Также Вы можете прочитать схожие статьи: «Что делать без антивируса, когда он так необходим?», «Как избавиться от вирусов с помощью одноразовых антивирусов». Цель данной статьи показать Вам некоторые способы, направленные на выявление и уничтожение вирусов типа «Autorun», то, с чего нужно начинать и в каком направлении двигаться. Я укажу Вам только направление, а дорогу осилит идущий. Вирусов, которые запускает/запустит пресловутый «Autorun», уже написано большое количество и предусмотреть всевозможные варианты лечения компьютера от них просто не представляется возможным, приходится «ориентироваться на местности», но все попытки начинаются именного с того, о чем пойдет речь в моей статье. Каждые 10-ть минут к нам в офис приходят Клиенты с «флешками» и так же стабильно через одну, наш Антивирус Касперского обнаруживает и удаляет на них вирусы. Нам везет и такого, чтобы Касперский пропустил вирус, в нашем офисе пока не было, а может быть деструктивная деятельность вируса еще не была замечена, что мало вероятно. Так или иначе, все компьютеры у нас работают без нареканий, и я делаю вывод, что нас спасает антивирус, мы постоянно его обновляем и особых проблем пока не испытывали. Также мы обратили внимание, что Клиенты, посредством своих флеш накопителей, сами того не предполагая, чаще всего норовят «наградить» наши компьютеры вирусом под названием «Autorun». К слову, флешки не единственное «место обитания» подобных программ. Данный вирус обязательно проникнет на жесткие диски компьютера и успешно запустится при входе на них. Autorun-вирусы – это вирусы, записывающие себя на флешку (или другое внешнее устройство) и заражающие компьютер пользователя при заходе последнего на флешку через Проводник (Explorer), не путать с Internet Explorer. Вирус записывает себя на флешку в паре с файлом «autorun.inf». В файле «autorun.inf» указывается, что вирус необходимо запустить при двойном клике на флешке в Проводнике и/или при вставке флешки в компьютер, если автозапуск для сменных устройств (флешки, CD-DVD-приводы) не был отключен. Т.е. сам по себе файл «autorun.inf» это системный файл, лежащий в корне флэшки или CD-DVD-диска и указывающий Windows, какие программы нужно запускать автоматически при подключении носителя и/или входе на него. Приведу пример файла «autorun.inf»: [autorun] open=atisetup.exe ICON=Atisetup.ico shell\launch\command=atisetup.exe shell\launch=ATI Setup Когда к Вам на компьютер попадает вирус «Autorun» от создает от 4 до 13 файлов маски «autorun.*»… Autorun.~ex autorun.bat autorun.bin Autorun.exe Autorun.ico AUTORUN.INF autorun.inf Autorun.ini autorun.reg autorun.srm autorun.txt autorun.vbs autorun.wsh …в корневых каталогах разделов жесткого диска («C», «D» и т.д.), а также в папке «Windows/System32». Кроме того, файлы вируса и файл «autorun.inf» скрытые, их не видно в стандартном Проводнике Windows по умолчанию. Но и тут, казалось бы, в чем собственно проблема, открываем «Панель управления» -> «Свойствах папки», снимаем галку «Скрывать защищенные системные файлы», переключатель «Скрытые файлы и папки» переключаем в положение «Показывать скрытый файлы и папки» и все. Вирус больше не скрыт, находим его и удаляем. Боюсь Вас расстроить, сразу после первого запуска вируса, такая возможность становится, чаще всего, недоступной. Т.е. нажав кнопку «ОК», после вышеописанных процедур, не произойдет ровным счетом ничего, а открыв «Свойства папки» повторно, Вы огорчитесь, увидев старую картину, все галки и переключатели вернутся на прежнее место. Кроме того, даже увидев эти файлы и удалив их, вероятнее всего, что через несколько секунд они вернутся к Вам обратно, т.к. вирус работает и отслеживает состояние флешек и дисков и поспешит вернуть удаленных «братьев» сразу же после удаления. На этом покончим с теорией, от нее не так много проку и перейдем к активным действиям, как пел один популярный музыкант: «Что будут стоить тысячи слов, когда важна будет крепость руки» (В. Цой), так поступим и мы, и для начала обнаружим врага, а точнее убедимся, что он где-то рядом. Итак, если по двойному щелчку мышки флешка не открывается, и появляется сообщение об ошибке, что ее невозможно открыть, т.к. отсутствует какой-либо файл, то предстоит удаление вирусов. В контекстном меню флешки (по нажатию правой кнопки мыши на ней), при этом вместо привычных пунктов «Открыть», «Проводник» появляется многообещающая строка типа «ґтїЄ(O), ЧКФґ№ЬАнЖч(X)» или вполне здравомыслящее «Open» :) Способ узнать есть ли нечто подозрительное на жестком диске компьютера также очень прост и фактически ничем не отличается от вышеприведенного. Так, если мы хотим определить, например, наличие вируса на диске «С», то открываем «Мой компьютер», наводим курсор мышки на диск «С» и щелкаем правой кнопкой мыши по нему. Откроется контекстное меню. Если первым сверху будет пункт «Открыть», то все нормально, но если там находится какая-то абракадабра, Вам опять-таки предстоит сводить счеты с вирусом. Т.е. проблема появления вышеописанных вирусов заключается в том, что при поселении их на жестком диске компьютера становится невозможным открытие локальных дисков и флеш накопителя простым двойным щелчком, т.