Зникають файли на флешці

21.11.2015

Більшість вірусних атак відображає антивірусна програма. Який-небудь антивірус обов'язково встановлюють на комп'ютер. Починаючи з Windows версії 8 антивірус вбудований в операційну систему, хоча користувач як і раніше може замість нього використовувати іншу любиться антивірусну програму.

Антивірус щодо бадьоро знищує відомі йому штами вірусів, але погано справляється з виявленням нових вірусів, поки ще не внесених в антивірусну базу. Розробники антивірусів всіляко намагаються забезпечити антивірус "евристичними" здібностями виявляти нові віруси по всяких непрямими ознаками і нібито підозрілого поведінки, але на ділі це зазвичай обертається тільки додатковими проблемами, такий антивірус активно заважає роботі, а новий вірус все одно найчастіше проскакує непоміченим.

Невелике установа, з десяток комп'ютерів під Windows XP, в штаті немає не тільки комп'ютерника, а й чоловіків. "Караул, у нас напевно орудує вірус - з флешок видаляються всі документи!". А установа якраз з тих, яке активно відвідують клієнти з флешками. Можливо один з них і приніс вірус, і тепер виникла небезпека подальшого природного поширення. Користувач показує флешку: На перший погляд все в порядку, користувач звичним рухом мишки намагається відкрити папку або файл, але вони не відкриваються. Трохи Потикавшись і зневажати, користувач звертає увагу, що значки папок мають в лівому нижньому кутку стрілочку. Значить це ярлики. А де самі документи? Де, де - мабуть саме там.

Дивлюся на флешку, ясна річ, програмою FAR, бачу картину: Виявляється все файли і папки на місці, просто їм вірус присвоїв атрибути Прихований і Системний. Крім того, вірус створив ярлики, які мають такі ж імена, як і приховані файли і папки. І якщо користувач в меню Сервіс - Властивості папки включить такі режими: то він теж все чудово побачить: Причому видно і сам вірус, який привласнив собі випадкове ім'я, в даному випадку - xmUbRet.exe.

Кожен з "фальшивих" ярликів виконує всякі шкідливі дії, одне з яких - запуск цього вірусу. Тому, відкриваючи ці ярлики, користувач своїми руками і заражає комп'ютер, в який вставлена ​​флешка. Більшість вірусів, що поширюються через флешки, використовують для своєї активізації механізм автозапуску, тобто сумнозвісний файл AUTORUN.INF. Але цей спосіб тепер всім відомий, тому все менш ефективний. А наш вірус для своєї активізації використовує не автозапуск Windows, а самого користувача і не помиляється - користувач багаторазово запускає вірус, тикаючи мишкою в ці ярлики.

Справа відбувається в першій половині доби 9 листопада 2015 року. Аналіз вірусу через кілька годин на сайті www.virustotal.com показав, що його детектируют то чи 3, чи то 5 антивірусів з 55. Приблизно ще через добу-дві його виявляли близько 20 антивірусів, а 15-го листопада виявляли 40 антивірусів. Виявилося, що цей вірус в різних антивірусних програмах називається так:

Microsoft Worm: Win32 / Dorkbot! Rfn DrWeb Trojan.DownLoader17.33551 Kaspersky Worm.Win32.Ngrbot.auov

Ну а поки відразу спробуємо прибити вірус вручну. Адже відновлення флешок не складає проблеми - досить видалити файл xmUbRet.exe і ярлики, потім просто зняти з папок і файлів атрибути Прихований і Системний. Але робити це поки марно, так як заражені самі комп'ютери: незабаром після лікування, флешка на очах знову обростає ярликами і вірусом. Тобто вірус, перебуваючи в комп'ютері, спостерігає за флешками і регулярно їх обслуговує, записуючи себе на них.

