піде ні з чим.
Це має бути правдою, але т.к. є "інтелектуальні" віруси, які зрозуміють, що існує файл або папка з таким ім'ям і зможуть запросто видалити створену папку (файл) і записати свій файл autorun.inf, який запускатиме віруси.
Для вирішення цієї проблеми ми створимо супер-пупер невдалу папку. Яку видалити можна буде лише якщо відформатувати флешку.

Отже, для створення такої папки потрібно створити простий текстовий документ у Блокноті з наступним змістом:

attrib -s -h -r autorun.* del autorun.* mkdir "\\?\%~d0\autorun.inf\vindavoz..\" attrib +s +h %~d0\autorun.inf


Натискаємо Файл - Зберегти як...і вводимо будь-яку назву, але головне щоб було .bat
Наприклад vindavoz.bat.
Потім копіюємо цей файл на флешку та запускаємо.
У результаті Ви повинні отримати папку autorun.inf всередині якої лежатиме невдалена папка vindavoz


Ну а для тих, кому не хочеться з цим поратися, я приготував цей файл в архіві.
Достатньо його завантажити, розпакувати, перенести файл vindavoz.bat на флешку (диск) та запустити.

До речі, якщо папка після цього залишилася видимою – змініть їй атрибут на прихований, клацнувши на ній ПКМ та вибравши Властивості


Цей "Фокус" не вийде на система NTFS, але флешки частіше використовують FAT, тому можна користуватися.

P.S.
Навіщо робити папку у папці? Та тому що папка autorun.inf служить як би "індикатором". І якщо після блукань комп'ютерами вона до Вас потрапила і атрибут у неї стоїть не прихований - значить віруси вже хотіли її видалити і прописатися в ній для чого і змінив атрибути. Можете сміливо шукати незнайомі приховані файли та видаляти їх. Це будуть віруси.

Флешки - основне джерело зараження для
комп'ютерів, які не підключені до Інтернету
- Wikipedia

У наш час мало хто думає про таке поняття, як комп'ютерна безпека. Не дивно, адже ця тема досить велика і більшість матеріалу на цю тему розрахована на підготовленого користувача. Але варто пересічному користувачеві зіткнутися з проблемою вірусів (наприклад, поява файлу autorun.inf на флешці), як відразу починаються активні пошуки методів захисту та боротьби з ними.

У цій статті буде розглянуто:

Призначення файлу autorun.inf

Файл autorun.inf(Від англ. auto– автоматичний та run– запуск) використовується в операційній системі Microsoft Windowsдля автоматичного запускупрограм з носіїв, що дозволяє значно спростити дії користувача при встановленні програм та драйверів з накопичувачів.

Файл автозапуску можна зустріти практично на будь-якому диску з програмним забезпеченнямабо драйвером до будь-якого пристрою. Крім цього він виконує функцію автозапуску меню на флешках із встановленими або портативними утилітами.

Структура файлу autorun.inf поділена на блоки, параметри та значення. Файл містить параметри, що описують диск, такі як: мітка диска, іконка диска, файл, що запускається, і деякі інші специфічні параметри. Зокрема, для автоматичного запуску будь-якої програми з флешки при її підключенні до комп'ютера у файлі autorun.inf буде достатньо двох рядків:


open = ім'я_файлу

Де - Ім'я блоку, open- Ім'я параметра, ім'я файлу– містить шлях до файлу програми, яка буде автоматично запущена.

Варто відмітити що worm win32 autorunздатний обфусцировать (заплутувати) вміст файлу autorun.inf, ускладнюючи аналіз файлу. Однак, програма захисту флешки без проблем розпізнає вміст файлу автозапуску, над яким попрацював autorun черв'як.

Вірус autorun

Спочатку невинне призначення файлу автозапуску згодом стало використовуватися вірусописачами як ефективний спосібпоширення worm win32 autorun. Сам по собі файл autorun.inf не містить код вірусу, що виконується, він є лише засобом запуску autorun черв'яка.

Вірусом autorunназивається такий тип вірусів, які розповсюджуються за допомогою копіювання виконуваного файлу (своєї копії) на знімні носії та прописуючись у файл автозапуску autorun.inf, таким чином заражаючи їх. Зараженню піддаються абсолютно всі зовнішні накопичувачі (флешки, mp3-плеєри, цифрові камери та інші пристрої), які не захищені будь-яким чином від запису на диск (апаратний захист, або вже захищений файл або папка autorun.inf, що вже існує в корені диска) .

У Windows XP autorunза замовчуванням запускається зі знімних носіїв. Існує безліч способів усунення цієї вразливості: від встановлення офіційних латок (оновлень) від Microsoft до застосування різних налаштувань. Програма захисту флешки від вірусів Antirun при установці автоматично усуває цю вразливість. Також у налаштуваннях програми є відновлення функції автозапуску.

