#1 14.01.08 16:54
Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Число тем, появляющихся в последнее время на win-форуме, прямо или косвенно затрагивающих эту проблему довольно велико, что побудило меня создать данный топик. Возможно для кого-то, собранная в нем информация окажется неполной или не подходящей для борьбы с каким-то отдельно взятым вирусом. Я всего-лишь постарался собрать и обобщить советы разбросанные по форуму. Тема открыта для комментариев, так что, если у кого что есть добавить по данной тематике - пожалуйста.
1. Тем, к кому вирусы "пробраться" не успели, но у кого на ПК не установлен никакой антивирусный пакет, рекомендую ознакомиться с соседней темой, остановить свой выбор на каком-либо антивирусе, установить его на ПК, запустить в режим постоянной защиты и своевременно обновлять антивирусные базы. это элементарные меры профилактике, пренебрежение которыми может лишить вас ценной информации, хранящейся на HDD, а также потратить уйму времени и нервов на избавление от заразившего ПК вируса.
ЗЫ: лично я отдаю предпочтение Kaspersky Internet Security 7.0.0.125, но ваш выбор может быть иным, - тема не призывает спорить о преимуществах или недостатках того или иного пакета защиты. Тема о борьбе с вирусами, распространяющимися через usb flash брелки, число которых (и брелков и вирусов) в последнее время выросло в разы. Кстати "о птичках":
2. Различные антивирусы могут называть один и тот же вирус по-разному. Поэтому речь будет идти о некоем обобщенном вирусе, основными заметными действиями которого является (помимо распространения своиих копий через флэшку):
- создание в корневом разделе дисков ряда зараженных файлов, типовыми из которых являются файл с именем autorun.* и файлы с расширениями *.com и *.exe, определяющиеся антивирусным ПО как зараженные.
- блокировка для пользователя таких функций ОС как командная строка (cmd) и редактор реестра (regedit), а также некоторых других.
- невозможность включения в "проводнике" (explorer) отображения скрытых и системных файлов.
- непонятные "стракозяблы" вместо привычного "открыть" в меню, вызываемом по правому клику мыши на иконке логического диска, а также ошибка с сообщением о невозможности открыть файл при двойном клике на иконке логического диска.
- и т.д. и т.п.
Т.к. все вирусы "косячат" по-своему, то общего механизма лечения не существует и не надо острить про format C:. Задача этой темы - попытаться избавиться от "заразы" не прибегая к таким кардинальным решениям. Почитав форум, поотвечав на вопросы пользователей, я собрал и объединил советы из различных тредов. Получилось примерно следующее:
Во-первых ваша учетная запись должна обладать правами администратора. Что это такое здесь не рассматривается, подразумевается, что все это и так знают. Из программного обеспечения в обязательном порядке рекомендую Total Commander (с включенным режимом отображения скрытых и системных файлов и плагином просмотра автозапускающихся программ (например startup guard), а также плагином редактирования реестра (использовать по желанию)) и TuneUp Utilites 2007 (обладает альтернативным редактором реестра и возможностью просмотра программ, находящихся в автозапуске). Что это за ПО и где его брать здесь также не рассматривается, поиск вам в руки. Использование данного ПО определено исключительно моими предпочтениями, вы можете юзать и другое с аналогичным функционалом.
Итак на ПК отсутствует антивирус и проявились описанные выше симптомы заражения. Первое что делаем, идем в:
пуск - выполнить - gpedit.msc - "конфигурация пользователя" - "административные шаблоны" - "система" - параметр "отключить автозапуск" - выставить состояние "включен / на всех дисководах"
затем:
пуск - выполнить - gpedit.msc - "конфигурация компьютера" - "административные шаблоны" - "система" - параметр "отключить автозапуск" - выставить состояние "включен / на всех дисководах"
(примеч. на ОС Windows XP Home Edition не работает! но вы можете использовать утилитку tweakui в которой есть аналогичная функция)
Далее:
В ТС смотрим плагином startup guard что у нас вообще в автозагрузке находится, отключаем (удаляем) лишние/подозрительные вещи (рассчитано на средний уровень пользователей, если вы "ламер" - попросите помочь вашего более продвинутого друга), параллельно удаляем из корня всех локальных дисков скрытые файлы по критериям описанным выше. У неопытных пользователей есть шанс "убить" из корневого раздела системного диска нужный исполняемый файл, поэтому ограничтесь удалением autorun.* и папок runauto... если таковые там окажутся. Если что-то удаляться откажется, пропускаем, идем далее.