Пробую шукати вірус в комп'ютері простими підручними методами. Причому розуміючи, що це більше питання везіння, тому що далеко не кожен вірус дасть таку можливість. Але спробую. Вважаю, що навряд чи вірус, копіюючи себе на комп'ютер, зберігає собі те ж саме ім'я, що і на флешці. Це було б занадто просто, він так примітивно підставлятися не буде. Значить потрібно шукати за фрагментами його вмісту, хоча і воно може змінюватися. Для прискорення роботи шукати, мабуть, потрібно не по всіх файлів, занадто маленькі і дуже великі файли можна не розглядати. Наш вірус xmUbRet.exe має розмір 330240 байт, отже навіть якщо він себе якось модифікує або перепакует, то все одно буде в межах 100 ... 500кб. Для початку в програмі FAR просто роблю пошук всіх файлів диска C: і сортую їх за розміром. Відразу удача - виявляються файли з точним потрібним розміром:

Тобто вірус себе помножив, нахабно розкидав по створеним ним папок і файлів з пристойними іменами WindowsUpdate, Update, Explorer. Плюс менш виразне, але залишає службово-технічне враження, ім'я c371200. Все це лежить приблизно тут: Зрозуміло якісь з цих файлів напевно запускаються при завантаженні Windows, їх запуск мабуть десь прописаний в реєстрі.

Просте видалення файлів марно - вони знову з'являються, так як вірус сидить десь в оперативній пам'яті і працює, свою справу знає. Завантажуйте з системної флешки. Ця флешка теж відразу була заражена цим же вірусом ще на етапі першого запуску FARа, але з неї все одно вдається завантажити не заражену систему. Знову видаляю ці вірусні файли і папки в комп'ютері, завантажую комп'ютер - вірусні файли і папки знову з'являються. Значить ще одна копія вірусу десь ховається.

Пора порадитися з інтернетом щодо поведінки вірусів подібного типу. Звертаю увагу на згадування в повідомленнях папки \ Application Data \ Microsoft \ Windows \ Themes \. Пробую її видалити - не виходить. В папці начебто вже немає файлів, але Windows впирається, каже що видалити не можу, так як папка не порожня. Значить воно десь тут ховається, звідси запускається при завантаженні Windows і далі розмножується. Щоб не морочитися з видаленням, пробую просто перейменувати папку в надії, що при завантаженні Windows файл не знайдеться по своєму шляху. Перейменовую \ Themes в \ Theme, знову видаляю вищезгадану компанію вірусних файлів і перезавантажувати комп'ютер. Спостерігаю - вірусні файли в комп'ютері не з'являються. Вставляю в комп'ютер заражену флешку, видаляю на ній вірус і ярлики, відновлюю видимість файлів і папок - все нормально, флешка знову не заражають. Папку \ Theme можна почистити, щоб видалити тіло вірусу. Комп'ютер вилікуваний.

Надалі інтернет повідомив, що в пам'яті цей вірус маскується таким чином: М-да, не дуже-то він і ховався, можна було здогадатися. Тому в подальшому перед видаленням файлів і перейменуванням папки я спочатку програмою Process Explorer видаляв ці процеси.

Для більшого порядку можна після видалення вірусу почистити реєстр Windows популярної безкоштовної утилітою CCleaner, яка знайде і видалить з реєстру стали безпомічними команди запуску вже неіснуючого вірусу:

Через день безкоштовний сканер від Microsoft вже став справлятися з видаленням цього вірусу з комп'ютерів, хоча на деяких все-таки підвисає. Справлявся і сканер CureIt від DrWeb, але працював довше. А щоб користувачі могли самі лікувати флешки з відновленням нормальної видимості "зниклих" папок і файлів, був створений, за мотивами знайдених варіантів в інтернеті, файл USB_virus_repair.bat . Хоч цей командний файл і розрахований на даний конкретний вірус, але він буде корисний і для інших штамів такого типу. Командний файл забезпечений коментарями, його можна легко модифікувати, додавати або видаляти команди. Після запуску командний файл USB_virus_repair.bat видає інформаційний екран і запитує букву підключеної флешки:

Після обробки флешки цим командним файлом "зниклі" файли відновлюються.

Користувачі раді, що тепер так просто самі можуть лікувати флешки, знищуючи на них вірус і відновлюючи всі документи. Інформація про те, що різних штамів вірусів існує безліч, що кожен день з'являються нові, що наступний вірус буде виглядати і вести себе зовсім по-іншому, настрій їм не псує.