Когда AUTORUN.INF по-настоящему AUTORUN.INF?

Суббота, 31 Января 2009 г. 09:43 + в цитатник

Mayfly все записи автора

Когда AUTORUN.INF по-настоящему AUTORUN.INF?

USB-черви создают файл с именем AUTORUN.INF в корне USB-устройства. Далее эти INF-файлы используют Автозапуск или Автопроигрывание (это не одно и тоже!) для запуска самих себя во время подключения флешки или, как обычно бывает, когда пользователь дважды кликает на иконке USB-устройства в обозревателе Windows.

Эти вредоносные файлы AUTORUN.INF достаточно легко обнаружить. Вот как они обычно выглядят:

Но червь Downadup не создает файлы так, как показано выше. Вот как выглядят файлы AUTORUN.INF, которые он оставляет на USB-устройстве:

Итак, это бинарный мусор, который не работает. Верно?

Взглянем ближе.

Текст, достойный внимания, можно обнаружить где-то в середине 90 килобайтового файла. В нижней части скриншота. Видите?

Open=RUNDLL32.EXE .\RECYCLER\jwgvsq.vmx

...который исполняет DLL с именем jwgvsq.vmx из скрытой папки на USB-устройстве.

Весь остальной бинарный мусор - это комментарии, которые игнорируются операционной системой. Естественно, что размер файла и количество мусора каждый раз разные.

По материалам f-secure.com.

Рубрики:

компьютер
компьютерная защита

<a href="https://www.liveinternet.ru/community/simple-pc/post95145189/">РљРѕРіРґР° AUTORUN.INF РїРѕ-РЅР°СЃС‚РѕСЏС‰РµРјСѓ AUTORUN.INF?</a><br/>РљРѕРіРґР° AUTORUN.INF РїРѕ-РЅР°СЃС‚РѕСЏС‰РµРјСѓ AUTORUN.INF?
USB-С‡РµСЂРІРё СЃРѕР·РґР°СЋС‚ С„Р°Р№Р» СЃ РёРјРµРЅРµРј AUTORUN.INF РІ РєРѕСЂРЅРµ USB-СѓСЃС‚СЂРѕР№СЃС‚РІР°. Р”Р°Р»РµРµ СЌС‚Рё INF-С„Р°Р№Р»С‹ РёСЃРїРѕР»СЊР·СѓСЋС‚ РђРІС‚РѕР·Р°РїСѓСЃРє РёР»Рё РђРІС‚РѕРїСЂРѕРёРіСЂС‹РІР°РЅРёРµ (СЌС‚Рѕ РЅРµ РѕРґРЅРѕ Рё С‚РѕР¶Рµ!) РґР»СЏ Р·Р°РїСѓСЃРєР° СЃР°РјРёС… СЃРµР±СЏ РІРѕ РІСЂРµРјСЏ РїРѕРґРєР»СЋС‡РµРЅРёСЏ С„Р»РµС€РєРё РёР»Рё, РєР°Рє РѕР±С‹С‡РЅРѕ Р±С‹РІР°РµС‚, РєРѕРіРґР° РїРѕР»СЊР·РѕРІР°С‚РµР»СЊ РґРІР°Р¶РґС‹ РєР»РёРєР°РµС‚ РЅР° РёРєРѕРЅРєРµ USB-СѓСЃС‚СЂРѕР№СЃС‚РІР° РІ РѕР±РѕР·СЂРµРІР°С‚РµР»Рµ Windows.

РС‚Рё РІСЂРµРґРѕРЅРѕСЃРЅС‹Рµ С„Р°Р№Р»С‹ AUTORUN.INF РґРѕСЃС‚Р°С‚РѕС‡РЅРѕ Р»РµРіРєРѕ РѕР±РЅР°СЂСѓР¶РёС‚СЊ. Р’РѕС‚ РєР°Рє РѕРЅРё РѕР±С‹С‡РЅРѕ РІС‹РіР»СЏРґСЏС‚:

РќРѕ С‡РµСЂРІСЊ Downadup РЅРµ СЃРѕР·РґР°РµС‚ С„Р°Р№Р»С‹ С‚Р°Рє, РєР°Рє РїРѕРєР°Р·Р°РЅРѕ РІС‹С€Рµ. Р’РѕС‚ РєР°Рє РІС‹РіР»СЏРґСЏС‚ С„Р°Р№Р»С‹ AUTORUN.INF, РєРѕС‚РѕСЂС‹Рµ РѕРЅ РѕСЃС‚Р°РІР»СЏРµС‚ РЅР° USB-СѓСЃС‚СЂРѕР№СЃС‚РІРµ:

РС‚Р°Рє,... <a href="https://www.liveinternet.ru/community/simple-pc/post95145189/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

Akvarel обратиться по имени Воскресенье, 08 Марта 2009 г. 16:20 (ссылка)

так. я поняла все, включая момент, как его просмотреть. А удалить?
Ничерта не удаляется.

Ответить С цитатой В цитатник

Mayfly обратиться по имени Воскресенье, 08 Марта 2009 г. 16:31 (ссылка)

Eskiz, удалить либо антивирусом, либо...
Некоторые червяки можно удалить таким образом:
1) Включаешь Диспетчер задач (Ctrl + Alt + Del)
2) В списке процессов надо найти тот, который соответствует вирусу, и уничтожить его. Тут важно не ошибиться и не удалить какой-нибудь важный, вроде Explorer.EXE.
Если этого не сделать, то можно вирус удалять бесконечно долго - он будет появляться снова через некоторое время, потому что "висит" в системе.
3) Удалить вручную все подозрительные файлы (Autorun.EXE и другие). Некоторые вирусы "прячут папки", создавая взамен их EXE-файлы. Следует эти EXE-файлы удалить, а в атрибутах каталогов убрать птичку напротив атрибута "Скрытый". Для этого можно воспользоваться Total Commander или любимый нами FAR.

Ответить С цитатой В цитатник

Akvarel обратиться по имени Воскресенье, 08 Марта 2009 г. 16:39 (ссылка)

2: то есть я могу случайно удалить и какой-то нужный авторан? => в общем, проще не выёживаться и поставить антивирус.
3: в общем и целом поняла, буду пытаться.

насчет сообщества - ты молодец, хорошее оно.

Ответить С цитатой В цитатник

Mayfly обратиться по имени Воскресенье, 08 Марта 2009 г. 16:45 (ссылка)

Eskiz,
2) Можешь. Поэтому тем, кто мало этим занимался, не советую. Кстати, думаю поискать информацию об этих нужных...
Конечно, проще! Но я как-то столкнулся со случаем, когда антивирус в универе был старым, и вирус пытался переползти на мою флешку. И тогда способ помог.
3) Отлично!

Спасибо )

Ответить С цитатой В цитатник

LiveInternetLiveInternet

-Рубрики

-Поиск по дневнику

-Подписка по e-mail

-Интересы

-Постоянные читатели

-Статистика

Когда AUTORUN.INF по-настоящему AUTORUN.INF?

Когда AUTORUN.INF по-настоящему AUTORUN.INF?