Файл Autorun.inf - вірус або витівка?

Що за файл - Autorun.inf ?
Це прихований файл в ОС Windows, що знаходиться в корені диска.
Кожен раз, коли Ви відкриваєте диск (локальний, портативний або той, що в приводі) або USB флешку (частий випадок) система відразу перевіряє його на наявність даного файлу. Якщо він є - вона дивиться що там прописано і запускає.
Це автозагрузочний файл, який вказує що робити системі при запуску диска.
Його зазвичай використовують в хороших цілях. Ви ніколи не замислювалися, чому при відкритті диска з програмою або грою, вставленого в привід, відразу виводиться красиве меню з вибором подальших дій? А так же зазвичай іконка диска замінюється на іншу, від творців гри / програми. Так ось, це все саме через це файлу.
І саме з цих властивостей, його так люблять віруси, щоб прописати в ньому шлях для запуску свого шкідливого коду.
Що з себе являє файл Autorun.inf ?
Це звичайний текстовий документ (правда він прихований), всередині якого прописаний код для запуску програм. І його так само можна відкрити і редагувати за допомогою стандартного Блокнота.
Зазвичай файл Autorun.inf містить в собі наступний код:
[AutoRun]
shellexecute = 1
Action = 2
Icon = 3
Label = 4

де:
1 - це шлях до програми
2 - ім'я програми
3 - іконка
4 - назва (мітка) диска
Це для прикладу. Команд для нього велике безліч, але для загального уявлення досить.
Як створити файл Autorun.inf для автозапуску ?
Це свого роду допомога по пустощі
1) Створюємо текстовий документ з назвою Autorun.
2) Створюємо папку vindavoz.
3) Відкриваємо наш Autorun і вставляємо туди
[AutoRun]
open = vindavoz \ MyProg.exe
action = vindavoz \ Прога
icon = vindavoz \ MyIcon.ico
label = vindavoz \ Віндавоз

4) Зберігаємо його з розширенням .inf
5) Закидаємо файл і папку в корінь диска
В результаті маємо отримати наступне:
При завантаженні диска (або флешки) іконка буде та, яка MyIcon.ico. Назва диска буде Віндавоз. І відразу відкриється MyProg.exe з назвою в меню автозапуску Прога.
Зрозуміло всі ці назви для прикладу і вони повинні вже бути в папці vindavoz.
Ну і для "краси", можна зробити ці папку і файли прихованими.
Так само можна просто зробити назву диска і іконку. Здивувати друзів тим, що у Вашій флешки буде своє ім'я - це не ново. А ось коли ще й іконка буде інша - це вже фокус
Зміст файлу AutoRun.inf тоді буде таким:
[AutoRun]
icon = vindavoz \ MyIcon.ico
label = vindavoz \ Віндавоз

Правда деякі антивіруси можуть лаятися на таке, але Ви то знаєте що в ньому нічого небезпечного.
Файл AutoRun.inf і віруси
В даний час файл autorun.inf широко використовується для поширення комп'ютерних вірусів через flash-накопичувачі і мережеві диски. Для цього автори вірусів прописують ім'я виконуваного файлу з шкідливим кодом в параметр open. При підключенні зараженого flash-накопичувача Windows запускає записаний в параметрі "open" файл на виконання, в результаті чого відбувається зараження комп'ютера.
Що знаходиться в оперативній пам'яті зараженого комп'ютера вірус періодично сканує систему з метою пошуку нових дисків, і при їх виявленні (при підключенні іншого flash-накопичувача або мережевого диска) створює на них autorun.inf з посиланням на копію свого виконуваного файлу, забезпечуючи таким чином своє подальше поширення.
Як видалити файл AutoRun.inf ?
Зазвичай вірус всіляко намагається захиститися: робить себе прихованим, що не видаляється, не дає зайти в у флешку і т.п.
Для того, щоб видалити цю капость вручну, скористаємося командним рядком (win+r -> Вводимо cmd).
1) Переходимо на заражену флешку (подивіться на букву диска в Моєму комп'ютері)
g:

У мене флешка під літерою g, відповідно замість неї Ви повинні написати свою букву.
2) Міняємо атрибути файлу на нормальні
attrib -a -s -h -r autorun.inf

