Когда AUTORUN.INF по-настоящему AUTORUN.INF? |
USB-черви создают файл с именем AUTORUN.INF в корне USB-устройства. Далее эти INF-файлы используют Автозапуск или Автопроигрывание (это не одно и тоже!) для запуска самих себя во время подключения флешки или, как обычно бывает, когда пользователь дважды кликает на иконке USB-устройства в обозревателе Windows.
Эти вредоносные файлы AUTORUN.INF достаточно легко обнаружить. Вот как они обычно выглядят:
Но червь
Итак, это бинарный мусор, который не работает. Верно?
Взглянем ближе.
Текст, достойный внимания, можно обнаружить где-то в середине 90 килобайтового файла. В нижней части скриншота. Видите?
Open=RUNDLL32.EXE .\RECYCLER\jwgvsq.vmx
...который исполняет DLL с именем jwgvsq.vmx из скрытой папки на USB-устройстве.
Весь остальной бинарный мусор - это комментарии, которые игнорируются операционной системой. Естественно, что размер файла и количество мусора каждый раз разные.
По материалам
Рубрики: | компьютер компьютерная защита |
Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |
Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |