Как отличить autorun флешки от похожего вируса
09.09.08Мой Компьютер, №16, 14.04.2008
Я думаю, приведенный пример будет полезен всем пользователям флэшек (т.е. практически всем в связи с массовостью, миниатюрностью и мобильностью последних). Ввиду того, что вирусов (типа autorun.*, где вместо звездочки могут стоять различные разрешения: inf, exe, vbs, txt, bat), заражающих флэшки, сейчас развелось немало, и у людей возникают много вопросов и проблем в связи с их удалением. (В статье описана типичная ситуация, которая может произойти с каждым. Только вирусы могут меняться. Поэтому приведенную здесь пошаговую методику поиска и лечения советуем вам запомнить. — Прим. ред.) До последнего времени на помощь для борьбы с файлами типа autorun использовался любимый антивирус Nod32 ver.2.70.32. На личном опыте убедился, что 90% флэшек, с которыми мне приходилось иметь дело, заражены авторанами — антивирус спасал от них мой компьютер исправно.
Но беда нагрянула с утра, а впереди еще целый день работы. (Кстати, моя работа связана с распечаткой и набором текста в частности, так что народ с флэшками — это мой основной контингент. А с утра словить вирус — кошмар!!! Как потом в глаза смотреть клиентам, которым ты подсунул вирус и стал прямым участником в цепочке его распространения?)
Обнаружил его, когда увидел, что при попытке доступиться к локальному диску последний открывается в новом окошке. Компьютер используется несколькими людьми, поэтому, подумал я, кто-то поставил в настройках Окошек переключатель на открытие каждой папки в новом окне. Проверил: Сервис > Свойство папки — стоит переключатель Открывать папки в одном и том же окне.
Стало понятно, что что-то здесь не так. Обычно подобные вирусы (по моему личному опыту) добавляли новую запись в меню открытия диска (что-то вроде Open (0)). Я иду в контекстное меню, а там — как положено, никаких подвохов.
Захотел убедиться в правильности моих доводов в пользу наличия авторана. Захожу в Сервис > Свойство папки > Вид, ставлю переключатель на Отображение скрытых файлов, снимаю галочку Скрывать защищенные системные файлы (рекомендуется).
Ничего не меняется. Хочу снова переключиться на Отображение скрытых файлов и замечаю, что кто-то или что-то переставляет режим на Не показывать скрытые файлы и папки.
Стало как-то очень интересно. Антивирус пропустил вирус!!!
Умный вирус, отметил про себя. Проверяю список процессов через Ctrl+Alt+Del (taskmgr) и… хм, ничего лишнего вроде бы в процессах не висит.
Проверяю известные пути Автозапуска через regedit.exe. Пуск > Выполнить — набрал regedit. Открывается реестр. Ищу ветви:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Все чисто!!!
Ну очень мне захотелось посмотреть на скрытые файлы на локальных дисках. Я открыл старый добрый Total Commander. У меня по умолчанию настроена программа на показ всех файлов. Наконец-то! Я увидел собственными глазами autorun.inf и подозрительный командный файл rthrw.com (причем, данные файлы были на всех локальных дисках)!
Для тех, у кого нет Тотала, можно поступить так: Пуск > Выполнить — набрать cmd. В командной строке набрать команду cd (переход в главный каталог). Потом dir c: /а (параметр а означает просмотр файлов со всевозможными атрибутами).
В Тотале решил удалить файл autorun.inf и rthrw.com. Удалив, наблюдаю картину: файлы опять появляются, прямо на глазах. Из этого можно сделать вывод, что данные файлы являются следствием, а причина кроется глубже. Вирус поместил в память процесс, который постоянно следит за сохранностью файлов на локальных дисках. В Интернете нашел только ссылку на польский форум, в котором что-то говорилось об этом вирусе (польским не владею, поэтому информация оказалась для меня неактуальной). Зашел на сайт www.pandasoftware.com, где есть онлайн-проверка на вирусы: http://www.pandasoftware.com/activescan/activescan/ascan_2.asp.
Загрузил (хорошо, что на работе безлимитный Интернет :-), и… никакого эффекта :-(.
Паниковать рано!!! Решил избавиться вручную от вируса. С сайта Мелкософта скачал две интересные программы: Autoruns (программа отображает все возможные места автозапуска программ драйверов и т.д.), оттуда же за компанию для детального анализа решил скачать Process Explorer (показывает детальную информацию об активных процессах) и Process Monitor (следит за действиями всех процессов в системе, такими как обращение к реестру, файловой системе и т.д.). Для начала решил зайти в реестр и вернуть все-таки галочку на Показывать скрытые файлы и папки вручную. Открыл ветвь реестра
