Главная » Полезно знать » Файл Autorun.inf - вирус или шалость?
Добавил admin 10 лет и 7 месяцев назад 122702 просмотров

Файл Autorun.inf - вирус или шалость?

Что за файл - Autorun.inf ?
Это скрытый файл в ОС Windows, находящийся в корне диска.
Каждый раз, когда Вы открываете диск (локальный, портативный или тот, что в приводе) или USB флешку (частый случай) система сразу проверяет его на наличие данного файла. Если он есть - она смотрит что там прописано и запускает.
Это автозагрузочный файл, который указывает что делать системе при запуске диска.

Его обычно используют в хороших целях. Вы никогда не задумывались, почему при открытии диска с программой или игрой, вставленного в привод, сразу выводится красивое меню с выбором дальнейших действий? А так же обычно иконка диска заменяется на другую, от создателей игры/программы. Так вот, это всё именно из-за этого файла.

И именно из за этих свойств, его так любят вирусы, чтобы прописать в нем путь для запуска своего вредоносного кода.

Что из себя представляет файл Autorun.inf ?
Это обычный текстовый документ (правда он скрытый), внутри которого прописан код для запуска программ. И его так же можно открыть и редактировать с помощью стандартного Блокнота.

Обычно файл Autorun.inf содержит в себе следующий код:
[AutoRun]
shellexecute=1
Action=2
Icon=3
Label=4

Где:
1 - это путь к программе
2 - имя программы
3 - иконка
4 - название (метка) диска

Это для примера. Команд для него большое множество, но для общего представления достаточно.

Как создать файл Autorun.inf для автозапуска ?
Это своего рода пособие по шалости Kikik

1) Создаем текстовый документ с названием Autorun.
2) Создаем папку vindavoz.
3) Открываем наш Autorun и вставляем туда
[AutoRun]
open=vindavoz\MyProg.exe
action=vindavoz\Прога
icon=vindavoz\MyIcon.ico
label=vindavoz\Виндавоз

4) Сохраняем его с расширением .inf
5) Закидываем файл и папку в корень диска

В итоге должно получится следующее:
При загрузке диска (или флешки) иконка будет та, которая MyIcon.ico . Название диска будет Виндавоз. И сразу откроется MyProg.exe с названием в меню автозапуска Прога.

Разумеется все эти названия для примера и они должны уже быть в папке vindavoz.
Ну и для "красоты", можно сделать эти папку и файлы скрытыми.

Так же можно просто сделать название диска и иконку. Удивить друзей тем, что у Вашей флешки будет своё имя - это не ново. А вот когда ещё и иконка будет другая - это уже фокус Fufu
Содержание файла AutoRun.inf тогда будет таким:
[AutoRun]
icon=vindavoz\MyIcon.ico
label=vindavoz\Виндавоз


Правда некоторые антивирусы могут ругаться на такое, но Вы то знаете что в нем ничего опасного.

Файл AutoRun.inf и вирусы
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает записанный в параметре «open» файл на исполнение, в результате чего происходит заражение компьютера.

Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.

Как удалить файл AutoRun.inf ?
Обычно вирус всячески пытается защититься: делает себя скрытым, не удаляемым, не дает зайти в во флешку и т.п.

Для того, чтобы удалить эту пакость вручную, воспользуемся командной строкой (win+r -> вводим cmd).
1) Переходим на зараженную флешку (посмотрите на букву диска в Моем компьютере)
g:

У меня флешка под буквой g, соответственно вместо неё Вы должны написать свою букву.

2) Меняем атрибуты файла на нормальные
attrib -a -s -h -r autorun.inf

Если всё сделано абсолютно правильно, ничего не изменится. В случае, если была допущена ошибка, появится соответствующая информация.

3) Удаляем вирус
del autorun.inf


Как удалить вирус AutoRun.inf с помощью реестра
Как попасть в Редактор реестра я уже писал выше. Нам нужна ветка [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткрывающегося_диска)]
Файл Autorun.inf - вирус или шалость?

и удаляем в нем подраздел Shell. Можно так то удалить всё в разделе MountPoints2, но тогда удалится информация обо всех носителях. Решать Вам.

Так же можете воспользоваться программой Anti Autorun, которая блокирует создание файла autorun.inf и делает невозможным автозапуск любых вредоносных программ. Создает специальную папку и файл, которые не занимают места на диске.
Ещё пара программ которые могут Вам помочь, как я считаю, это Autorun Guard и USB_Tool.

Как защититься от вирусов AutoRun.inf ?

Конечно же Отключить автозапуск!
Немного об этом я писал в статье Как обезопасить свой компьютер, в частности в первом совете. В нем было описано как отключить автозапуск стандартными средствами Windows, а сейчас я опишу как это сделать "жестко" с помощью Редактора реестра.
Открываем редактор реестра (win+r ->вводим regedit) и идем по ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer в которой создаем параметр DWORD (32 Бита)
Файл Autorun.inf - вирус или шалость?

NoDriveTypeAutoRun со значением dword:000000ff

А теперь сделаем защиту ещё прочнее Cool
Дело в том, что ОСь Windows не позволяет создавать файлы и папки с одинаковыми именами, потому что для нее разница между файлом и папкой состоит только в одном бите.
Если кто со мной попытается спорить в этом - в любом месте создайте папку, а затем файл с таким же именем.
Именно с именем, без расширения.