Далее перегружаем ПК, а затем с помощью редактора реестра TuneUp Utilites чистим реестр удаляя:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe - удалить параметр Debugger.
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
В качестве дополнительных действий (или если раньше не удалилось) пробуем еще раз в ТС удалить лишние файлы из корня диска, а также пробуем сделать это в командной строке (которая к этому моменту после манипуляций с реестром должна заработать)
Запускаем cmd. Здесь набираем команду RD для каждого диска, т.е.:
rd C:\runauto...\ /s /q
rd D:\runauto...\ /s /q
rd E:\runauto...\ /s /q
и т.д.
Дополнительно можете добавить в реестр следующий код (включение отображения в "проводнике" скрытых файлов)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
Перезагружаем машину. Ставим антивирус. Обновляем базы. Сканируем все локальные диски на предмет остатков от вируса.
Всё вышесказанное по большей части относилось к вирусу runauto и подобным, вот еще добавлено для вируса ntde1ect.com
Это троянец, определяемый как Win32/Pacex или Win32/PSW.Agent.NDP trojan. Как от него избавиться:
1) Открыть диспечер задач (Ctrl-Alt-Del)
2) Если запущен процесс wscript.exe - завершить его
3) Завершить explorer.exe
4) В диспечере процессов "файл - новая задача (выполнить)"
5) cmd
6) выполнить следующую команду, заменив c:\ поочередно всеми буквами ваших локальных дисков
del c:\autorun.* /f /a /s /q
7) перейти в Windows\System32 командой cd c:\windows\system32
8) выполнить dir /a avp*.*
9) если вы увидите в списке имена типа avp0.dll или avpo.exe или avp0.exe, удалите их следующими командами:
attrib -r -s -h avpo.exe
del avpo.exe
и т.д.
10) В диспечере процессов "файл - новая задача (выполнить)" - regedit (это редактор реестра)
11) перейти в ветвь HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
12) если там есть записи типа avpo.exe, - удалить их
13) поискать в реестре записи типа ntde1ect.com и удалить всё что найдете
14) Перезагрузить ПК
Добавлено по вирусу AMVO:
Dawn Of War [09.01.2008]
Доброго времени суток, поселился вирус у меня с файлом amvo.exe и парой dll в папке system32. Конкретно не знаю что делает, но яндекс подсказал что это троян. Все бы ничего, но при попытке открыть логический диск в "Мой Компьютер" эта зараза запускает его в отдельном окне! Удалить никак не получается, ни через консоль, ни через антивирусники (Kaspersky / Avast / nod32). Подскажите что делать.
zizitop [10.01.2008]
можно попробовать загрузиться с Лайф CD, и заюзать какой-нить антивирь (portable-версию).
tehnolog [10.01.2008]
http://virusinfo.info/showthread.php?s=c847947ee0d120f811b7fbc3dcdd315e&p=168423
http://www.viruslist.com/ru/search?VN=Worm.Win32.RussoTuristo.b&referer=kav
почитай может поможет
Ni9999 [10.01.2008]
Запустить антивирусник (лучше nod32 с последними базами) cmd и unlocker. Сначала убить процесс explorer.exe, затем процесс вируса (amvo.exe) в памяти, затем unlocker-ом на всякий случай переименовать файл виря и затем убить через cmd. После всего этого прогоняем на ПК полную проверку nod32.
З.Ы: переключаться между прогами Alt-Tab.
