Вирусы на USB flash drive
03-04-2008 21:43
к комментариям - к полной версии
- понравилось!
[167x300]
Знаете ли вы что Есть вирусы которые могут распростарняться с помощью USB флэш драйва ?
Недавно я столкнулся с таким вирусом (activexdebugger.exe). вернее это был достаточно безобидный троянец. Он записывал свои файлы на USB drive и регистрировал автозагрузку в файл autorun.inf который находиться на флэш драйве и на Windows XP где работает автозапуск с CD-ROM этот вирус автоматически запускался. Причем McAfee не замечал его а вот Касперский это словил.
При этом на флеш накопителе не работает двойной клик. Двойной клик приводил к запуску троянца на компьюетре где подключен этот USb drive. Также вирус открывал на полный доступ в сеть все локальные диски C: D:
Замечено также что на некоторых компьютерах-жертвах двойнок клик не работал также и для обычных дисков, видимо вирус их путал с USB флэшками
Вот как этот вирус прописывался в autorun:
[AutoRun]
open=activexdebugger32.exe
shellexecute=activexdebugger32.exe f
shell\Auto\command=activexdebugger32.exe f
shell=Auto
shell\open=Open(&O)
shell\open\Command=activexdebugger32.exe f
shell\open\Default=1
shell\explore=Explorer(&X)
shell\explore\Command=activexdebugger32.exe f
файлы которые пренадлежат вирусу :
2007-07-06 21:23 19,456 –a—— C:\WINDOWS\system32\KTKBDHK3.DLL
2007-06-24 00:00 52 –a—— C:\WINDOWS\system\ACD2.CMD
2007-06-24 00:00 52 –a—— C:\WINDOWS\system\ACD.CMD
2007-06-24 00:00 24,626 –a—— C:\WINDOWS\system32\scrrntr.dll
2007-06-24 00:00 20,480 –a—— C:\WINDOWS\system32\PAC.EXE
2007-06-24 00:00 180,224 –a—— C:\WINDOWS\system32\Ijl11.dll
2007-05-22 15:53 376832 —hs—- C:\WINDOWS\system32\activexdebugger32.exe
Для запуска Вирус прописывался в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ: Shell
Обновление:
Небольшой совет - чтобы открыть в проводнике USB флэш БЕЗ автозапуска autorun.inf неоходимо в строке адреса набрать E:\ (буква флэшки)
Чтобы просмотреть содержимое autorun.inf - открыть notepad.exe и в диалоге открытия файла набрать "E:\autorun.inf".
Чтобы просмотреть все скрытые и системный файлы/папки на флэшке - запустить cmd.exe и там дать команду "dir e:\ /A:HS" где e: это буква флэшки.
Удачи .
вверх^
к полной версии
понравилось!
в evernote
[167x300]Знаете ли вы что Есть вирусы которые могут распростарняться с помощью USB флэш драйва ?
Недавно я столкнулся с таким вирусом (activexdebugger.exe). вернее это был достаточно безобидный троянец. Он записывал свои файлы на USB drive и регистрировал автозагрузку в файл autorun.inf который находиться на флэш драйве и на Windows XP где работает автозапуск с CD-ROM этот вирус автоматически запускался. Причем McAfee не замечал его а вот Касперский это словил.
При этом на флеш накопителе не работает двойной клик. Двойной клик приводил к запуску троянца на компьюетре где подключен этот USb drive. Также вирус открывал на полный доступ в сеть все локальные диски C: D:
Замечено также что на некоторых компьютерах-жертвах двойнок клик не работал также и для обычных дисков, видимо вирус их путал с USB флэшками
Вот как этот вирус прописывался в autorun:
[AutoRun]
open=activexdebugger32.exe
shellexecute=activexdebugger32.exe f
shell\Auto\command=activexdebugger32.exe f
shell=Auto
shell\open=Open(&O)
shell\open\Command=activexdebugger32.exe f
shell\open\Default=1
shell\explore=Explorer(&X)
shell\explore\Command=activexdebugger32.exe f
файлы которые пренадлежат вирусу :
2007-07-06 21:23 19,456 –a—— C:\WINDOWS\system32\KTKBDHK3.DLL
2007-06-24 00:00 52 –a—— C:\WINDOWS\system\ACD2.CMD
2007-06-24 00:00 52 –a—— C:\WINDOWS\system\ACD.CMD
2007-06-24 00:00 24,626 –a—— C:\WINDOWS\system32\scrrntr.dll
2007-06-24 00:00 20,480 –a—— C:\WINDOWS\system32\PAC.EXE
2007-06-24 00:00 180,224 –a—— C:\WINDOWS\system32\Ijl11.dll
2007-05-22 15:53 376832 —hs—- C:\WINDOWS\system32\activexdebugger32.exe
Для запуска Вирус прописывался в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ: Shell
Обновление:
Небольшой совет - чтобы открыть в проводнике USB флэш БЕЗ автозапуска autorun.inf неоходимо в строке адреса набрать E:\ (буква флэшки)
Чтобы просмотреть содержимое autorun.inf - открыть notepad.exe и в диалоге открытия файла набрать "E:\autorun.inf".
Чтобы просмотреть все скрытые и системный файлы/папки на флэшке - запустить cmd.exe и там дать команду "dir e:\ /A:HS" где e: это буква флэшки.
Удачи .
Комментарии (1):
02-06-2008-15:51
удалить
Про єто я знаю, а вот как с ним бороться? Антивирус его удаляет, но до первой перезагрузки...
Комментарии (1):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Вирусы на USB flash drive | Гламурный_котёнок - Дневник The_programmer |
Лента друзей Гламурный_котёнок
/ Полная версия
Добавить в друзья
Страницы:
раньше»