Basta… mi sono rotto i cabbasisi! Nell’ultimo periodo tra colleghi c’è un continuo scambio di unità flash USB infette, sia da stupiti giochini che in maniera subdola tentano di installarsi e di collegarsi ad un server esterno, sia da malware e virus più o meno dannosi come ad esempio quello che va per la maggiore in alcuni dipartimenti dell’università, il quale si limita a cancellare nell’ordine:
- NTDETECT.COM
- ntldr
- boot.ini
Nulla di che… capirete… basta una mezz’oretta di lavoro con BartPE e tutto va a posto (nella maggiorparte dei casi, ma a volte si può perdere un’intera mattinata!).
Pur avendo bonificati i principali focolari dell’infezione, ogni tanto spunta fuori una unità flash USB nuovamente infetta… e ci si ritrova nuovamente a rischiare in contagio se i propri antivirus e firewall non fanno il loro dovere.
Soluzione? Semplice, disabilitare il funzionamento dell’Autorun.inf!
Due sono le strade percorribili… se siete tra quelli che preferiscono il fai da te aprite il notepad (se preferite in fondo all’articolo troverete già tutto bello e confezionato) o qualsiasi altro editor di file .txt e incollatevi quanto segue
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”
Quindi salvate il file col nome che volete ma con l’estensione .reg e cliccateci su, al prossimo riavvio di Windows Autorun.inf sarà disabilitato.
Se invece siete tra quelli che preferisce affidarsi ad uno strumento, che faccia il lavoro sporco, vi consiglio Panda USB and AutoRun Vaccine. All’installazione potrete decidere se farlo funzionare in background o meno e se vaccinare il computer o le singole unita USB… se volete un mio consiglio limitatevi ad eseguire la vaccinazione del §PC senza farlo partine in background.
Naturalmente è possibile ritornare sui propri passi sia che abbiate fatto tutto da voi, sia che vi siate affidati a “Panda USB and AutoRun Vaccine”. Nel primo caso dovrete creare un file con estensione .reg contenente quanto segue:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
Nel secondo caso invece dovrete semplicemente premere il pulsante Remove vaccine.
Piccola nota a margine, “Panda USB and AutoRun Vaccine” funziona perfettamente su FAT & FAT32 mentre è in versione beta per la NTFS (con tutti i rischi che ne possono seguire).
Download:
Panda USB and AutoRun Vaccine
no_autorun_inf.reg – file di registro per disattivare l’Autorun.inf
si_autorun_inf.reg – file di registro per attivare l’Autorun.inf