BornLeader [12.01.2008]
AVZ - прекрасно справляется с этой задачей и в обычном режиме http://z-oleg.com/secur/avz/download.php Кстати, эти файлы скрытые поэтому если в проводнике не настроено показывать скрытые файлы ты естественно их не увидишь и к тому же востановление системы в настройках надо отключать иначе система будет сама вирус подымать из резервной копии папки system32 :)
tribiany [13.01.2008]
Отключи его в автозагрузке и через командную строку удали avm0.exe, а amv0.dll попробуй свежей утилитой cureit от Doctor Web. Кстати и Far Manager должен все увидеть и сможешь через него удалить файлы после остановки процесса amvo.exe.
Pазумеется, это не прямое руководство к действию. В вашем случае какие-то пункты могут отсутствовать, но могут быть какие-то другие. Я просто объединил сборку советов форума. Если есть что по делу добавить, - буду только рад.
Offline
#3 22.01.08 18:28
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
притащили мне седня вируса ntde1ect.com
проследовал инструкциям. перегружаю комп, и...
и хрен он а не перезагружаетса)))
слетает до загрузки винды,
как я понял вирь сьел какой-то загрузочный файлик =)
вот так вот)
Offline
#4 22.01.08 19:47
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
R0mm, возможно ты поторопился и снес из корня системного диска файлик ntdetect.com. дело в том, что данным способом на хостеле уже лечили этот вирь и всё было ок. хотя возможно, в твоем случае тебе просто не повезло и он таки что-то сожрал (тотже к примеру ntdetect.com...)
Offline
#5 27.01.08 15:58
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
У меня Касперский 6.0.2.614 удалил всех cразy же после обновления баз от 25.01.08
А вот скрытые файлы появились только после следующей процедуры:
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL - Удаляем параметр CheckedValue в правом окне.
Щёлкаем правой кнопкой мыши в этом же окне (справа) и выбраем «создать --> параметр DWORD». Называем его CheckedValue. Cтавим значение «1» (0x00000001) и нажимаем ОК.
Заходим в «Сервис» --> «Свойства папки» --> «Вид», находим «Скрытые файлы и папки», отмечаем «Показывать скрытые файлы и папки».
И с флешкой быстенько произвел ту же операцию как и Antony
Исправлено lunev (27.01.08 16:00)
Offline
#6 11.02.08 12:24
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Antony написал(а):
я применил самый радикальный метод для того, чтобы моя флэшка не стала переносчиком этих вирусов. Собственно форматировал её в ntfs и запретил запись в корень диска
такой получается наитупейший вопрос: как флеху отформатить под нтфс?
Offline
#7 11.02.08 12:35
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
существует по крайней мере 2 известных мне способа.
1. в диспетчере устройств нужно зайти в раздел "дисковые устройства", найти свою флэшку и во вкладке "политика" изменить способ кэширования записи на "оптимизировать для выполнения". После этого её можно отформатировать в нтфс через стардартный интерфейс форматирования винды. После форматирования способ кэширования надо переключить в исходное состояние.
2. самый простой: convert <буква диска флэшки> /FS:NTFS /nosecurity
последний ключ сбрасывает права доступа на флэшку так, что файлы на ней становятся доступны для всех пользователей (ключ не обязателен, но так потом проще выставлять права)
Offline
#8 11.02.08 13:03
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Antony Спасибо большое!!!
Ну раз тупить,то уж доконца:(((
А как сделать "запретил запись в корень диска"?
Я так понимаю,что потом не зависимо от того в какой комп флеху не воткнешь,запись в корень будет невозможна или это только политика на конкретной машине?
Offline
#9 11.02.08 13:32
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
ну к примеру, я для начала создал на флэшке 2 папки, одна для данных, другая для программ
а потом всё зависит от винды. В висте нажимаешь правой кнопкой в корне диска и переходишь на вкладку "безопасность". ну а там вроде как всё прозрачно будет группа "все", надо убрать галочки "полный доступ", "изменение" и "запись".
то же самое действие делается для этих двух папок. Ну вернее просто нужно удостовериться что там эти галочки установлены.
