Может ли флешка заразиться вирусом. Как открыть скрытые файлы на флешке. Как с флешки убрать вирус, который создает ярлыки, вручную

Современные антивирусы уже научились блокировать autorun.inf, который запускает вирус при открытии флешки.
По сети и от флешки к флешке довольно давно разгуливает новый тип вирусов одного семейства, попросту — очередные трояны. Заражение ими можно сразу обнаружить невооруженным взглядом без всяких антивирусов, главный признак — это все папки на флешке превратились в ярлыки .

Если на флешке очень важные файлы, первым делом Вы броситесь открывать все папки (ярлыки) по очереди, чтобы удостовериться в наличии файлов — вот это делать, совсем не стоит!

Проблема в том, что в этих ярлыках записано по две команды, первая — запуск и установка вируса в ПК, вторая — открытие Вашей драгоценной папки.

Чистить флешку от таких вирусов будем пошагово.

Шаг 1. Отобразить скрытые файлы и папки.

Если у Вас Windows XP, то проходим путь: «Пуск-Мой компьютер-Меню Сервис-Свойства папки-Вкладка вид»:

На вкладке «Вид» отыскиваем два параметра и выполняем:

1. Скрывать защищенные системные файлы (рекомендуется) — снимаем галочку
2. Показывать скрытые файлы и папки — устанавливаем переключатель.

Если у Вас Windows 7, нужно пройти немного другой путь: «Пуск-Панель Управления-Оформление и персонализация-Параментры папок-Вкладка Вид».


Вам нужны такие же параметры и их нужно включить аналогичным образом. Теперь Ваши папки на флешке будет видно, но они будут прозрачными.

Шаг 2. Очистка флешки от вирусов.

Зараженная флешка выглядит так, как показано на рисунке ниже:


Чтобы не удалять все файлы с флешки, можно посмотреть, что запускает любой из ярлыков (обычно они запускают один и тот же файл на той же флешке). Для этого нужно посмотреть свойства ярлыка, там Вы найдете двойной запуск — первый открывает Вашу папку, а второй — запускает вирус:

Нас интересует строка «Объект». Она довольно длинная, но в ней легко найти путь к вирусу, чаще всего это что-то типа 118920.exe в папке Recycle на самой флешке. В моем случае, строка двойного запуска выглядела так:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\6dc09d8d.exe &&%windir%\explorer.exe %cd%support

Вот тот самый путь: RECYCLER\6dc09d8d.exe — папка на флешке и вирус в ней.
Удаляем его вместе с папкой — теперь клик по ярлыку не опасен (если вы до этого не успели его запустить ).

Шаг 3. Восстановление прежнего вида папок.

1. Удаляем все ярлыки наших папок — они не нужны.
2. Папки у нас прозрачные — это значит, что вирус загрузчик пометил их системными и скрытыми. Просто так эти атрибуты Вам не отключить, поэтому нужно воспользоваться сбросом атрибутов через командную строку.

Для этого есть 2 пути:

Открываем «Пуск»-Пункт «Выполнить»-Вводим команду CMD-нажимаем ENTER. Откроется черное окно командной строки в ней нужно ввести такие команды:

• cd /d f:\ нажать ENTER, где f:\ — это буква нашей флешки (может отличатся от примера)
• attrib -s -h /d /s нажать ENTER — эта команда сбросит атрибуты и папки станут видимыми.

1. Создать текстовый файл на флешки.

2. Записать команду attrib -s -h /d /s в него, переименовать файл в 1.bat и запустить его.

3. В случае, когда у Вас не получается создать такой файл — Вы можете скачать мой: .

Если файлов много, то возможно потребуется время на выполнение команды, иногда до 10 минут!

4. После этого, можно вернутся к первому шагу и восстановить прежний вид папок, то есть, скрыть системные скрытые файлы.

Как проверить является ли Ваш ПК переносчиком вируса?

Если у Вас есть подозрение, что именно Ваш ПК разносит этот вирус по флешкам, можно просмотреть список процессов в диспетчере задач. Для этого нажмите CTRL+ALT+DEL и поищите процесс с названием похожим на FS..USB…, вместо точек — какие либо буквы или цифры.

Источник данного процесса не удаляется ни AviraAntivir, ни DrWeb CureIT, ни Kaspersky Removal Tool.