Поэтому если существует папка autorun.inf, то файл с таким именем создаться уже не сможет. Поэтому первоначальный вариант - создать файл или папку с названием autorun.inf . Вирус увидит что такое название уже есть, обидится и уйдет ни с чем LOL
Это имеет место быть правдой, но т.к. есть "интеллектуальные" вирусы, которые поймут, что существует файл или папка с таким именем и смогут запросто удалить Вашу созданную папку (файл) и записать свой файл autorun.inf, который будет запускать вирусы.
Для решения этой проблемы мы создадим супер-пупер неудоляемую папку Nyu . Которую удалить можно будет только если отформатировать флешку.

Итак, для создания такой папки, нужно создать простой текстовый документ в Блокноте со следующим содержанием:
attrib -s -h -r autorun.* del autorun.* mkdir "\\?\%~d0\autorun.inf\vindavoz..\" attrib +s +h %~d0\autorun.inf

Нажимаем Файл - Сохранить как... и вводим любое название, но главное чтобы расширение было .bat
Например vindavoz.bat.
Затем копируем этот файл на флешку и запускаем.
В итоге Вы должны получить папку autorun.inf внутри которой будет лежать неудоляемая папка vindavoz
Файл Autorun.inf - вирус или шалость?

Ну а для тех, кому не хочется с этим возиться, я приготовил этот файл в архиве. vindavoz.zip307 bcкачиваний: 1998
Достаточно его скачать, распаковать, перенести файл vindavoz.bat на флешку (диск) и запустить.

Кстати, если папка после этого осталась видимой - смените ей атрибут на скрытый, щелкнув на ней ПКМ и выбрав Свойства

Этот "Фокус" не получится на система NTFS, но флешки чаще используют FAT, так что можно пользоваться.

P.S.
Зачем делать папку в папке? Да потому что папка autorun.inf служит как бы "индикатором". И если после блужданий по компьютерам она к Вам попапла и атрибут у неё стоит не скрытый - значит вирусы уже хотели её удалить и прописаться в ней для чего и сменил атрибуты. Можете смело искать незнакомые скрытые файлы и удалять их. Это будут вирусы.

Для общей информативности, можете почитать статью на Википедии про него.
  • Комментарии
  • ВКонтакте
  • Facebook
b
i
u
s
|
left
center
right
|
emo
img
color
|
hide
quote
translit
10 комментариев
Ярослав Александрович 4 месяца назад Цитата
а какая у тебя тема
Внимание! У вас нет прав для просмотра скрытого текста.
admin 7 лет и 3 месяца назад Цитата
Быть может открываете без прав администратора или на флешке стоит защита. Подробнее нужно разбираться
Aha 7 лет и 3 месяца назад Цитата
Я хотел сделать иконку на флешку . Создал текстовый документ txt. но когда я его переименовал на ( autorun.inf ) то не смог открыть. Что делать? Да и еще когда я его вытаскиваю на рабочий стол то открывается нормально.
Жорик 7 лет и 4 месяца назад Цитата
Спасибо. Очень полезная и содержательная статья!
admin 7 лет и 7 месяцев назад Цитата
Попробуйте прописать в конце
icon=Название файла с иконкой. ico
Только не знаю получится ли
Валерий 7 лет и 7 месяцев назад Цитата
attrib -s -h -r autorun.*
del autorun.*
mkdir "\\?\%~d0\autorun.inf\name..\"
attrib +s +h %~d0\autorun.inf


А куда в этот батник добавить чтобы ещё при создании папки autorun выполнялась команда запуска иконки флешки icon=название_файла
Макс 7 лет и 11 месяцев назад Цитата
Интеллектуальный вирус???

@echo off
if not exist f:\autorun.inf goto NEXT_G
RD /s /q "f:\autorun.inf"
copy /y "c:\\autorun.inf" "f:\\autorun.inf"
:NEXT_G
if not exist g:\autorun.inf goto NEXT_H
RD /s /q "g:\autorun.inf"
copy /y "c:\\autorun.inf" "g:\\autorun.inf"
:NEXT_H
if not exist g:\autorun.inf goto NEXT_I
RD /s /q "h:\autorun.inf"
copy /y "c:\\autorun.inf" "h:\\autorun.inf"
...
@exit
Bekzod 8 лет и 6 месяцев назад Цитата
Я своества диска посмотрел 381мегабайт , если скопироваю на компютер менши мегабайт 308 мегабайт.Какойта част скритый не скопируется .тотал командере тоже нивидно .как скопироват и как сделат её загрузочным диском ?
Бекзод 8 лет и 6 месяцев назад Цитата
Я скопировал лецинзионный диск Avto test но он неоткривается что мне сделат чтобы открит етот программу загрузечным ? Autorun нормално стоит как на диске.Помогите пожалуста.
Anchorfree 9 лет и 5 месяцев назад Цитата
Скопировал в Блокнот вышеприведённый текст и создал файл vindavoz.bat, запустил, не получилось, потом посмотрел на Ваш vindavoz.bat, там этот текст был написан в несколько строк, может из-за этого, запустил Ваш файл, получилось. Хотел удалить, действительно не удалился, и стал видимым. Потом снова запустил vindavoz.bat, папка снова стала невидымим, но там появилась ещё одна папка vindavoz, но с двумя точками в конце названия, и которую можно открыть (хотя внутри ничего нет), в отличие от первой папки vindavoz. (с одной точкой), которую невозможно открыть.