в виндах с 2000 по xp/2003 всё устроено аналогично, только в хр профешнл, чтобы получить доступ к этой вкладке нужно зайти в панель управления -> свойства папки -> вид и снять галочку "использовать простой доступ к файлам и папкам" В xp home по-моему это не работает.
политика создаётся на уровне фс, поэтому работает на всех компах
Offline
#10 19.02.08 01:04
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Запускаем cmd. Здесь набираем команду RD для каждого диска, т.е.:
rd C:\runauto...\ /s /q
rd D:\runauto...\ /s /q
rd E:\runauto...\ /s /q
и т.д.
На практике эти команды не всегда помогают и папка runauto... может не удаляться. Тогда надо использовать UNC формат \\?\X:\runauto.. /s/q где Х - буква диска=)
Да, и еще автозапуск имхо лучше всего отключить так:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff
Offline
#11 11.04.08 23:21
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Bream написал(а):
Далее перегружаем ПК, а затем с помощью редактора реестра TuneUp Utilites чистим реестр удаляя:
Кстати можно просто переименовать regedit.exe в reg.exe к примеру и чистить все в нем :)
А дабы не ходить по разделам, то можно просто импортировать (т.е. запустить reg.exe и выбрать "файл" - "импорт")
ftp://200.100.100.220/vir_def/mcafee_di … er_vir.reg
Файл рассчитан на систему на диске C, для D просто поменять букву диска внутри.
Исправлено URANUS (11.04.08 23:25)
Offline
#12 19.04.08 14:22
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
для уничтожения runauto, fun.xls юзаю батник
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
start reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
start reg Delete
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /f
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v
ShowSuperHidden /t REG_DWORD /d 1 /f
start reg add
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* fun.xls.exe /f /q /as
del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q
/as
del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log
del d:\autorun.* fun.xls.exe /f /q /as
del e:\autorun.* fun.xls.exe /f /q /as
del f:\autorun.* fun.xls.exe /f /q /as
del g:\autorun.* fun.xls.exe /f /q /as
del h:\autorun.* fun.xls.exe /f /q /as
del i:\autorun.* fun.xls.exe /f /q /as
del j:\autorun.* fun.xls.exe /f /q /as
del k:\autorun.* fun.xls.exe /f /q /as
del l:\autorun.* fun.xls.exe /f /q /as
start explorer.exe
Offline
#13 28.10.08 00:56
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Недавно зацепил где то какой winfat.exe распространяется через флэшку, антивирус нод версии 3, постоянно обновляется, при включении этой флэшкт в другой комп сразу же удаляется, а у меня не видит его. Подскажите методы борьбы с этой заразой? Еще в диспечере появился процесс fatma.exe через поиск не ищет фаил на диске. При завершении этого процесса вроде на флэшку ничего не копируется но при попытке отключить всю автозагрузку он все равно загружается снова.
Исправлено Barbus (28.10.08 01:17)
Offline
#14 28.10.08 13:01
#15 28.10.08 19:58
#16 29.10.08 17:58
#17 31.10.08 09:30
#18 01.11.08 19:56
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
GreenDay, с чего не просматривает? нод изза этого жутко тормозит комп когда с сетевых дисков работаешь. Каспер сканит только измененные файлы, через некторое время работы он просто перестает сканить старые файлы
Offline
#19 10.12.08 19:11
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
А кто-нибудь пробовал утилку...
Впрос на сколько помогает её функция
* создает на каждом из доступных дисков каталог autorun.inf с атрибутами скрытый и системный, что позволяет блокировать повторное заражение ваших дисков
и на сколько помогает от троянов? А то флешек с тоянами нет под рукой...
На вид фурычит нормально, создаёт каталог зловредный...
http://www.spyware-ru.com/flash_disinfector/
Flash_Disinfector ещё одно оружие против autorun.inf троянов
* Автор: Валерий
* Сентябрь 3, 2008
* Рубрика: Бесплатные программы, Инструкции
Несколько месяцев назад я уже писал об троянах использующих возможности файла autorun.inf для собственного запуска и распространения. Сегодня снова вернёмся к этому вопросу так как количество заражённых компьютеров растет, а способ который я привел в прошлый раз, довольно долог и возможно несколько сложен для неподготовленного пользователя.