Я лично удалил его F-Secure пробной версией, а прячется он в виде драйвера и отыскать его можно с помощью утилиты Autoruns.

Если Вы удаляете вирус с флешки, а папки становятся ярлыками снова?

Скажу сразу, у меня такой ситуации не было. Как лечить точно — я не знаю. Выходов из ситуации я вижу три:

• сносим Windows (1,5-2 часа, самый быстрый способ);
• устанавливаем F-Security, Kaspersky, Dr.Web (пробные версии) по очереди и штудируем компьютер «полными проверками» пока не найдём вирус (часа 3-4 обычно, зависит от мощности ПК и количества файлов);
• записываем DrWeb LiveCD на диск или флешку, загружаемся с него и штудируем компьютер.

• F-Secure Online Scanner (попросит запустить модуль Java, нужно согласиться)

Можете скачать пробные версии этих антивирусов на 1 месяц, обновить им базы и проверить ПК с помощью них.

Вроде бы все, обращайтесь — всегда отвечу, иногда с задержкой.

«Могу добавить что есть и такие вирусы как Sality (Sector XX – где ХХ цифры вроде 05, 15, 11, 12 это модификации, кто их создаёт непонятно) портит исполняемые exe файлы… с такими вирусам изобрёл свой способ борьбы с использованием всё того же Dr.Web CureIt! имея на руках WinXPE система записанная на 700 метровую CD-R… подгрузка системы с диска и использование не памяти жесткого, а оперативной.

Работает отлично. Диск вставил загрузку с диска включил, сунул флешку с предварительно записаным “СВЕЖИМ” CureIt!… и вуаля.. прогнал весь жёсткий на наличие гадости. что самое интересное во время данного процесса как и с Life CD от Веба вирусы “спят” т.е. система не загружена, да и как то удобней с оперативной.

Некоторые пользователи сталкиваются с неприятной ситуацией: файлы, которые были на флешке, после подключения к компьютеру пропадают. Если пользователь их не стирал самостоятельно, то вывод один – на флешке есть вирус, который не удалил, а только скрыл данные. Информацию можно восстановить несколькими способами.

Отображение скрытых файлов

После обнаружения пропажи информации первым делом нужно настроить в системе отображение скрытых файлов.

Откройте съемный диск и посмотрите, какие данные теперь отображаются на флешке. Вероятнее всего вы увидите ярлыки и неизвестные исполнительные файлы вируса.

Удаление вируса

После настройки отображения необходимо удалить с флешки вирус, который скрывает данные. Для проверки накопителя используйте установленный антивирус или лечащие утилиты типа Dr. Web CureIT и Kaspersky Virus Removal Tool.

Провести чистку флешки можно и вручную, удалив с носителя неизвестные файлы с расширением *.exe и ярлыки.

Восстановление информации

После настройки системы и удаления вируса можно приступать к восстановлению утраченных данных. Обычно вирус просто меняет атрибуты файлов, делая их скрытыми. Ваша задача – восстановить атрибуты к исходному состоянию или вовсе их сбросить, чтобы данные отображались в проводнике Windows. Попробуем восстановить атрибуты через командную строку:

Процесс можно автоматизировать, создав BAT-файл. Скопируйте в блокнот текст такого вида:

echo Please wait…

attrib -s -h -r -a /s /d

Назовите текстовый документ view и сохраните его с расширением *.bat – получится view.bat. Перенесите полученный файл на съемный диск, с которого пропали данные. Запустите Bat-файл. После изменения атрибутов данные, которые якобы удалил вирус, будут возвращены на съемный диск.

Работа с FAT32

Если у флешки установлена файловая система FAT32, то вирус мог пойти дальше и не просто спрятать данные, а переместить их в скрытый каталог E2E2~1. В таком случае порядок восстановления информации после её потери немного поменяется:

После выполнения этих действий на флешке появится папка Folder; в ней будут файлы, которые вам удалось восстановить.

Восстановление через файловые менеджеры

Если после работы с командной строкой данные на флешке восстановить не удалось, то попробуйте найти их через файловые менеджеры. Сначала используйте Total Commander:

Если Total Commander не помогает, используйте для изменения атрибутов программу Far Manager. У неё не такой удобный интерфейс, но свои функции она выполняет исправно:

После отключения лишних атрибутов данные в окне файлового менеджера поменяют цвет с темно-синего на белый. Это значит, что файлы больше не скрыты, и вы можете открыть их на флешке.

