Главная »
Компьютеры, оргтехника
» Програмное обеспецение, софт
Вирусы заражающие компьютеры с флешки. Autorun.inf
06.08.2008 | Информация | Московская область
Загрузочные вирусы Autoran
Есть такая категория вирусов, который распространяются не через сеть Интернет, а через съемные носители информации: дискеты и флешки. Особенно много хлопот доставляет FANTOM (В КЛАССИФИКАЦИИ АНТИВИРУСОВ Win32.Besso) - самомодифицирующийся вирус, вследствие чего, практически не обнаруживаемый современными антивирусами.
Первые признаки заражения этим вирусом очень специфичны, вы не сможете настроить проводник Windows на отображение скрытых системных файлов. Вирус блокирует эту опцию в реестре для своей маскировки. Так как файлы вируса имеют атрибуты скрытого, системного файла, то в системе проводник его попросту не видит. Total Commander – при этом его видит просто прекрасно.
Работает FANTOM так. Когда в компьютер вставляется зараженная флешка с FANTOM, система автозапуска читает файл Autoran.inf, и запускает прописанный в нем вирус. Затем этот вирус прописывает себя в автозагрузку системы, устанавливает dll библиотеку которая клеится ко всем процессам, а также прописывает в корне всех дисков файл Autoran.inf и файл с расширением .сом .exe. название варируется, но на одном компьютере ,на всех дисках будет одинаково.
Признаки заражения:
Невозможно активировать в проводнике Виндовс опцию «отображать скрытые системные файлы»
В корне всех жестких дисков компьютера будет присутствовать файл Autoran.inf и файл с расширением .сом .exe Название и расширение файла меняется от компьютера к компьютеру.
Вставьте в зараженный компьютер заведомо чистую флешку. Затем откройте ее в Total Commander. Вы увидете что на флешке появились файлы Autoran.inf и файл с расширением .сом .exe. При попытке удалить эти файлы с флешки, или жестких дисков компьютера они появляется через несколько секунд снова.
Лечение:
Увы если заразились, антивирусы не помогут. Все придется делать ручками. Ваш главный инструмент - Total Commander, или Far Manager, так как в проводнике Винды вы ничего не увидите.
Запоминаем дату создания файлов Autoran.inf, которые уже присутствуют в корнях дисков. Напоминаю, смотрим это в Total Commander. Причем устанавливаем в нем отображение файлов по дате создания.
Проверяем следующие ключи реестра отвечающие за автозапуск:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run
И смотрим все файлы, которые грузятся из системной директории system32, остальные нас не интересуют.
Выглядят они так:
C:\WINDOWS\system32\имя_файла.exe или .сом
Или просто «имя_файла.exe или .сом» для запуска из system32 полный путь не обязателен.
Далее находим в system32 эти файлы и сравниваем дату создания файла Autoran.inf в корне жесткого диска и файлов из реестра. Они должны быть созданы в один день (если вы ранее не пытались удалять Autoran.inf сами). Рядом же должна быть и .DLL библиотека созданная в тот же день и час, что и наш подозреваемый. Если все сходится, это и есть ФАНТОМ, но удалить его пока не просто.
Для этого первым делом, удаляем из реестра его ключ, и перезагружаем компьютер. При перезагрузке, это ВАЖНО жмем F8 и выбираем БЕЗОПАСНЫЙ РЕЖИМ!!!
Загружаемся в безопасном режиме, запускаем Total Commander и в system32 убиваем ранее найденные файлы. Сам фантом и его библиотеку .DLL
Затем убиваем в корнях всех дисков найденные файлы Autoran.inf и привязанные к нему программные модули (инсталляторы фантома). Они на всех дисках одинаковы. Перезагружаемся, система чиста. ФАНТОМ сильно пакостит в системе, так что после его удаления, многие глюки могут остаться.
Защита:
Фантом распространяется благодаря огромной дырке в безопасности системы, которую из благих побуждений сделала для нас Microsoft. Эта дыра называется –Автозапуск. Когда вы вставляете в CD-Rom диск, или в USB разъем флешку, система в первую очередь ищет на носителе файл Autoran.inf и, если находит, запускает прописанную в нем программу, ничего не спрашивая у пользователя ПК. И по умолчанию, в системе эта опция любезно включена! Этим и пользуются многочисленные загрузочные вирусы.
Первым делом надо вырубить автозапуск:
Пуск-Выполнить-gpedit.msc
Выбираем:
Административные шаблоны-система
Справа в окне выбираем:
Отключить Автозапуск
В открывшемся окне выбираем ВКЛЮЧЕН!