Существует небольшая утилита Flash_Disinfector (создана автором известной программы ComboFix), которая позволит вам легко избавиться от большинства autorun.inf троянов и защитить ваши диски от воможного заражения.
Flash_Disinfector выполняет следующие функции:
* удаляет с корня всех доступных дисков известные ей файлы троянов
* восстанавливает возможность редактирования реестра
* восстанавливает работу Восстановления системы
* удаляет из реестра автозапуск autorun.inf троянов
* создает на каждом из доступных дисков каталог autorun.inf с атрибутами скрытый и системный, что позволяет блокировать повторное заражение ваших дисков
Как использовать Flash_Disinfector:
* скачайте Flash_Disinfector
* кликните дважды для запуска
* когда появиться небольшое окошко с предложением вставиться (подсоединить) все ваши диски к компьютеру, сделайте это (сообщение на английском языке)
* программа начнёт работу, при этом исчезнут иконки и таскбар (будет принудительно остановлен процесс explorer.exe)
* по окончании работы иконки и таскбар появятся снова
* перезапустите компьютер
Таким образом программа делает то, что было написано в прошлой моей инструкции. Кроме этого позволяет удалить в автоматическом режиме трояны со всех ваших дисков и защитить их от дальнейшего заражения (защита не 100%, но блокирует большинство autorun.inf троянов).
Offline
#20 15.12.08 02:52
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Программулька на мой взгляд грамотная, только интерфейс сильно недружелюбный) Вот не хотел я допустим делать иммунизацию ВСЕХ дисков, а пришлось. Способ иммунизации афтар придумал неплохой, вот только вирусописатели его быстро обойдуд как только узнают про эту программку.
Offline
#21 15.12.08 14:18
#22 16.12.08 01:59
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Если тебе не нужно лечить комп, а ты хочешь просто защитить какой либо диск так, как это делает Flash Disinfector, запусти cmd.exe и выполни там последовательно такие команды:
md C:\autorun.inf\
echo novirus > \\?\C:\autorun.inf\AUX.novirus
attrib +h +s +r C:\autorun.inf
Только не забудь вместо C: подставить имя диска который хочешь защитить.
Offline
#23 16.12.08 16:41
#24 16.12.08 21:36
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Лучше всего права на запись в корень убрать(кроме диска C: и где храниться подкачка, а то проблемы могут возникнуть) со всех дисков для всех пользователей. Писать в корень - зло. Насоздавали сразу папки(фильмы, порно, xxx ну и еще чего вы там любите) и пишите все в папки. Корень оставьте авторанам, которые будут биться в конвульсиях от такой хитрости. :)
Offline
#25 17.12.08 05:08
#26 17.12.08 13:33
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Гаролд, дались вам эти атрибуты) Папка не удаляется стандартными средствами потому что файл внутри нее назван именем которое в принципе не может существовать в Windows, а не потому что у ней атрибуты только чтение и тп. Атрибуты сами по себе от удалить файл не помешают.
GreenDay, все это конечно хорошо, но что если вирь с флешки поставит себе целью не записаться в корень, а форматнуть тебе винт, к примеру. Или же он просто размножается как то иначе. Как твой способ в этом случае поможет?
Ограничение прав может защитить от вирусов только если ты будешь сидеть под учетной записью простого пользователя, а а не администратора(как делают линуксоиды). Это действенно но это, поверьте, очень неудобно.
Исправлено Int_21_h (17.12.08 18:22)
Offline
#27 19.12.08 05:17
#28 20.12.08 01:55
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Гаролд, а ведь ты прав. Вот и еще один простой способ для вирей обойти эту "защиту") И права не помогут если папка на флешке будет. А комп заразить можно не только записавшись в корень, а еще десятками разных способов, не мне об этом здесь рассказывать...
