Файловые червиВирусы этого типа не прикрепляются к другим программам, а просто «лежат» в каком-нибудь каталоге в виде отдельного файла. Как же они получают управление? В эпоху MS-DOS вирусам подобного типа приходилось из шкуры вон лезть, пытаясь соблазнить пользователя каким-нибудь «привлекательным» наименованием типа «PORNO. EXE» или «RUNME. COM». Теперь этого не требуется. Червь может просто прописать свой запуск в Реестре. Файловые же черви используют файл «AUTORUN. INF», который служит для старта программ, размещенных на съемных носителях — CD-дисках и «флэшках». Вот типичный пример содержимого «AUTORUN. INF», обнаруженного на зараженной «флэшке»:

Нетрудно сообразить, что вирус создает на «флэшке» каталог «RECYCLED» и помещает в него свое тело. Стоит вставить «флэшку» в USB-разъем, и вирус тут же запускается. Существуют довольно сложные способы отключения автозапуска программ, связанные с редактированием Реестра. Однако заблокировать распространение AUTORUN-червей можно и «рабоче-крестьянскими» методами — достаточно вручную создать на «флэшке» каталог с именем «AUTORUN. INF», поместить в него еще несколько вложенных каталогов и защитить их все от записи. Далеко не всякий «червяк» сообразит, что перед ним не файл, а каталог; что для его удаления необходим рекурсивный обход дерева с «вычищением» всего содержимого, со сбросом битов, с правкой имен и т. п.

Дешево и сердито, не так ли? Впрочем, в 2011 г. Microsoft выпустила патч, деактивирующий для всех версий Windows автозапуск со сменных носителей, а в Windows 7 автозапуск просто-напросто отключен по умолчанию.

Еще интересные статьи :