Пятница, 29.11.2024, 07:42
Сорум - КСК "Олимп" - МАУ Центр Культуры и Спорта "Сорум"
| RSS
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
usb.wsf - вирус или нет?
MurzilkaДата: Четверг, 11.11.2010, 09:45 | Сообщение # 1
Генералиссимус
Группа: Администраторы
Сообщений: 1617
Репутация: 333
Статус: Offline
извините, что не прикладываю отчеты утилит, указанных в правилах раздела - просто на свой комп, гадость о которой пойдет речь, не пускаю, а зараженные компы разбросаны по городу и останавливать их работу надолго нет возможности, да и с удалением данного зверька вручную проблем не возникает, только вот из-за того, что каспер не признает его за вирус - толку в удалении мало, он появляется вновь и вновь.

вобщем размножается зверек через флэшки, на самой флэшке два файлика - autorun.inf и usb.wsf.
На компе же в папке "Program files" появляется папочка "usb_anti_autorun" также содержащая файлик usb.wsf , ну и в реестре прописывается где только может.

судя по компам друзей и знакомых, распространение этой зверюшки приняло уже масштабы эпидемии, причем касперы и AVZ ничего подозрительного в ней не замечают, а CureIt выдает:
"Возможно, SCRIPT.virus"

На работе на всех компах стоит каспер для рабочих станций v.6.0.3.837 - базы регулярно бновляются.
Знакомым ставлю KIS v8.0.0.506, базы также свежие.

Когда однажды воткнул флэшку с этим автораном в свой рабочий комп, на котором стоит KAV WKS v.6.0.3.837, он что-то там ругнулся, что кто-то просится в атозагрузку - разрешить/запретить? Я нажал запретить и заражения не произошло. На домашних компах KIS v8.0.0.506 в подобной же ситуации просто информирует, что usb.wsf добавлено в группу слабые ограничения и спокойно позволяет заражать комп.

В интернете нашел, что данный зверек вовсе не вирус, а как раз наоборот - утилита для подмены, либо уничтожения autorun-ов зараженных флэшек, но то что он без спросу плодится и размножается наводит на недобрые мысли.

USB.wsf - потенциально опасное ПО not-a-virus:RiskTool.VBS.AutorunStub.a. У меня его так определяет именно что Касперский для рабочих станций v.6.0.3.837. Это VB-скрипт.Скрипт - самоход, инсталлируется в папку %programfiles%\usb_anti_autorun , пишет себя на съемные диски и пытается затирать на них найденные autorun.inf . Для удаления, помимо тела, следует восстановить настройки проводника ( можно через AVZ) и удалить ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \usb_autorun_remover , который скрипт создает в реестре.

***

В последнее время получает широкое распространение «антивирусный» скрипт usb.wsf.

«Антивирусный» набор состоит из 2-х файлов – сам скрипт – usb.wsf (6243 байт) и файл autorun.inf (213 байт), обеспечивающий автозапуск скрипта.

Оба файла имеют атрибуты Скрытый, Системный, Только чтение.

Содержимое файла autorun.inf:

[AutoRun]

open=wscript usb.wsf

shellexecute=wscript.exe usb.wsf

action=Install USB_Autorun_Remover

shell=open

UseAutoPlay=1

shell\open\Command=wscript.exe usb.wsf

shell\explore\Command=wscript.exe usb.wsf

Антивирусы так идентифицируют этот autorun:

– Avast – VBS:Malware-gen;

– F-Prot – IS/Autorun;

– McAfee – Generic!atr.b;

– NOD32 – VBS/RiskTool.AutorunStub.A;

– Sophos – Sus/AutoInf-A;

– TrendMicro – Mal_Otorun1.

Файл usb.wsf антивирусы идентифицируют так:

– a-squared – Riskware.RiskTool.VBS.AutorunStub!IK;

– AntiVir – HTML/Rce.Gen;

– AVG – VBS/Worm.AX;

– Kaspersky – not-a-virus:RiskTool.VBS.AutorunStub.a;

– McAfee – VBS/Autorun.worm.k;

– Microsoft – Worm:VBS/Autorun.AG;

– NOD32 – VBS/RiskTool.AutorunStub.A;

– PCTools – Malware.VBS-Runauto;

– Sophos – VBS/Autorun-AZZ;

– Symantec – VBS.Runauto;

– TrendMicro – Mal_Otorun4.

***

«Партизанская» деятельность usb.wsf

Скрипт usb.wsf скрытно (без ведома пользователя!) устанавливается в систему (в папку \Program Files\usb_anti_autorun);

– создает раздел Реестра

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];

– постоянно «висит» в оперативной памяти, отслеживая подключаемые к ПК флешки/съемные диски;

– копируется на все вновь подключаемые флешки/съемные диски.

Налицо – самые характерные признаки вируса!

Скрипт usb.wsf опасен тем, что его – слегка доработав! – можно использовать для вирусной атаки, как самостоятельной, так и запуская с его помощью другие вирусы.

И хотя создатель скрипта позиционирует свое творение как защиту от Penetrator'а, – увы от Пенетратора он защитить не сможет…

***

Как избавиться от скрипта usb.wsf

– запустите Диспетчер задач (любым способом – например, с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK);

– в окне Диспетчера Задач откройте вкладку Процессы;

– выделите wscript.exe, нажмите кнопку Завершить процесс;

– санкционируйте завершение процесса;

– закройте Диспетчер задач;

– удалите папку \Program Files\usb_anti_autorun;

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– удалите раздел

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];

– закройте Редактор реестра;

– если в настройках вашего антивируса есть опция Блокировать выполнение скриптов, задействуйте ее.

Примечания

1. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?.

2. Если Редактор реестра не запускается, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?.

3. Для отображения вирусов, маскирующихся под скрытые и системные файлы рекомендуется:

– нажмите Пуск –> Настройка –> Панель управления –> Свойства папки;

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в прокручиваемом списке Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.




C уважением Некий Tomsik aka Мурзилка
А у вас есть ручка за 2.50?
 
allaosvitatinneДата: Вторник, 10.05.2016, 23:38 | Сообщение # 2
Рядовой
Группа: Пользователи
Сообщений: 1
Репутация: 0
Статус: Offline
ничего не помогает((( sad

Добавлено (10.05.2016, 23:38)
---------------------------------------------
Можно попросить помощь сюда? Allysja7024377@i.ua cry

 
  • Страница 1 из 1
  • 1
Поиск:
Новый ответ
Имя:
Текст сообщения:
Опции сообщения:
Код безопасности:

Наш Сорум, наш форуМ!

Murzilka_Inc © 2024Бесплатный конструктор сайтов - uCoz