Вирусы, живущие на флешке. Будь осторожен.

В последнее время достаточно часто приходится слышать о вирусах распространяющихся преимущественно через съёмные usb-drive или попросту говоря через флешки.
Хотел бы отметить, что процент встречаемости данной заразы составляет чуть ли не 80%  (и продолжает расти) от всех случаев обращения за помощью. Подобный бурный рост, скорее всего можно объяснить широким распространением флеш-накопителей среди населения.
В контексте данной статьи мы рассмотрим принципиальные особенности инфекции через флеш: как именно происходит заражение системы, как распознать «на глаз» заражена ли флешка, и что делать, если вы всё же подцепили такую заразу.

Итак, на самом деле, механизм инфекции не отличается особой изощрённостью, за некоторыми исключениями, разумеется.
Заражение чаще всего происходит в момент попытки посмотреть содержимое флешки (это может быть двойной щелчок мышью или нажатие на выделенный значок диска клавишей ввод). Я не зря так тщательно, почти даже по-детски, описал процесс открытия флеш — весь «секрет заражения» как раз и заключается в способе просмотра диска. При открытии диска должен сработать «авторан» или автозапуск содержимого.

ВНИМАНИЕ! Для того, чтобы авторан-вирус заразил вашу систему в некоторых случаях достаточно просто того, чтобы флешка была вставлена в USB.

Суть автозапуска заключается в следующем. В корне инфицированного флеш-диска можно найти файл autorun.inf содержимое которого (а это простой текстовый файл) указывает путь к исполняемому файлу (файл может иметь и .com расширение). Как правило, исполняемый файл — а это и есть наш вирус, располагается также в корне флеш-диска либо в папке, которая имеет отрибуты «скрытый». Файл autorun.inf и исполняемый файл имеют как правило атрибуты «системный», «только чтение» и «скрытый».

Существует достаточно простой и эффективный способ как можно распознать, заражена флешка или нет, но оговорюсь, что каждое правило имеет свои неожиданные исключения. Одним из наиболее простых способов засечь такую заразу является щелчок правой кнопкой мыши по диску. Появление первым жирным пунктом «Автозапуск» должно насторожить: скорее всего, ваша флешка инфицирована:

autorun

Рис. 1 «Автозапуск»

Рекомендуемые в данном случае действия:
1) Просканировать вашу флешку антивирусом (хотя, если при открытии флеш, резидентный антивирусный монитор не смог распознать заразу – шансов её найти при сканировании мало)

recycled\kesha.exe

Рис.2

К слову будет сказано, после лечения антивирусом попытка открытия флеш может выглядеть, как показано на рис 2. Такое сообщение обусловлено тем, что антивирус, скорее всего, удалил лишь исполняемый файл, оставив при этом autorun.inf лежать на своём месте.

2)    Попытаться удалить заразу своими руками (чем мы сейчас и займёмся)
В самом простом варианте очищение от «чужого» подразумевает простое удаление исполняемого файла и файла автозапуска. Дабы не вводить читателя в дебри командной строки, наиболее резонным вариантом доступа к заражённой флеш-диску может стать Total Commander. Просто открываем «тоталом» флеш, устанавливаем  параметры «Отображать скрытые файлы» и удаляем непрошенных гостей:

8ng8w

Рис.3 Непрошенные гости «тут как тут»

В тяжелых случаях пользователь может столкнуться со следующим:

 Вирус попытается дезактивировать функцию отображения скрытых файлов и папок, что сделает невозможным увидеть «зло».
Выход: Запустить Поиск файлов на флешке, указав .inf как шаблон (не забыв при этом выставить условия «поиск скрытых и системных файлов»).
 Инфицированный флеш-диск будет выглядеть «как здоровый» (в меню правой кнопки вы не найдёте жирной строки «автозапуск»). В этом случае, однако, могут иметь место странности в меню диска: непонятные иероглифы и так далее, что также говорит об инфекции.
 Не исключён и вариант, когда в меню флеш будет всё в порядке, но открытие диска займет подозрительно большое время или при открытии выскочит ошибка — в любом из подобных случаев будет не лишним просмотреть диск на наличие уже упомянутого autorun.inf.

 И напоследок, рассмотрим на живом примере один из таких вирусов (если быть более точным троянов) Kesha.exe, который уже получил статус   «народного любимца».
В корне инфицированного флеш-диска располагается уже нам знакомый autorun.inf такого содержания:

[autorun]
UseAutoPlay=1
shellExecute=Recycled\KESHA.EXE

Здесь же на диске — скрытая папка Recycled. В ней два файла — исполняемый Kesha.exe и текстовый файл Nosferatu.txt с довольно оригинальным «напутствием»:

Смотри же и глазам своим не верь.
На небе затаился чёрный зверь.
В глазах его я чувствую беду...

heur.trojan.generic

Рис.4. Касперский распознал нашего «Кешу» как модификацию Heur.Trojan.Generic

Говоря о заразе передающийся через авторан, уместно будет напомнить, что существует, по-крайней мере, два радикальных способа забыть о вирусах передающихся через флеш-драйв. Один из них — это отключение поддержки USB на аппаратном уровне: заходим в BIOS/выбираем Integrated Peripherals/USB Host Controller/Disabled. Понятно, что таким способом можно воспользоваться, если вы не намерены пользоваться флешкой на локальном машине. Есть и другие варианты защиты от авторан-вирусов. А почему бы просто не отключить автоматический запуск содержимого? Для этого:

Пуск/Программы/Стандартные/Командная строка/вводим gpedit.msc
В появившемся окне групповой политики выбираем: Административные шаблоны/Система/Отключить Автозапуск

свойства: отключить автозапуск

Рис. 5 Отключаем автозапуск

Ну что ж, вот, пожалуй, и всё.  Здоровья вам и вашему компьютеру.

Олег Бойцев