У Windows 7 autorunобробляється трохи інакше: за замовчуванням автозапуск зі знімних носіїв вимкнений, проте це не забезпечує захист від autorun вірусів з флешок. Тому для захисту від worm win32 autorunрекомендується використовувати програму Antirun разом із основним антивірусом.

Ознаки зараження флешки

Наявність файлу автозапуску на CD диску з грою означає, що на диску є інсталятор гри. Аналогічно, як і на CD диску з фільмом є меню з можливістю встановити кодеки для перегляду відео. Однак, присутність файлу autorun.inf на флешці(mp3-плеєрі, цифрової камериабо іншим цифровому носії) вже викликає підозру і з великою часткою ймовірності вказує на присутність autorun черв'якана флешці.

Розглянемо типовий приклад зараженого знімного диска:

На малюнку явно видно, що на знімному диску(G:) присутній прихований файл autorun. infі прихована папкаRECYCLER. Аналізуючи вміст файлу автозапуску, стає зрозуміло, що при автозапуску знімного носія запускається файл jwgkvsq.vmx(worm win32 autorun) з папки RECYCLER.

Зрозуміло, для перегляду прихованих файлів та папок у Провіднику, необхідно поставити відповідну галочку в налаштуваннях виду папок (пункт Сервіс у меню Провідника – Параметри папок – Вид).

Не завжди файл автозапуску є ознакою зараження вірусом worm win32 autorun. Можливо, на флешці є автоматичне меню з набором портативних програм, або файл autorun.inf вказує тільки на іконку пристрою.

Якщо при спробі відкриття файлу autorun.inf система видає повідомлення про те, що доступ до файлу неможливий, швидше за все система вже заражена і доступ до файлу заблокував worm autorun.

Розглянемо роботу антивірусної утиліти Antirun у цьому випадку. При підключенні пристрою, зараженого вірусом autorun (файл jwgkvsq.vmx), програма Antirun попередить користувача про існуючу загрозу у спливаючому діалозі в області над системним треєм:

На даному діалозі видно, що Antirun розпізнав файл, що автоматично запускається ( jwgkvsq.vmx) і запропонував його видалити. Також з цього діалогу можна безпечно відкрити диск, не запускаючи файл вірусу, переглянути інформацію про диск або безпечно вийняти пристрій.

Ознаки зараження системи

Як правило, більшість autorun вірусів, при своїй діяльності, блокують ті чи інші функції системи, за допомогою яких користувач може якось протистояти загрозі. Найголовніші з них:

  1. При спробі запустити диспетчер завдань WindowsВиникає повідомлення " Диспетчер завдань вимкнено адміністратором».
  2. При спробі запустити редактор реєстру WindowsВиникає повідомлення " Редагування реєстру заборонено адміністратором системи».
  3. На дисках створюється прихований файл autorun.inf, а при видаленні створюється знову.
  4. Неможливо відкрити або видалити файл autorun.inf. Windows повідомляє, що доступ до файлу неможливий. Це типовий прояв активності хробака worm win32 autorun.
  5. При спробі відкриття диска відкривається діалог Виберіть програму, щоб відкрити цей файл»
  6. При спробі відкриття диска він відкривався в окремому вікні;
  7. З меню Провідника Сервісзник пункт Властивості папки.

Джерела зараження

Широке розповсюдження worm win32 autorunотримав завдяки повсюдному використанню зовнішніх накопичувачів. Зараз практично у кожного користувача ПК є флешка (або навіть кілька), цифровий плеєр або камера з картою пам'яті. Використовуються ці пристрої на різних комп'ютерахБільшість яких навіть не захищені антивірусом, не кажучи вже про актуальні бази вірусних сигнатур.

Джерелом зараження вірусом worm win32 autorun може послужити будь-який заражений комп'ютер. Це може бути:

  • фотолабораторія, куди ви віддали флеш-карту для друку фотографій;
  • Робочий комп'ютер;
  • комп'ютер друзів;
  • інтернет-кафе та інші публічні місця.

Також відомі випадки, коли нова флешка, куплена в магазині, вже містила worm win32 autorun.

На закінчення варто додати, що за досить довгу історію існування autorun вірусів і масу методів захисту і профілактики, що з'явилася за цей час, проблема все ще залишається актуальною. Далеко не всі провідні на ринку комплексні антивірусні рішення здатні грамотно впоратися з цим завданням. Для надійного захисту від autorun вірусів рекомендується використовувати антивірусну утиліту Antirun разом із основним антивірусним комплексом.

У наступних статтях будуть розглянуті методи захисту системи та зовнішніх пристроїв(флешок, mp3-плеєрів, камер тощо) від вірусів autorun, які використовує у своїй роботі антивірусна програма Antirun.