Что такое AutoRun?
AutoRun-это программа,используемая в некоторых версиях операционной системы Windows,и которая позволяет системе автоматически установить новую программу для пользователя.В отличие от ранних версий ОС и некоторых других ОС программ, которые требуют от пользователя компьютера, активно прилагать усилия,чтобы установить программу на компьютер.Процесс autorun обычно используется для компакт-дисков (CD) или другого оборудования,которое используется для установки программы на компьютер. AutoRun позволяет обнаружить наличие установки на таком оборудовании,а затем позволяет программе быть легко установленной на компьютере.
Иногда используется как синоним понятия AutoPlay, Автозагрузка — это не то же самое. AutoPlay был синонимично в ранних версиях OS программ,но с тех пор он был организован как отдельная функция автоматического воспроизведения медиа-файлов.AutoRun, с другой стороны,для автоматической установки программ и не влияет на диски или другие форматы,которые содержат мультимедийные данные, такие как видео и музыка.
Когда устройство подключено к компьютеру,который содержит программы,такие как компакт-диск вставленные в дисковод на компьютере или флэш-накопитель USB в порт USB на компьютере, затем операционная система компьютера,как правило, обнаруживает,что устройство.Это вызывает уведомление,которое будет отправлено OS, которая, в свою очередь, начинает процесс автозапуска.Процесс начинается с выявления ОС режима автозапуска если он отключен на компьютере;если это так, то процесс должен идти дальше.
Пока автозапуск включен на компьютере,операционная система ищет файл AutoRun в корневом каталоге программы на носителе. Этот файл позволяет OS легко запустить и установить программу. Как правило,на рабочем столе пользователя появляется всплывающее окно,указывающее,что программа будет устанавливаться автоматически,позволяя пользователю отменить установку или одобрить её.Помимо этого,пользователь не обязательно должен взаимодействовать с установкой программы, хотя большинство программ будет также предоставлять лицензионное соглашение с конечным пользователем (EULA), которое должно быть принято, и может позволить пользователю изменить некоторые аспекты установки.
Без этой возможности в ОС компьютера,программы должны быть установлены вручную.Некоторые пользователи предпочитают устанавливать программы вручную, что позволяет им более легко контролировать, куда и где будет установлена программа,и обычно это не требует больших усилий. В ранних версиях OS, тем не менее, преимущества автоматической установки было гораздо больше, и процесс был введён для уменьшения технической поддержки на вопросы клиентов,касающихся установки программ.
[share-locker locker_id=»85307ed3014516443″ theme=»blue» message=»Если Вам понравилась эта статья,нажмите на одну из кнопок ниже.СПАСИБО!» facebook=»true» likeurl=»CURRENT» vk=»true» vkurl=»CURRENT» google=»true» googleurl=»CURRENT» tweet=»true» tweettext=»» tweeturl=»CURRENT» follow=»true» linkedin=»true» linkedinurl=»CURRENT» ][/share-locker]
Его обычно используют в хороших целях. Вы никогда не задумывались, почему при открытии диска с программой или игрой, вставленного в привод, сразу выводится красивое меню с выбором дальнейших действий? А так же обычно иконка диска заменяется на другую, от создателей игры/программы. Так вот, это всё именно из-за этого файла.
И именно из за этих свойств, его так любят вирусы, чтобы прописать в нем путь для запуска своего вредоносного кода.
Обычно файл Autorun.inf содержит в себе следующий код:
Это для примера. Команд для него большое множество, но для общего представления достаточно.
Разумеется все эти названия для примера и они должны уже быть в папке vindavoz.
Ну и для «красоты», можно сделать эти папку и файлы скрытыми.
Правда некоторые антивирусы могут ругаться на такое, но Вы то знаете что в нем ничего опасного.
Файл AutoRun.inf и вирусы
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.
Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.
2) Меняем атрибуты файла на нормальные
Если всё сделано абсолютно правильно, ничего не изменится. В случае, если была допущена ошибка, появится соответствующая информация.
Как удалить вирус AutoRun.inf с помощью реестра
Как попасть в Редактор реестра я уже писал выше. Нам нужна ветка [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)]
NoDriveTypeAutoRun со значением dword:000000ff
Итак, для создания такой папки, нужно создать простой текстовый документ в Блокноте со следующим содержанием:
d0\autorun.inf\vindavoz..\» attrib +s +h %
Ну а для тех, кому не хочется с этим возиться, я приготовил этот файл в архиве. vindavoz.zip 307 b cкачиваний: 1782
Достаточно его скачать, распаковать, перенести файл vindavoz.bat на флешку (диск) и запустить.
Этот «Фокус» не получится на система NTFS, но флешки чаще используют FAT, так что можно пользоваться.
