Вирус создаёт ярлык флешки на флешке

Опубликовано: Комментариев: 10

На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители
Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду. Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени. Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт: attrib "*" -s -h -a -r /s /d Сохраняем его как run.bat и держим под рукой. Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр 1. «Пуск» - «Выполнить» и пишем «regedit»; 2. открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer» 4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

  1. скопировать run.bat в корень флешки и запустить;
  2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
  3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
  4. теперь осталось удалить с корня все файлы, кроме этой папки.
  5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.
Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Помогла программа UsbFix (ССЫЛКА_УДАЛЕНА) Скачивайте последнюю версию и нажимайте беспощадную «Clean». Осторожно, вычищает всё ненужное из автозагрузки.
Спасибо Вам огромное! Думаю информация будет актуальна для посетителей! Прим. от 02 октября 2015 года: ссылку на программу удалил. Сейчас там нельзя её скачать, а идёт вечное перенаправление с одного сайта на другой. Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.

Комментариев: 10
Damir 2015-03-19 19:23:25
Здравствуйте. Не понятно что такое скрипт и как его запустить
Slicks 2015-03-19 21:23:00
Здравствуйте. Скрипт это сценарий выполнения какой-либо процедуры. В данном случае открываете текстовый документ, копируете в него нужную команду: attrib "*" -s -h -a -r /s /d А потом жмёте "Сохранить как" - run.bat В итоге получается файл, запустив который можно выполнить команду.
Eugen 2015-06-19 14:24:09
Самая толковая инструкция из десятков прочитанных. Конкретно, понятно, по делу. Работает. Спасибо!
Erowedge 2015-09-01 13:35:08
Долго искал решение вируса-плодителя. Никакие антивирусы не берут. Ни DrWeb CureIt, ни Касперский, ни Eset. Пробовал вручную удалять - без толку. Вирус и в реестре прописан. Помогла программа UsbFix (http://www.en.usbfix.net/download/usbfix/) Скачивайте последнюю версию и нажимайте беспощадную "Clean". Осторожно, вычищает всё ненужное из автозагрузки.
Slicks 2015-07-20 18:06:35
Eugen, рад был помочь!
Slicks 2015-09-13 18:15:55
Спасибо, добавил в пост! попробуйте кто-то и отпишитесь. Я бы затестил, но у меня зараженного образца нету для проверки.
Мари 2015-09-27 03:47:04
Спасибо большое! Помог ручной способ с батником. Но вы там не очень понятно написали про создание ключа в реестре. Когда создаешь раздел Explorer, там не конкретно "создать ключ". Пришлось понапрячься, чтобы узнать, что это Dword. И потом при запуске Process Explorer у меня почему-то не находлся файл Autorun. Хотя он был на флешке. Я все снесла в ручную. Потом в другом форуме вычитала, что "Вирус может глубоко засесть в реестре даже после проведенной процедуры лечения. Чтобы избавиться от него раз и навсегда, нужно провести следующую операцию: в ветке HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS\LOAD реестра найдите и удалите ссылку на данный файл. А вот ссылка (http://www.en.usbfix.net/download/usbfix/) у меня почему не открывается. Виснет все время
Slicks 2015-10-02 18:26:19
Мари, сейчас сайт открывается, но скачать бесплатную версию программы нет возможности. Нажал скачать - оно меня перебросило и пишет "ждите 30 сек", потом перекинули на другой сайт. Там снова кнопка скачать, нажав на неё опять улетел куда-то... Так что <b>лечение через usbFix уже не работает<b>
Ольга 2016-08-07 15:03:35
Привет, спасибо за статью... у меня проблема следующая... была в печатном салоне, отдала флешку, забрала, вставила дома в комп, что бы записывать другие файлы - а там вместо файлов один ярлык, в котором все файлы флешки... ярлык открывается, все файлы видны... свойства ярлыка %COMSPEC% /C .\WindowsServices\movemenoreg.vbs через командную строку удается высвободить все файлы из под ярлыка, но они опять все записаны в какую то папку... все можно типа удалить... файл ран.бат правда не работает..... но при повторной вставке флешки опять ярлык... вставила карту от фотоаппарата - та же история... тот же ярлык... что делать ?
Ольга 2016-08-07 15:09:48
и еще после того как применяется команда атрриб и из под ярлыка выходят файлы кроме папки с файлами есть еще вот как раз папка WindowsServices и в ней файлы movemenoreg.vbs, helper.vbs,installer.vbs папку как бы можно удалить, но видимо она не удаляется потому что при следующей загрузке флешки опять возникает ярлык а не файлы...