Специальные утилиты

Так как проблема пропажи файлов после действия вируса достаточно распространена среди пользователей, есть специальный софт, позволяющий быстро восстановить информацию.

08.11.2014 04.03.2015

Флешка не заменимое устройство для хранения и переноса информации, имеется практически у каждого пользователя персонального компьютера.

Для обеспечения безопасности компьютера, необходимо позаботится о защите ваших флеш накопителей от заражения вирусами, а также подготовить компьютер для не возможности проникновения вирусов находящихся на уже зараженной флешке.

Какие вредоносные программы могут попасть на флешку?

Флешка, это такой же носитель информации, как и жесткий диск, только мобильный. По этой причине, на флешке могут быть те же вирусы, что и на компьютере. В разделе «WiKi антивирус » можно посмотреть информацию об основных компьютерных вирусах.

Основным способом заражения компьютера через флешку, является автозапуск при подключении флешки, при помощи файла Autorun.inf. Как защитить флешку от изменения этого файла, можно посмотреть .

Давайте разберем еще один способ защиты флешки от вирусов - при помощи программ. Представленные ниже программы, помогут защитить флешку от заражения, а в случаях, когда флешка уже заражена вирусом, имеет не нужные файлы, или же вирус скрыл ее содержимое, помогут исправить эти проблемы. После этого разберем программы для защиты компьютера от зараженных флешек.

Проверить флешку на вирусы можно любым антивирусным сканером с этой странице . При запуске сканирующей утилиты, необходимо выбрать букву нашего накопителя и запустить сканирование. Если сканер найдет вирусы, удалите их и воспользуйтесь рекомендациями на этой странице, чтобы в будущем избежать заражения флешки вирусами.

Защита и чистка флешки от вирусов.

1.Самый простой способ уберечь флешку от заражения вирусами, это запретить записывать на нее любую информации. В этом нам поможет маленькая утилита . Запускается программа только с внешних накопителей, и имеет только де кнопи - «заблокировать» и «разблокировать»

2. - еще одна крошка для защиты флешек. Принцип защиты такой - при ее запуске, программа создает на накопителе файл dummy.file, которые занимает все свободное пространство, и программы вирусы просто не имеют физической возможности попасть на вашу флешку. Для того, чтобы вернуть занятое пространство, просто удалите этот файл.

3. - с помощью программы можно создать на флеш накопителе не удаляемые файлы, которые чаще всего создают вирусы, и таким образом воспрепятствовать заражению флешки вирусами.

4. не заменимая программа для восстановления файлов, которые были скрыты вирусами. Есть такие вирусы, которые при сохранении себя на флешку, все имеющиеся на ней файлы делают не видимыми, и порой восстановить прежний вид этих файлов бывает достаточно проблематично.

Для работы программы требуется установленный пакет NET Framework 3.5 .

5. как и предыдущая программа, помогает вернуть атрибуты файлов, которые были изменены вирусами. При запуске, программа просканирует все подключенные флешки, и в окне отобразит все скрытые папки и файлы. Пользователю останется лишь указать, какие файл восстановить, а какие не нужно. Программа способная автоматически восстанавливать файлы, при подключении флеш накопителей.

6. - утилита для очистки флешек от мусора и остатков вирусов. Что делает: восстанавливает скрытые файлы и папки; удаляет файлы autorun.inf; удаляет файлы exe прикидывающиеся папками; удаляет папки Recycled; удаляет временные файлы офиса.

Защищаем компьютер от вирусных флешек.

Защитить компьютер от вирусов на флешках, может практически любой современный антивирус, но не всегда антивирус вовремя может среагировать на новый тип вируса, сигнатуры которого еще нет в вирусной базе антивируса. Поэтому, нужно произвести ряд дополнительных действий для предотвращения автоматического заражения через внешние накопители.

Защитить ПК от вирусов, которые находятся на флешке, можно как средствами самой операционной системы Windows, так и при помощи специальных программ.

Отключаем автозапуск при помощи реестра Windows

Запускаем редактор реестра, комбинация клавиш Win+R, либо же «Пуск - Выполнить - Regedit - Ок»

Переходим в конец ветки HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer и изменяем значение двоичного параметра «NoDriveTypeAutoRun », вместо «95» (или «91») пишем «FF».

