Mayfly все записи автора

Когда AUTORUN.INF по-настоящему AUTORUN.INF?

USB-черви создают файл с именем AUTORUN.INF в корне USB-устройства. Далее эти INF-файлы используют Автозапуск или Автопроигрывание (это не одно и тоже!) для запуска самих себя во время подключения флешки или, как обычно бывает, когда пользователь дважды кликает на иконке USB-устройства в обозревателе Windows.

Эти вредоносные файлы AUTORUN.INF достаточно легко обнаружить. Вот как они обычно выглядят:

Но червь Downadup не создает файлы так, как показано выше. Вот как выглядят файлы AUTORUN.INF, которые он оставляет на USB-устройстве:

Итак, это бинарный мусор, который не работает. Верно?

Взглянем ближе.

Текст, достойный внимания, можно обнаружить где-то в середине 90 килобайтового файла. В нижней части скриншота. Видите?

Open=RUNDLL32.EXE .\RECYCLER\jwgvsq.vmx

...который исполняет DLL с именем jwgvsq.vmx из скрытой папки на USB-устройстве.

Весь остальной бинарный мусор - это комментарии, которые игнорируются операционной системой. Естественно, что размер файла и количество мусора каждый раз разные.

По материалам f-secure.com.