forum.boolean.name - Показать сообщение отдельно

impersonalis · 06.11.2012, 12:53

О-о-о-о на днях зашёл в РИО и подцепил вирусок. Обычно во всякие сомнительные (в плане ит-безопасности) места я хожу с карточкой памяти, т.к. последняя имеет аппаратную блокировку записи.
Но тут мне могли дать отредактированные варианты файлов, поэтому read-only не канал.
Разумеется, антивирус уничтожил зловредный модуль. Тем не менее, спешу поделиться наблюдениями.
Ну и что же я обнаружил?
По классическому сценарию, вирус создал в корне директорию "корзина", учтя все детали оформления кроме одного принципиального: на флешках в Windows не бывает корзины - все файлы удаляются безвозвратно (исключение - внешние HDD). Разумеется, корзина была не корзиной, а нычкой для основного модуля.
Далее, как обычно, был создан autorun.ini, запускающий модуль, при открытии карточки двойным кликом (я, как правило, захожу через опцию контекстного меню - вообще, в 98% случаев, авторан только головной боли добавляет). Т.к. запуска авторана пользователь может различными способами избежать (заход через кон. меню; открытие через сторонний настроенный проводник; открытие конкретных директорий напрямую, а не через корень; недостаточно эффективный антивирус [например, удалён только авторан], оставляющий ещё шанс заразить машину; невозможность создать авторан [например, его уже создал другой вирус]), используется ещё и второй механизм заражения.
Всем папкам в корне ставятся атрибуты "скрытый" и "системный", с каждой папки делается ярлык. Ярлыкам присваиваются имена оригинальных папок (т.е. не "Ярлык для Важно", а "Важно"). И, самое, интересное: в поле "Объект" ярлыка прописывается следующее:

%windir%\system32\cmd.exe /c "start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно

Я практически не работаю в консоли, но, думаю очевидно, что происходит следующее:
%windir%\system32\cmd.exe /c открывается консоль (ключ, вероятно, для сокрытия окна) и в неё передаётся строка

"start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно

которая, судя по всему, выполняет запуск модуля зловреда из псевдокорзины, после чего открывает в проводнике исходную папку (ту, под которую мимикрирует ярлык).
Т.е. невнимательный пользователь (не заметивший, что у папок "появилась стрелочка в уголке") кликает по ярлыку и получает ожидаемую картину: открытие требуемой папки. А в качестве нагрузки - запуск вируса.

Во всей этой истории у меня только один вопрос: как штатными средствами (в 7ке!) снять с директории атрибут "системный". В принципе, я просто скопировал нужные мне несколько файлов из "системной" папки, а карточку, до кучи, форматнул. Но, хотелось бы знать "правильный" метод.

06.11.2012, 12:53	#43
impersonalis Зануда с интернетом Регистрация: 04.09.2005 Сообщений: 14,014 Написано 6,798 полезных сообщений (для 20,935 пользователей)	Ответ: Смотри же и глазам своим не верь. О-о-о-о на днях зашёл в РИО и подцепил вирусок. Обычно во всякие сомнительные (в плане ит-безопасности) места я хожу с карточкой памяти, т.к. последняя имеет аппаратную блокировку записи. Но тут мне могли дать отредактированные варианты файлов, поэтому read-only не канал. Разумеется, антивирус уничтожил зловредный модуль. Тем не менее, спешу поделиться наблюдениями. Ну и что же я обнаружил? По классическому сценарию, вирус создал в корне директорию "корзина", учтя все детали оформления кроме одного принципиального: на флешках в Windows не бывает корзины - все файлы удаляются безвозвратно (исключение - внешние HDD). Разумеется, корзина была не корзиной, а нычкой для основного модуля. Далее, как обычно, был создан autorun.ini, запускающий модуль, при открытии карточки двойным кликом (я, как правило, захожу через опцию контекстного меню - вообще, в 98% случаев, авторан только головной боли добавляет). Т.к. запуска авторана пользователь может различными способами избежать (заход через кон. меню; открытие через сторонний настроенный проводник; открытие конкретных директорий напрямую, а не через корень; недостаточно эффективный антивирус [например, удалён только авторан], оставляющий ещё шанс заразить машину; невозможность создать авторан [например, его уже создал другой вирус]), используется ещё и второй механизм заражения. Всем папкам в корне ставятся атрибуты "скрытый" и "системный", с каждой папки делается ярлык. Ярлыкам присваиваются имена оригинальных папок (т.е. не "Ярлык для Важно", а "Важно"). И, самое, интересное: в поле "Объект" ярлыка прописывается следующее: %windir%\system32\cmd.exe /c "start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно Я практически не работаю в консоли, но, думаю очевидно, что происходит следующее: %windir%\system32\cmd.exe /c открывается консоль (ключ, вероятно, для сокрытия окна) и в неё передаётся строка "start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно которая, судя по всему, выполняет запуск модуля зловреда из псевдокорзины, после чего открывает в проводнике исходную папку (ту, под которую мимикрирует ярлык). Т.е. невнимательный пользователь (не заметивший, что у папок "появилась стрелочка в уголке") кликает по ярлыку и получает ожидаемую картину: открытие требуемой папки. А в качестве нагрузки - запуск вируса. Во всей этой истории у меня только один вопрос: как штатными средствами (в 7ке!) снять с директории атрибут "системный". В принципе, я просто скопировал нужные мне несколько файлов из "системной" папки, а карточку, до кучи, форматнул. Но, хотелось бы знать "правильный" метод. __________________ http://nabatchikov.com Мир нужно делать лучше и чище. Иначе, зачем мы живем? tormoz А я растила сына на преданьях о принцах, троллях, потайных свиданьях, погонях, похищениях невест. Да кто же знал, что сказка душу съест?
(Offline)