Но, большинство пользователей предпочитает не вникать в такие инструменты системы как редактор реестра, консоль, политики безопасности и прочее. Поэтому давайте разберем простые, но в тоже время мощные программы для защиты компьютера от вирусов, которые распространяются через флеш накопители.

1. - надежный защитник системы от угроз заражения с USB-носителей. Программа позволяет отключить автозапуск подключаемых накопителей; удаляет autorun-файл и файлы которые он запускает; позволяет безопасно открывать и извлекать флешки; защищает флешку от заражения.

2. - простая портативная программа, которая облегчает процесс отключения автозапуска внешних устройств. Просто запускаете программу, выбираете у каких устройств необходимо отключить автозапуск и нажимаете «Disable Autorun».

3. - отключает автозапуск всех подключаемых накопителей, и обезвреживает автозапускаемые вирусы.

4. - помимо своей основной обязанности, отключение автозапуска подключаемых устройств, программа имеет ряд дополнительных возможностей.

Защита данных - блокировка подключения usb устройств, что может предотвратить утечку пользовательских данных.

Чистка диска - удаление временных файлов; восстановления системы в прежнее сохраненное состояние; а инструмент «список автозапуска» покажет какие программы запускаются вместе с системой.

5. - простая утилита, которая в один клик заблокирует все USB порты на компьютере, тем самым мы перекроем доступ вирусам и пользователям к нашему компьютеру. Кстати, USB клавиатуры и мышки при блокировке, будут исправно работать.

Пожалуй, на этом закончим, если осилили столько букв, Вы большой молодец, а если Вам это еще и помогло, то и время потратили не зря.

Как правило, большинство пентестов проводятся по довольно простой схеме. Сначала при помощи социальной инженерии обеспечивается доступ к целевой среде или ее отдельному звену, а затем производится ее заражение техническими средствами. Вариации проведения атаки могут быть разными, однако обычно классический пентест - это сплав технической части и социальной инженерии в самых различных пропорциях. Недостаток классического пентеста заключается в том, что надо «нащупать» того самого сотрудника и после этого переходить к следующему этапу. Если бы можно было автоматизировать процесс поиска слабого звена и его дальнейшую эксплуатацию, то это могло бы ускорить процесс пентестинга и значительно повысить конечные шансы на успех.

WARNING!

Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Согласно известной статистике, приведенной антивирусными компаниями, около 30% пользователей не пользуются антивирусами, попросту отключают их или не обновляют базы. Отталкиваясь от этого, можно утверждать, что в любой среднестатистической компании найдется определенная группа людей, которая очень пренебрежительно относится к информационной безопасности, и, в свою очередь, именно этих людей целесообразно использовать для проведения атаки. Кроме того, любая функционирующая система может быть подвержена влиянию целого ряда случайных факторов, которые также могут временно парализовать систему безопасности:

• слетели настройки прокси-сервера, из-за чего антивирусные базы не были обновлены;
• закончился срок лицензии антивируса, а о ее продлении руководство вовремя не позаботилось;
• сбой работы сети сделал невозможным удаленную распечатку файлов, из-за чего все сотрудники были вынуждены скопировать документы на флешку и распечатать их в другом отделе.

Достаточно только включить воображение, и можно добавить еще десяток вариантов развития событий. Резюмируя сказанное, можно утверждать, что в любой среднестатистической организации есть потенциально ненадежные сотрудники и иногда возникают обстоятельства, которые могут нарушить привычную работу и парализовать защиту. Поэтому если ударить в нужном месте в нужное время, то атака будет успешна.

На деле задача сводится к следующему: определить, что в данный момент произошло одно из случайных событий, которое привело к снижению безопасности, а после этого воспользоваться данной ситуацией в качестве маскировки и незаметно осуществить атаку.

Фактически задача сводится к тому, чтобы найти человека, который забивает на безопасность, и почему бы не использовать для этого флешки?