Внимание, ВКЛЮЧЕН не означает, что мы включили автозапуск, это означает, что вы включили опцию настройки управления автозапуском. Многих это смущает и они выбирают ОТКЛЮЧЕН, тем самым оставив все системные настройки как есть.
Выбираем значение параметра - "Отключить автозапуск на всех дисках" – применить. Перезагружаем компьютер.
Автозапуск выключен. НО! При открытии диска или флешки никогда ее не открывайте кликая по значку носителя в проводнике! Сработает принудительный автозапуск. Выделите нужный носитель правой кнопкой мыши и выберете открыть. Никакая гадость не запуститься. Удачи.
Ссылки по теме:
Лечим систему от вируса W32.Sality.NAO (win32.sector5)
Отключение автозапуска Windows
Контакты автора объявления
Контактное лицо: Autoran вирусы
Регион: Московская область
Похожие объявления:
Програмное обеспецение, софт
Поделись информацией с друзьями
Просмотров: 4338 | Комментарии: (13)
КОММЕНТАРИИ И ОТЗЫВЫ:
07.08.2008
1. Сергей
Что бы не срабатывал автозапуск (если он не отключен), надо при открытии диска или флешки держать нажатой клавишу Shift
08.08.2008
2. Анна
Очень полезный для меня материал. Спасибо авторам.
17.08.2008
3. Boris
наконец-то прочитав статейку смог понять как удалить эту гадость, спасибо за статью. теперь не боюсь втавлять свою флешку на чужих компах.
04.09.2008
4.
ПАВЕЛ
1. Сергей
Что бы не срабатывал автозапуск (если он не отключен), надо при открытии диска или флешки держать нажатой клавишу Shift
Вобщето клавишу Shift надо нажимать не тогда, когда вы флешку или диск открываете, а тогда когда вставляете их в USB порт (для флешки) и в CD ROM для (дисков), Авторан то срабатывает не при открытии, а при подключении устройства к компьютеру, тоесть при открытии авторан уже сработает давно.
30.01.2009
5. Fagot
Пишу утилиту против вирусов типа авторан. Ничего архисекретного в ней не имеется, хотя есть заморочки :) Скоро выложу на своей страничке. Если говорить в общем то блокирует все лазейки в системе для вирусов типа авторан, и ставит защиту на флэшки. Заходите на мою страничку. http://antivirusfagot.blogspot.com/
20.03.2009
6.
Fagot (Fagot.84@mail.ru)
Комплексная защита от вирусов типа Autorun, готова. Данная утилита разработана для комплексной защиты, ПК и флэш накопителей от вирусов типа Autoruner. Подробное описание утилиты Вы сможете прочитать в файле Readme, внутри архива. Буду рад услышать Ваши мнения по поводу данной утилиты. Если сможете улучшить ее , буду только рад :) защиту от вирусов типа Autoruner можно скачать здесь http://www.rapidshare.ru/941521
Посетите мой блог http://antivirusfagot.blogspot.com/
29.04.2009
7. Нина
Как мне избавится от вируса на флешке. Ничего не понимаю. Удаляю, чищу, обновляю антивирус, а вирус на флешке все равно появляется.
08.06.2009
8.
Arctik.by (Arctik88@yandex.ru)
а вот такой вопрос:
не включается опция «отображать скрытые системные файлы», получается вроде как этот вирус, НО
в корне дисков нету Autorun.inf
подскажите что делать?
Ответ:
Откуда вы знаете есть он или нет, если у вас эта опция выключена? Смотреть надо в тотал командере, или FAR менеджере.
05.07.2009
9.
Кирил
То, что в винде есть брешь под названием автозагрузка это понятно. То что опытный пользователь сможет отключить автозапуск поменяв пару параметров в реесте это тоже понятно.
То что файл Autorun.inf используется нормальными производителями ПО для запуска оболочек инсталаторов программ, что несомненно облегчает жизнь чайникам, это тоже понятно.
Но мне непонятно другое! Почему винда позволяет обрабатывать скрытые файлы Autorun.inf, а ведь вирус всегда создает СКРЫТЫЙ файл Autorun.inf который в проводнике виндовс не виден!? Ведь проверить атрибуты файла просто как два байта переслать, и легальные производители ПО никогда этот файл скрывать не будут! Следовательно если файл скрыт - это 100% вирус.
Но виндовс ладно, но антивирусы меня удивляют. Это же коммерческие проекты! Это их хлеб! Ведь по сути это их обязанность ловить вирусы, ан нет, подозрительные автораны многими антивирусами игнорируются! Ну неужели нельзя хотябы вывести окно предупреждения Autorun.inf с атрибутами скрытый / нормальный, пытается произвести запуск файла Virus.exe Что-то вроде проактивной защиты?