Мораль: отключить автозапуск в реестре и не запускать что попало с флешки самый действенный способ ИМХО. Не считая антивируса Касперского)
Offline
#29 22.12.08 18:59
#30 03.01.09 22:55
#31 21.01.09 16:29
#32 21.01.09 16:58
#33 21.01.09 17:12
#34 21.01.09 17:54
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Win32.HLLW.Shadow.based тема этого года.
Ваши варианты?
klwk и нортоновский фикс не предлагать - без пользы.
Offline
#35 21.01.09 17:58
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Касательно его функции распространения через флешки - упомянутый здесь формат флешки в нтфс, создание одной папки в которую кидаётся всё и закрытие после этого корня флешки на запись - должна канать 100%.
В остальном я так полагаю утановка хотфиксов на винду тоже решает 90% проблемы с ним.
Offline
#36 21.01.09 23:28
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Сетевой червь Win32.HLLW.Shadow.based использует уязвимости Microsoft Windows
17-01-2009 http://www.binfo.ru/main/news.asp?tp=an&id=471363
Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съемные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений:
1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
- MS08-067 (www.microsoft.com/technet/security/bull … 8-067.mspx);
- MS08-068 (www.microsoft.com/technet/security/bull … 8-068.mspx);
- MS09-001 (www.microsoft.com/technet/security/bull … 9-001.mspx).
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
Offline
#37 17.02.09 17:51
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Извиняюсь за оффтоп, но
которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7
Сквозная совместимость всех версий винды с вирусами, в очередной раз, просто поражает воображение. То есть этот косяк как написали в 2000 году, так он благополучно перекочевал до беты win7 через XP, Висту и горы сервис паков. просто мрак.
Offline
#38 17.02.09 23:22
#39 23.02.09 09:34
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Bream, А компания дрВеб не написала как лечить локальную сеть в которой порядка сотни компов и сервер на котором отключается половина служб, включая АД и шару ?? а то у меня на работе такая трабла случалась, до сих пор последствия устраняю.
Offline
#40 23.02.09 10:25
#41 23.02.09 12:43
#42 22.03.09 03:01
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Укроп написал(а):
своей подруге по телефону помню рассказывал как вкратце срочно обезопасить себя от вирусов, в отсуствии антивируса и отключить сей сраный авторан - продиктовал простой батник,
@echo off
del c:\autorun.inf
del d:\autorun.inf
del e:\autorun.inf
del f:\autorun.inf
del g:\autorun.inf
del h:\autorun.inf
и велел поместить в автозагрузку.
по сути в этом случае, даже если есть вирус в корне, то при даблклике он не будет активироваться.
такая вот экстренная скорая помощь на первый случай.
Это не я бляяя...
Исправлено Укроп (22.03.09 03:02)
Offline
#43 23.03.09 22:58
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
USB Firewall - блокирует все типы вирусов и другие программы, которые пытаются залезть на Ваш компьютер через флешку.Это приложение будет работать в фоновом режиме и оповестит Вас, если имеется программа, котороя пытается влезть на компьютер с флешки через режим автозапуска
http://soft.sibnet.ru/soft/?id=15558
Я чесна говоря программулину эту сам не смотрел. Кому интересно качайте)
Offline
#44 23.03.09 23:51
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Int_21_h написал(а):
USB Firewall
Offline
#45 09.06.09 12:34
Re: Вирусы, распространяющиеся через USB-флэшки и методы борьбы с ними
Самый действенный, на мой взгляд, способ - отключение автозапуска системными возможностями Windows: сам способ, и еще несколько, показываются здесь, я использую этот:
- Запустить gpedit.msc (можно через "Пуск" - "Выполнить..."). Требуются права администратора.
- Выбрать "Конфигурация компьютера" - "Административные шаблоны" - "Система".
- В окне справа найти пункт "Отключить автозапуск". По умолчанию он имеет свойства "Не задана".
- Изменить на "Включен" (т.е. включить отключение) и свойство "Отключить автозапуск на:" задать "Всех дисководах".
После этого ЭВМ перестанет сканировать CD и флешки в поисках autorun.inf или определения содержания этих дисков.
Offline