Многие вирусописатели очень полюбили флеш-носители, так как они позволяют легко и быстро заражать компьютеры и даже самый элементарный USB-вирус имеет неплохие шансы на успех. Бум autorun-вирусов, который пришелся на 2008 год, спустя пять лет не сбавляет оборотов, более того, USB-вирусы стали еще наглее и порой даже не скрывают своего присутствия. И в то же время зараженная флешка - это универсальный индикатор грамотности ее владельца в вопросе элементарной ИБ. К примеру, если собрать десять флешек у различных людей, то наверняка у троих-четверых из них будут на флешках вирусы. Если спустя неделю повторно взять у этих людей флешки, то у двоих-троих вирусы останутся. Исходя из этого, можно утверждать, что на компьютерах, с которыми работают с данной флешки, не стоит даже самая элементарная защита или она по каким-то причинам отключена или не работает вовсе. Таким образом, даже если распространять самый заурядный вирус, который успешно детектится всеми антивирусами, только среди данной группы людей, то он сможет заразить большое количество компьютеров, прежде чем будет обнаружен. А раз эти компьютеры не имеют защиты, то также он долго сможет оставаться работоспособным.

Реализация

На определенный компьютер, к которому периодически подключают флешки, устанавливаем специальную программу, работающую по следующему алгоритму. При подключении очередной флешки программа пытается определить, заражена ли она. Так как нельзя учесть все многообразие USB-вирусов, то имеет смысл использовать эвристический подход определения заражения на основе следующих критериев:

• наличие файла autorun.inf;
• атрибуты файлов RHS;
• малый размер подозрительного файла;
• файловая система не NTFS;
• отсутствие папки c именем autorun.inf;
• наличие файлов ярлыков.

Если данная флешка заражена, то программа записывает ее в базу с указанием серийного номера и хеша подозрительного файла. Если спустя несколько дней флешка повторно подключается к этому компьютеру (а такое происходит почти всегда) и на ней все так же остаются подозрительные файлы, то производится ее заражение нашим «вирусом»; если же подозрительного файла не осталось, то программа удаляет из базы серийный номер этой флешки. Когда же заражается новый компьютер, вирус запоминает серийный номер материнской флешки и никогда ее не заражает и не анализирует, чтобы спустя время не выдать себя, если владелец флешки «поумнеет».

Для получения серийного номера напишем следующую функцию на основе API GetVolumeInformation:

String GetFlashSerial(AnsiString DriveLetter) { DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, NULL, 0); String S; return S.sprintf("%X", VolumeSerialNumber); }

Надо отметить, что функция GetFlashSerial получает не статичный уникальный кодификатор устройства, а лишь серийный номер тома. Этот номер задается случайным числом и, как правило, меняется каждый раз при форматировании устройства. В наших же целях достаточно только серийного номера флешки, так как задача жесткой привязки не стоит, а форматирование подразумевает полное уничтожение информации, фактически приравнивая отформатированную флешку к новой.

Теперь приступим к реализации самой эвристики.

Bool IsItABadFlash(AnsiString DriveLetter) { DWORD NotUsed; char drive_fat; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, drive_fat, sizeof(drive_fat)); bool badflash=false; if ((String(drive_fat)!="NTFS") && (FileExists(DriveLetter + ":\\autorun.inf"))) { DWORD dwAttrs; dwAttrs = GetFileAttributes(AnsiString(DriveLetter + ":\ \autorun.inf").c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN) && (dwAttrs & FILE_ATTRIBUTE_READONLY)) { badflash = true; } } if (!badflash) { TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); AnsiString filebez=sr.Name.SubString(1, filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) { DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) { badflash = true; } } } return badflash; }

Алгоритм эвристической функции достаточно прост. Сначала мы отсеиваем все устройства с файловой системой NTFS и те, которые не содержат файл autorun.inf. Как правило, все флешки по умолчанию идут с файловой системой FAT32 (реже FAT и еще реже exFAT), однако иногда системные администраторы или другие сотрудники IT-отдела форматируют их в систему NTFS для своих нужд. «Умники» нам не нужны, их мы сразу исключаем. Следующим этапом проверяем файл autorun.inf на атрибуты «скрытый» и «системный». Файл autorun.inf может принадлежать и совершенно законной программе, но если в нем присутствуют данные атрибуты, то можно с очень большой вероятностью утверждать, что флешка заражена вирусом.

