• Авторизация
Дневник simple-pc Лента друзей - Дневник - Полная версия Mayfly (simple-pc)


Когда AUTORUN.INF по-настоящему AUTORUN.INF? 31-01-2009 09:43 к комментариям - к полной версии - понравилось!


Когда AUTORUN.INF по-настоящему AUTORUN.INF?

USB-черви создают файл с именем AUTORUN.INF в корне USB-устройства. Далее эти INF-файлы используют Автозапуск или Автопроигрывание (это не одно и тоже!) для запуска самих себя во время подключения флешки или, как обычно бывает, когда пользователь дважды кликает на иконке USB-устройства в обозревателе Windows.

[440x330]

Эти вредоносные файлы AUTORUN.INF достаточно легко обнаружить. Вот как они обычно выглядят:

[482x187]

Но червь Downadup не создает файлы так, как показано выше. Вот как выглядят файлы AUTORUN.INF, которые он оставляет на USB-устройстве:

[500x319]

Итак, это бинарный мусор, который не работает. Верно?

Взглянем ближе.

[500x319]

Текст, достойный внимания, можно обнаружить где-то в середине 90 килобайтового файла. В нижней части скриншота. Видите?

Open=RUNDLL32.EXE .\RECYCLER\jwgvsq.vmx

...который исполняет DLL с именем jwgvsq.vmx из скрытой папки на USB-устройстве.

Весь остальной бинарный мусор - это комментарии, которые игнорируются операционной системой. Естественно, что размер файла и количество мусора каждый раз разные.

По материалам f-secure.com.

вверх^ к полной версии понравилось! в evernote
Комментарии (6):
Akvarel 08-03-2009-16:20 удалить
так. я поняла все, включая момент, как его просмотреть. А удалить? Ничерта не удаляется.
Обратиться - Ответить - К полной версии
Mayfly 08-03-2009-16:31 удалить
Eskiz, удалить либо антивирусом, либо... Некоторые червяки можно удалить таким образом: 1) Включаешь Диспетчер задач (Ctrl + Alt + Del) 2) В списке процессов надо найти тот, который соответствует вирусу, и уничтожить его. Тут важно не ошибиться и не удалить какой-нибудь важный, вроде Explorer.EXE. Если этого не сделать, то можно вирус удалять бесконечно долго - он будет появляться снова через некоторое время, потому что "висит" в системе. 3) Удалить вручную все подозрительные файлы (Autorun.EXE и другие). Некоторые вирусы "прячут папки", создавая взамен их EXE-файлы. Следует эти EXE-файлы удалить, а в атрибутах каталогов убрать птичку напротив атрибута "Скрытый". Для этого можно воспользоваться Total Commander или любимый нами FAR.
Обратиться - Ответить - К полной версии
Akvarel 08-03-2009-16:39 удалить
2: то есть я могу случайно удалить и какой-то нужный авторан? => в общем, проще не выёживаться и поставить антивирус. 3: в общем и целом поняла, буду пытаться. насчет сообщества - ты молодец, хорошее оно.
Обратиться - Ответить - К полной версии
Mayfly 08-03-2009-16:45 удалить
Eskiz, 2) Можешь. Поэтому тем, кто мало этим занимался, не советую. Кстати, думаю поискать информацию об этих нужных... Конечно, проще! Но я как-то столкнулся со случаем, когда антивирус в универе был старым, и вирус пытался переползти на мою флешку. И тогда способ помог. 3) Отлично! Спасибо )
Обратиться - Ответить - К полной версии
Akvarel 08-03-2009-17:26 удалить
Mayfly, а у меня все наоборот. Дома антивирус старый, на работе - новый. Официальный на год купить как-то недосуг, а знакомых, которые могут поставить, все, что надо как-то нема. Поэтому занимаюсь тем, что гордо бью себя пяткой в грудь со словами "я не нуп" и собсна довожу бедный ноутбук уже, кажется, до истерики :)
Обратиться - Ответить - К полной версии


Комментарии (6): вверх^

Вы сейчас не можете прокомментировать это сообщение.

Дневник Когда AUTORUN.INF по-настоящему AUTORUN.INF? | simple-pc - Компьютер, Интернет и программирование | Лента друзей simple-pc / Полная версия Добавить в друзья Страницы: раньше»