Для общей информативности, можете почитать статью на Википедии про него.
Как создать Autorun на диске или флешке?
Без использования сторонних программ и, не обладая особыми навыками на компьютерах можно выпонять много разных действий.
Как создать Autorun на диске или флешке? Когда вставляешь диск или флешку в компьютер, появляется стандартное окно, где предлагается выбрать действие (например, открыть папку). Это не всегда удобно, например, если диск с игрой или программой, есть смысл добавить на него файл автоматического запуска.
Создание Autorun.inf для флешки и диска за 5 минут
Вы можете сами его создать и добавить в него любую программу, чтобы она загружалась автоматически. Например, если у вас есть флешка с полезной программой, сразу после её подключения, она будет запускаться.
Что такое Autorun.inf? Это обычный текстовый документ, его можно создать в блокноте. Много ума для того, чтобы его заполнить не требуется. Открываете блокнот и добавляете туда вот такие строчки:
Вместо слова программа, необходимо указать название запускаемого файла. Вместо значок, название иконки. Всё, жмете сохранить и не забываете указать формат в названии:
Папки нужны для работы программы, иконка и autorun необходимы для автоматического запуска. Сама программа тоже находится в этой папке.
Если будете добавлять Autorun.inf в корневую папку, а значок или программа будут в других папках, адрес нужно будет указывать полностью (open= Audio/555/программа.exe
Если хотите, чтобы Autorun.inf выполнял дополнительные функции, добавляйте в него ещё пару строчек:
Функция action открывает текст при запуске авторана. Строчка label пригодится, если вам надоело видеть привычную надпись «Съемный диск», она заменяет имя.
Также вместо программы можно запускать и другие файлы. Например, если прописать строчку ShellExecute=страничка.htm (вместо open= программа.exe) будет открываться HTML страничка, добавленная на флешку.
Если нужно создать оригинальный авторан, лучше использовать программу Create Autorun. Через неё можно добавить комментарии к автозапуску, а также настроить окно.
Времена дисков почти прошли, раньше многие создавали Autorun, занимаясь разными видами бизнеса (продавая диски с играми, передавая фотографии клиентам и т.д.).
Сейчас создание авторанов скорее пригодится для повышения удобства, особенно если пользуешься флешками для определенных программ или открытия важных документов.
Как создать Autorun для диска
2013-10-14 / Вр:21:03 / просмотров: 43476
Всем привет!
Сегодня я хочу, поговорит о полезности файла «autorun.inf». Файл «autorun.inf» используют для быстрого запуска программ, игр и других приложений с CD/DVD диска или USB-накопителей.
Как это работает? Каждый раз, когда вы вставляете в комп флешку, дискетку, CD/DVD диск, операционная система Windows в первую очередь будет просматривать в самом корне файл «autorun.inf». Если «autorun.inf» присутствует, тогда операционная система прочитывает и запускает весь код, который был прописан в этом фале.
Итак, «autorun.inf» – это текстовый файл с расширением (.inf), в котором содержатся некоторые команды для автозапуска различных приложений.
Как создать файл «autorun.inf».
2. В Блокноте впишите стандартный код
[AutoRun]
open = имя_программы.exe
icon = имя_значка.ico
Разъяснения:
open – этот параметр указывает, какой файл нужно запускать при подключении диска или флешки
icon – этот параметр служит для отображения иконки (маленькая картинка, логотип) при просмотре дисков через «Мой компьютер».
3. Сохраните в блокноте этот файл как «autorun.inf» в корне флэш или диска.
Если файл и иконку разместить в какую-то папку, например « file », тогда в файле autorun нужно указать к ним путь.
Это будет выглядеть следующим образом:
[autorun]
open = file /имя_программы.exe
icon = file /имя_значка.ico
Давайте посмотрим пример, как я использовал «autorun.inf» для DWD-диска. Моей задачей было сделать автоматический запуск программы с красивой иконкой.
Приступим:
1. Я создал файл «autorun.inf» с таким кодом:
[AutoRun]
open = WPI.exe
icon =icon.ico
2. Все файлы, которые я подготовил для диска вместе с файлом «autorun.inf» я записываю на диск через программу «NERO».
Внимание: файл «autorun.inf», WPI.exe, icon.ico должны находиться в корне диска.
Давайте разберем, все то, что я написал.
Когда я вставлю диск в компьютер, автоматически выполнится загрузка файла « WPI.exe », так как в параметрах « open » я указал « WPI.exe ».
Если зайти и посмотреть на вид диска через «Мой компьютер», можно увидеть красивую иконку, которая тоже загружается автоматически, благодаря параметру « icon ».