Ведь флешовые вирусы - это бичь корпоративных сетей, офисов и т.д. А ведь именно за счет таких платежеспособных пользователей и держится рынок платного ПО.
Разрешить? Да-нет? И все дела! Ведь реализовать такую проверку элементарно, тем более в антивирусах уже все для этого есть, я имею ввиду полный конроль за файловой системой.
Все просто, но воз и ныне там.
11.05.2010
10.
Верка
Помогите, не могу очистить флешку от вируса. Удаляю autorun файлы с флешки а они опять появляются.
Ответ:
Пока вы не найдете вирус на компьютере, и не удалите его из системы, флешку чистить бесполезно. Она будет заразаться вновь и вновь.
14.07.2010
11. ahsim (ahsimnihcep@rambler.ru)
Чтобы обезопасить флешку можно поставить авторану памятник
т. к. создать в корне флешки папку с названием autorun.inf
09.11.2010
12.
Vania
Спасибо за полезный материал. Есть пара вопросов.
1 - Не могу настроить в Тотал Коммандере отображение скрытых файлов, ведь как я понял, по умолчанию Тотал Коммандер тоже не отображает системных скрытых файлов, чтобы чайники куда не надо не залезли.
2 - Перезагрузился, зашел в безопастном режиме, но Autorun все равно появляется на флешке. Почему? В указанных вами ключах реестра ничего подозрительного не нашел.
11.11.2010
13.
Admin
Отображение скрытых файлов в Тотал Коммандере можно включить тут
МЕНЮ - Configuration - Options - Display - Show hidden / system files
Прошу прощения, у меня не русифицированная версия. Думаю по смыслу эту настройку найдет любой.
---
Об удалении хитрых вирусов:
Есть некоторые AUTORUN вирусы, которые запускаются от имени системы. В этом случае они будут запускаться с системными правами, и что самое неприятное, даже в безопасном режиме.
Я встречал несколько вирусов, которые используют для автозапуска Winlogon из следующего раздела реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Правильный ключ должен ссылаться на файл
C:\WINDOWS\system32\userinit.exe
Но вирус обычно подменяет этот ключ, например, так
C:\WINDOWS\userinit32.exe
Где userinit32.exe - вирус, который запускается первым, а потом уже запускает настоящий userinit.exe.
Естественно userinit32.exe скорее всего контролирует эту ветку реестра и не даст ее изменить.
Убить userinit32.exe в диспетчере задач тоже не получиться. Вирус, создает процесс клон, который проверяет, запущен ли userinit32.exe, а сам userinit32.exe проверяет наличие клона в памяти. К сожалению, диспетчер задач не имеет возможности убить два процесса одновременно. А убить их по отдельности нельзя. Так как оставшийся тут же запустит свою копию. Такой вот замкнутый круг.
Но выход есть! Надо зайти в систему под правами администратора (обычно под ним все сидят, от сюда и проблемы с вирусами).
Запустить редактор реестра (Пуск - выполнить - regedit.exe), найти ветвь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
На ветви Winlogon жмем правой кнопкой мыши - разрешения. Убираем, все галочки кроме пункта - ЧТЕНИЕ для SYSTEM - этим мы запрещаем системе доступ к изменению этого раздела, ведь вирус имеет привилегии системного процесса.
Затем нужно создать в системе нового пользователя обязательно с ограниченными правами.
Пуск - Панель управления - управление пользователями.
Затем надо выйти из учетной записи администратора.
Пуск - Выход из системы.
Входим в ранее созданную вами запись с ограниченными правами.
Запускаем редактор реестра с правами администратора.
C:\WINDOWS\regedit.exe - Правая кнопка мыши - запустить от имени администратора
Теперь в редакторе реестра меняем значение ключа
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
на
C:\WINDOWS\system32\userinit.exe
Все!!! У вируса не будет прав на то, чтобы изменить этот ключ! СИСТЕМЕ доступ на запись запрещен, а админских прав в этой учетке у Вируса нет!
Затем нужно будет перезагрузиться и удалить из системы файл, на который ранее ссылался ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
В нашем примере это
C:\WINDOWS\userinit32.exe
Таким способом мной было удалено несколько вредных вирусов.
Все написанное здесь верно для ОС ХР, в Виста или WIN 7, могут быть некоторые отличия, но принцип тот же.
Все это написано для опытных пользователей!!! Если вы ничего не поняли, не понимаете разницы между правами администратора и ограниченным пользователем, не пытайтесь ничего менять в системе самостоятельно. Если вы удалите по ошибке настоящий файл userinit.exe, или неверно восстановите его ключ, то не сможете войти в систему. Я не несу ответственность за ваши действия.