Якщо все зроблено абсолютно правильно, нічого не зміниться. У разі, якщо була допущена помилка, з'явиться відповідна інформація.
3) Видаляємо вірус
del autorun.inf

Як видалити вірус AutoRun.inf за допомогою реєстру
Як потрапити в Редактор реєстру я вже писав вище. Нам потрібна гілка [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 \ (Буква_неоткривающегося_діска)]

і видаляємо в ньому підрозділ Shell. Можна так то видалити все в розділі MountPoints2, але тоді віддалиться інформація про всі носіях. Вирішувати вам.
Так само можете скористатися програмою Anti Autorun, яка блокує створення файлу autorun.inf і унеможливлює автозапуск будь-яких шкідливих програм. Створює спеціальну папку і файл, які не займають місця на диску.
Ще пара програм які можуть Вам допомогти, як я вважаю, це Autorun Guard і USB_Tool.
Як захиститися від вірусів AutoRun.inf ?
Звичайно ж відключити автозапуск!
Трохи про це я писав у статті Як убезпечити свій комп'ютер, зокрема в першому раді. У ньому було описано як відключити автозапуск стандартними засобами Windows, а зараз я опишу як це зробити "жорстко" за допомогою Редактора реєстру.
Відкриваємо редактор реєстру (win+r -> Вводимо regedit) і йдемо по гілці HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer в якій створюємо параметр DWORD (32 Біта)

NoDriveTypeAutoRun зі значенням dword: 000000ff
А тепер зробимо захист ще міцніше
Справа в тому, що ОСь Windows не дозволяє створювати файли і папки з однаковими іменами, тому що для неї різниця між файлом і папкою складається тільки в одному бите.
Якщо хто зі мною спробує сперечатися в цьому - в будь-якому місці створіть папку, а потім файл з таким же ім'ям.
Саме з ім'ям, без розширення.

Тому якщо існує папка autorun.inf, то файл з таким ім'ям створитися вже не зможе. Тому первісний варіант - створити файл або папку з назвою autorun.inf. Вірус побачить що таку назву вже є, образиться і піде ні з чим
Це має місце бути правдою, але тому що є "інтелектуальні" віруси, які зрозуміють, що існує файл або папка з таким ім'ям і зможуть запросто видалити Вашу створену папку (файл) і записати свій файл autorun.inf, який буде запускати віруси.
Для вирішення цієї проблеми ми створимо супер-пупер неудоляемую папку . Яку видалити можна буде тільки якщо відформатувати флешку.
Отже, для створення такої папки, потрібно створити простий текстовий документ в Блокноті з наступним змістом:
attrib -s -h -r autorun. * del autorun. * mkdir "\\? \% ~ d0 \ autorun.inf \ vindavoz ... \" attrib + s + h% ~ d0 \ autorun.inf

натискаємо файл - Зберегти як… і вводимо будь-яку назву, але головне щоб розширення було .bat
наприклад vindavoz.bat.
Потім копіюємо цей файл на флешку і запускаємо.
В результаті Ви повинні отримати папку autorun.inf всередині якої буде лежати неудоляемая папка vindavoz

Ну а для тих, кому не хочеться з цим возитися, я приготував цей файл в архіві. vindavoz.zip307 bcкачіваній: 1555
Досить його завантажити, розпакувати, перенести файл vindavoz.bat на флешку (диск) і запустити.
До речі, якщо папка після цього залишилася видимою - змініть їй атрибут на прихований, клацнувши на ній ПКМ і вибравши Властивості
Цей "Фокус" не вийде на система NTFS, але флешки частіше використовують FAT, так що можна користуватися.
P.S.
Навіщо робити папку в папці? Та тому що папка autorun.inf служить як би "індикатором". І якщо після блукань по комп'ютерам вона до Вас попапла і атрибут у неї коштує не прихований - значить віруси вже хотіли її видалити і прописатися в ній для чого і змінив атрибути. Можете сміливо шукати незнайомі приховані файли і видаляти їх. Це будуть віруси.
Для загальної інформативності, можете почитати статтю на Вікіпедії про нього.