Кстати, если вы хотите создать красивые иконки ico, вы можете прочитать об этом тут.
Дополнительные возможности файла «autorun.inf».
Запуск PDF документа и HTML-страницы.
При помощи загрузочного файла «autorun.inf» можно запускать не только приложение «exe», но и файлы PDF или документы HTML-страницы.
Для этого в созданном файле « autorun.inf », пропишите такой код:
[autorun]
open =autorun.bat index.htm
icon =имя_значка.ico
Теперь таким же образом, как вы создавали файл « autorun.inf », создайте файл « autorun.bat », и впишите следующий код:
echo off
@start %1 %2 %3 %4 %5 %6 %7 %8 %9
@exit
Есть другой вариант с использованием команды ShellExecute :
[autorun]
ShellExecute =index.htm
icon = имя_значка.ico
[AutoRun]
open = имя_программы.exe
action =Программа для BlogGood-ru
[AutoRun]
open = имя_программы.exe
action = Программа для BlogGood-ru
icon =имя_иконки.ico
label = Крутая флешка
И напоследок: для создания файла «Autorun» вы можете воспользоваться программой Create Autorun. При помощи программы Create Autorun, вы сможете с легкостью создать автозапуск для дисков. Но это еще не все, к запуску можно присоединить какой-нибудь комментарий и настроить вид окна.
Как использовать AutoRuns для обнаружения и удаления вредоносных программ в Windows
Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.
Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.
Что такое AutoRuns?
AutoRuns — это инструмент Microsoft, который выявляет ПО, настроенное на запуск при загрузке устройства или входе пользователя в свою учетную запись. При включении компьютера часто запускается надежное программное обеспечение. Ярким примером является Outlook, поскольку проверка электронной почты нередко являются первым действием после входа в аккаунт.
Если устройство было взломано, то приникшее на него вредоносное ПО должно «выдержать» перезагрузку. После выключения компьютера вредоносной программе требуется определенный механизм для продолжения работы на устройстве. Для этого могут использоваться встроенные функции Windows, позволяющие запускать программы при загрузке.
AutoRuns: основы
На изображении ниже мы видим, что AutoRuns имеет ряд вкладок, в каждой из которых содержатся данные о механизме автозапуска.
Во вкладке Logon (вход в систему) представлена информация о стандартных местах загрузки для всех пользователей устройства. В частности, здесь указаны места запуска программ, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства: вредоносное ПО часто создает такой ключ, чтобы при загрузке устройства вредоносная программа запускалась автоматически.
Во вкладке Explorer (проводник) отображается информация о следующих элементах:
Shell extensions (расширения оболочки) — это отдельные плагины для Проводника Windows (например, для предварительного просмотра файлов PDF).
Browser Helper Objects (объекты помощника браузера) — модули DLL, выполняющие роль плагинов для Internet Explorer.
Explorer Toolbars (панели инструментов проводника) — это сторонние плагины для Internet Explorer; через панель инструментов осуществляется доступ к сторонней платформе.
Active Setup Executions (выполнение задач через Active Setup) — механизм для однократного выполнения команд для каждого пользователя во время входа в систему.
Во вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.
Во вкладке Scheduled Tasks (запланированные задачи) показываются задачи, которые настроены на запуск при загрузке или входе в систему (это часто используется различными семействами вредоносных программ).
Во вкладке Services (службы) отображаются все службы Windows, автоматический запуск которых запланирован при загрузке устройства.
Драйверы позволяют оборудованию взаимодействовать с операционной системой устройства. Во вкладке Drivers в AutoRuns отображаются все зарегистрированные на устройстве драйверы, кроме отключенных.
Image Hijacks (подмена образов) представляет собой довольно коварный метод, заключающийся в том, что ключ для запуска определенного процесса в реестре Windows на самом деле запускает другой, вредоносный, процесс.
В AppInit DLL показаны библиотеки DLL, зарегистрированные как DLL инициализации приложений.
Во вкладке Boot Execute (выполнение при загрузке) отображаются места запуска, связанные с подсистемой диспетчера сеансов (smss.exe).
Известные библиотеки DLL (Known DLL) в Windows — kernel32.dll, ntdll.dll — позволяют программному обеспечению импортировать определенные функции. Некоторые вирусы устанавливают созданные разработчиком вируса вредоносные библиотеки DLL, причем в места, где вы вряд ли будете искать легитимные библиотеки DLL Windows, например во временных папках.
Winlogon используется, когда пользователь входит в систему Windows. В этой вкладке отображаются библиотеки DLL, регистрирующие уведомления о событиях Winlogon.