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue и изменил параметры «CheckedValue»=dword:00000001, «DefaultValue»=dword:00000001
Оказывается, на месте 1 стояло 2. Опять ничего не поменялось. Загрузил Process Monitor, настроил фильтр на обращение к реестру и заметил, что процесс Explorer.exe каждые 10 секунд меняет этот параметр в значение 00000002, т.е. изменить его не получится, по крайней мере, пока процесс Explorer.exe активен.
Стало понятно, что этот процесс точно заражен вирусом. Решил покопаться в нем. Запустил Process Explorer и в списке подгруженных к процессу библиотек заметил одну странную библиотеку с названием amv0.dll (странной она мне показалась по следующим причинам: во-первых, на ней отсутствовала подпись «Корпорация Майрософт», во-вторых, название очень странное, amv0 — обычно так называется процесс антивируса, а у меня стоит Nod32, который в процессах отображается как nod32kui.exe)
Через Find Dll в меню ProcessExplorer`a я заметил, что кроме Explorer.exe библиотека также подгружена еще к некоторым процессам. В вирусе стоит хук на создание окна, таким образом он подгружается ко всем «оконным» процессам. Довольно простой и распространенный метод внедрения DLL. Я даже немного разочаровался :-(.
Далее запустил программу Autoruns и в списке загружаемых из разных мест приложений заметил некий файл avpo.exe — ну ясно, почему я его заметил :-). Видимо, это и есть загрузчик библиотеки, который подгружает ее к explorer.exe. На этом, можно сказать, самое интересное закончилось — вирус обнаружен!
Теперь осталось его удалить, а сделать это оказалось совсем не трудно. Во-первых, я все же отключил автозапуск дисков: через Пуск > Выполнить набрал gpedit.msc > Политика «локальный компьютер» > Конфигурация компьютера > Административные шаблоны > Система > Отключить автозапуск.
Далее удалил через программу Autoruns ветку реестра, которая загружала файл amv0.exe. Перезагрузил компьютер, затем через Total Commander удалил autorun.inf и rthrw.com на всех локальных дисках и по следующему пути C:Windowssystem32 — два файла amv0.exe и amvo0.dll. Перезагрузил компьютер, но Explorer так и не захотел показывать мне скрытые файлы. Значит, вирус где-то что-то поменял все-таки.
И тут я вспомнил про те оставшиеся три параметра, которые обновлял вирус через каждые 10 секунд. Эти параметры «регулировали» переключатели Показывать/не показывать скрытые файлы и папки в меню Сервис > Свойства папки > Вид. Я поступил таким же образом, как описано выше. Открыл ветвь реестра HKEY_
LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden
SHOWALLCheckedValue
и изменил параметры:
«CheckedValue»=dword:00000001.
Оказывается, на месте 1 стояло 2.
Внимательно посмотрев на весь этот раздел, я был весьма удивлен: как же легко можно запретить Explorer`у отображение скрытых файлов — достаточно поменять значение параметра
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLCheckedValue
с 00000001 на 00000002, и все! После этого любые попытки поставить галочку на Показывать скрытые файлы и папки ничего не дадут. Кстати, в настройках корзины у меня изначально стояла галочка Уничтожать файлы сразу после удаления, не помещая их в корзину, но на всякий случай я удалил с помощью Total Commander папку Recycled на всех локальных дисках.
На этом заканчиваю свое маленькое, но, думаю, очень полезное повествование. За своих клиентов я теперь спокоен.
Удачи в борьбе с вирусами!!!
Web-droid редактор
Не пропустите интересное!
Підписывайтесь на наши каналы и читайте анонсы хай-тек новостей, тестов и обзоров в удобном формате!


Samsung Galaxy A36 и Galaxy A56 — доступные флагманские технологии



У Samsung Galaxy A36 и Galaxy A56 одинаково хорошие дисплеи, емкие аккумуляторы, есть поддержка обновлений софта в течение 6 лет. Расскажем подробнее чем еще они интересны

Moto Book 60 — первый ноутбук компании Motorola, он оснащен процессорами Intel Core 7/5, 14″ OLED Intel Motorola ноутбук
Корпус ноутбука Moto Book 60 выполнен из металла и сертифицирован по военному стандарту MIL-STD-810H, масса устройства составляет 1,39 кг.
Hyundai разработала встроенную систему пожаротушения батарей электромобиля Hyundai разработка
Hyundai Mobis представила разработку в области безопасности электромобилей — батарейную систему, способную локализовать возгорание на уровне отдельной ячейки