Сейчас многие вирусописатели стали реже использовать файл autorun.inf для заражения машин. Причин сразу несколько: во-первых, почти все антивирусы или пользователи отключают опцию автозапуска; во-вторых, на компьютере может быть несколько вирусов, использующих одинаковый способ распространения, и каждый из них перезаписывает файл на свой лад. Поэтому все чаще начал использоваться способ заражения через создание ярлыков и скрытие оригинальных папок. Чтобы не оставить и эти флешки без внимания, мы проверяем наличие файла ярлыка и наличие папки с таким же именем в корне тома. Если при этом папка также имеет атрибуты «скрытый» и «системный», то помечаем эту флешку как зараженную.

Конечно, эвристика имеет свои погрешности и нюансы, поэтому есть смысл ее тщательно проработать к конкретной задаче, однако в нашем случае можно со 100%-й вероятностью утверждать ее корректность.

Если с эвристическим анализом флешки все в целом ясно, то с «заражением» возможны нюансы. Например, можно попросту перезаписать старый вирус нашим без каких-либо поправок в файл autorun.inf, файлы, ярлыки и прочее. Таким образом, наш «вирус» получит управление на новом компьютере, но предварительно лучше также сделать старую копию вируса и сохранить в том же каталоге с чуть отличающимся именем. Если по каким-то причинам на другом компьютере будет работать антивирус, то он обнаружит старый вирус, удалит его, выдаст пользователю предупреждение об успешном уничтожении угрозы - и тем самым обеспечит ложное чувство безопасности у пользователя, а наш «вирус» останется незамеченным.

Кроме этого, в декабрьском выпуске «Хакера» мы также писали об уязвимостях DLL hijacking в различном ПО и о его эффективном применении. Поэтому если предполагается, что на флешках могут находиться такие программы, как менеджеры паролей или портативные версии различного ПО, то имеет смысл использовать данную уязвимость и тем самым расширить спектр пораженных машин и ценность полученных данных для пентеста.

Кстати, не всегда имеет смысл прибегать к заражению флешек. К примеру, если у ИБ-отдела стоит задача просто периодического мониторинга сотрудников на наличие «ненадежных людей», то разумнее установить данную программу на несколько машин и просто записывать серийные номера флешек и время создания вредоносного файла для сбора статистики. Тем самым не требуется буквальным образом обыскивать всех сотрудников, и при этом сохраняется конфиденциальность данных на флешках, а на основе полученных данных можно судить также о возможном заражении домашних компьютеров пользователей и состояния ИБ в целом. Ведь, как мы уже писали ранее, любая система подвержена случайным факторам и не исключен риск появления угроз.

Тестирование

Развернув программу в относительно средней по масштабу сети, уже через неделю мы получили достаточно красноречивые данные. Более 20% всех подключенных флешек были инфицированы каким-либо вирусом или трояном, и более 15% по-прежнему оставались инфицированными при повторном подключении спустя пару дней. Надо также отметить, что на многих компьютерах стояла антивирусная защита, которая периодически исполняла свои обязанности. Однако то привычное равнодушие к выскакивающему предупреждению антивируса, к которому уже давно привыкли пользователи при подключении флешки, не позволяла им предположить, что они имеют дело с совершенно иной угрозой. Ложное чувство безопасности позволяло пользователям без смущения подключать флешку к различным компьютерам, а нашей программе успешно делать свое дело.

Коротко об алгоритме

• Устанавливаем нашу программу на компьютеры в компании.
• Сканируем подключаемые флешки на наличие признаков зараженности.
• «Заражаем» флешки пользователей нашим тестовым «вирусом» или переписываем их номера для статистики.
• Докладываем начальству, наказываем пользователей-раздолбаев, держим, не пущаем и запрещаем.

Заключение

Подводя черту, можно сказать, что главный недостаток этого метода - его неопределенность. Никто не знает, когда именно к компьютеру будет подключена та самая «подходящая» флешка, поскольку это сильно зависит от среды, в которой развернута программа. Однако этот недостаток не умаляет главного преимущества метода. Можно очень долго оставаться незамеченными и, растворяясь среди других угроз, поражать все новые и новые машины полностью в автоматическом режиме. Несложно заметить, что такая методика имеет определенный эффект масштаба. Чем больше сотрудников работает в организации и чем разнообразнее внутренние коммуникации, тем больший будет результат. Хотя этот подход будет отлично работать в структуре совершенно любого масштаба, ведь его основная задача сводится не к массовому поражению системы, а к целевому удару по самому слабому звену - человеку. ][