Во вкладке Winsock Providers (провайдеры Winsock) показываются зарегистрированные протоколы Winsock. Winsock, или Windows Sockets, позволяет программам подключаться к Интернету. Вредоносное ПО может установить себя как провайдера Winsock, чтобы его было сложно удалить. AutoRuns может отключить провайдера, но не удалить его.
Во вкладке Print Monitors показываются библиотеки DLL, загружающиеся в службу буферизации печати. Вредоносное ПО может установить сюда вредоносную DLL.
Провайдеры Windows Local Security (LSA Providers) поддерживают процессы, связанные с безопасностью и аутентификацией.
Как использовать AutoRuns для выявления подозрительного программного обеспечения
Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?
На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Это распространенный механизм персистентности, используемый вредоносными программами для «выживания» после перезагрузки. Также мы видим пустые ячейки в столбцах Description (описание) и Publisher (издатель). Само по себе отсутствие описания не означает, что файл является вредоносным, а вот отсутствие подписи и издателя являются поводом для расследования.
В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.
Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.
Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание.
Нажав правой кнопкой мыши на интересующий файл, мы можем отправить его на сайт virustotal.com. Virustotal — это база данных вредоносных программ, в которой можно узнать о том, признан ли конкретный файл вредоносным разными поставщиками антивирусов.
После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.
Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:
Google — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?
Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.
Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?
Определите хеш файла и перейдите на сайт virustotal.com. Если вредоносное ПО было установлено от имени администратора, оно может храниться где угодно на диске. Убедитесь, что файл является вредоносным, на virustotal.
Как использовать AutoRuns для удаления вредоносных программ
Во-первых, убедитесь, что вирус запущен на вашем устройстве. Для этого можно открыть диспетчер задач, однако мы рекомендуем использовать Process Hacker — один из инструментов для анализа вредоносных программ. После загрузки нажмите правой кнопкой мыши на значок на рабочем столе и выберите «Запуск от имени администратора».
После запуска Process Hacker можно найти вредоносное ПО, запущенное на устройстве.
Нажав на название вредоносной программы правой кнопкой мыши, мы можем найти файл на диске, выбрав Open file location (открыть расположение файла).
После этого в проводнике Windows будет открыта папка с данным файлом.
Перетащив файл в такой инструмент, как PeStudio, мы можем получить хеш файла.
Bf48a5558c8d2b44a37e66390494d08e
Переход на virustotal и определение хеша покажет, что это RAT (троян удаленного доступа), известный под именем Nanocore.
Чтобы остановить выполнение вредоносной программы, нажмите правой кнопкой мыши на соответствующее имя процесса и выберите «Завершить».
После этого AutoRuns позволяет удалить механизмы персистенции, используемые для запуска вредоносного ПО.
Теперь вирус можно удалить из проводника Windows.
Советы по использованию AutoRuns от Sysinternals
Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения. Если вы выявили и удалили вредоносную программу с помощью описанных методов, стоит принять во внимание следующее:
Имеются ли у вас резервные копии файлов и данных? Если ваше устройство взломали, высока вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий гарантирует возможность восстановления данных устройства, что дает уверенность в полном устранении последствий вторжения.
Какое антивирусное ПО у вас установлено? Если у вас установлен антивирус, но ваше устройство по-прежнему инфицировано, значит, ваши механизмы безопасности не сработали и, возможно, пришло время инвестировать в более надежную систему защиты данных.
Используйте функцию сравнения AutoRuns, чтобы упростить проверку на наличие нежелательного программного обеспечения, которое продолжает действовать на вашем устройстве. Для этого нужно запустить AutoRuns на неинфицированном устройстве, выбрать File (файл) и Save (сохранить).
Теперь вы можете сравнить эти результатами с результатами будущих проверок с помощью AutoRuns. Для этого выберите File (файл), а затем Compare (сравнить).
В примере ниже мы выбираем результаты, сохраненные в файле clean.
После этого AutoRuns будет показывать только новое ПО с механизмом персистенции. Это позволяет исключить легитимные программы, установленные на неинфицированном устройстве.
Чаще всего AutoRuns используется для выявления вредоносных программ, однако в этой статье мы продемонстрировали, как этот инструмент может обнаруживать разные способы, с помощью которых вредоносное ПО пытается продолжить работу на вашем устройстве.
Еще одной привлекательной характеристикой AutoRuns является цена! Есть множество бесплатных инструментов, которые могут помочь вам выполнить не только проверку на наличие вредоносных программ, но и ряд задач системного администрирования, поэтому обязательно прочитайте эту статью, где рассказывается о 21 бесплатном инструменте, которые должен знать каждый системный администратор.
Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, является для вас актуальной, посмотрите, как мы останавливаем кибератаки, а также демонстрацию наших методов реагирования на угрозы.