к. таким образом, Вы будете запускать вирус. Согласитесь, мелочь, а бесит…:) Чтобы попросту не сотрясать воздух, я сейчас поищу в интернете какой-нибудь ужасный вирус, запущу его на своем компьютере и на моем примере, мы попытаемся от него избавиться различными способами. Хорошо, что я не сотрудник какой-нибудь секретной научной лаборатории, занимающейся разработкой химического или биологического оружия, а то я бы сейчас попробовал… :) Слава интернету, долго искать не пришлось, вот он: Кстати, посмотрим на реакцию Касперского, распакуем этого мерзавчика (я имею в виду вирус на рабочий стол и подождем… Реакция Касперского последовала незамедлительно: Итак, на этом этапе Касперского можно выключить, чтобы он не мешался и рассмотреть некоторые возможные способы избавления от непрошенного гостя (в моем случае «прошенного») без полноценного антивируса. Все, закрываю Касперского, возвращаю вирус на место. «Воткнули» флешку, поработали, все нормально. Теперь извлечем, поставим обратно и посмотрим на реакцию и пункты меню: Иконка внешне поменялась, какой ужас Выбрав пункт меню «Open» ничего не открывается, но это только визуально На самом деле, этим нажатием мы запускаем на исполнение вирус «cfmon.exe» (backdoor.win32.ircbot.gcz), который тихонько «лежит» в папочке «RECYCLER». Этот же пункт срабатывает по умолчанию при вставке флешки в компьютер. «… shell\open=Open shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\cfmon.exe shell\open\default=1 Исполнительный файл вируса по наименованию, очень похож на «нормальный» файл ctfmon.exe, который является программой производящей мониторинг активных окон и предоставляющей поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных. Информация с сайта securelist.com «Backdoor» Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях. Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы. |
Теперь попробуем сделать скрытые/системные файлы и папки видимыми. Сделали, оказалось, что их хорошо видно и «autorun.inf», и «RECYCLER»! Взглянем на них… …и попробуем удалить с флешки, мы же их видим. Удалились сразу, но в скором времени оба появился снова. Тут еще фаервол пристал с вопросами: Блокируем и завершаем «некое» приложение, естественно проводник полностью «слетел» и появились следующие окна: Разрешаем :) Hу и так далее, во всяком случае показать Вам примерное поведение вирусов удалось. Настало время наш вирус «попросить»... Надо удалить папку «virus» на рабочем столе, совсем забыл я про нее. ПЕРВЫЙ СПОСОБ. САМЫЙ ПРОСТОЙ. 1-1. Скачайте программу – «Anti-Autorun». Скачать программу можно здесь (ссылка на программу) или на сайте разработчика: http://www.bombina.com/s3_anti_autorun.htm. Если у Вас заражена «флешка» и/или мобильный телефон, вставьте их в компьютер перед запуском программы. 1-2. Запустите один единственный исполнительный файл «Anti-Autorun.exe». 1-3. Нажмите кнопку – «СТАРТ» или сначала «ТЕСТ», а потом «СТАРТ». Предварительно Вы можете нажать кнопку «ТЕСТ», тогда программа протестирует Ваш компьютер на наличие вируса «Autorun» и по окончанию теста выдаст результаты проверки в текстовом файле «A_test_log.txt». В дальнейшем этот файл можно найти на рабочем столе. Вот мой результат: Перезагружаем компьютер, т.к. после нажатия кнопки «Старт» все программы были закрыты и выгружены, учтите этот факт. После перезагрузки, включаем фаервол, вставляем флешку. Как видим, все нормально, теперь откроем ее: Папку «RECYCLER» удалим. Открыв папку «autorun.inf» обнаружим в ней текстовый файл, открыв который прочитаем текст следующего содержания: «Этот файл и папка "autorun.inf", в которой он находится, созданы программой Анти-ауторан (bombina.com). Папка позволяет защитить флэшку от автозапуска программ (в том числе вирусов). Этот файл препятствует удалению папки вирусами. При необходимости Вы можете удалить её вручную. ***» Фаервол молчит, никто ничего не просит, все спокойно. Запускаем Антивирус Касперского на быструю проверку. Все в порядке. Вставляем флешку, проверяем. Тоже все тихо. Программе «Anti-Autorun» и ее разработчикам – ЗАЧЁТ! ВТОРОЙ СПОСОБ. Тут обойдемся без примеров, хочу Касперским полностью компьютер проверить и соединение с интернетом не хочу разрывать. Я его, когда с вирусами дела имею, всегда разрываю, так спокойней жить :) 2-1. Запускаем командную строку Windows. Для этого открываем меню «ПУСК» -> «Выполнить…» (или нажимаем комбинацию клавиш <Win+R>, последовательно, т.е. сначала <Win> и не отпуская последней <R>. Клавиша <Win> чаще всего находится между <Ctrl> и <Alt> и выглядит, как изображение окна). 2-2. В поле «Открыть» окна «Запуск программы» введите «cmd» (на английском языке) и нажмите кнопку «ОК». 2-3. Откроется командный интерпретатор Windows. Здесь можно набирать различные команды, все команды вводятся только на английском языке. В командной строке последовательно выполняем команды: del /a:hrs X:\Autorun.~ex del /a:hrs X:\Autorun.bat del /a:hrs X:\autorun.bin del /a:hrs X:\Autorun.exe del /a:hrs X:\Autorun.ico del /a:hrs X:\autorun.inf_????? del /a:hrs X:\autorun.inf del /a:hrs X:\autorun.ini del /a:hrs X:\autorun.reg del /a:hrs X:\autorun.srm del /a:hrs X:\autorun.txt del /a:hrs X:\autorun.vbs del /a:hrs X:\autorun.wsh del /a:hrs X:\AUTORUN.FCB X – это буква флешки. Поищите и удалите эти же файлы из папки «Windows\system32». 2-4. Закрываем командный интерпретатор Windows.
|