Я лазил по сайтам с вакансиями, кадровыми агентвами и т.д. Кликнул на какую-то с виду безопасную рекламную ссылку с каталогом кадровых агенств(ссылка была размещена на Работа@майл.ru) Окно открывалось долго и KAV 7.0 заорал(не сразу, а с задержкой), что обнаружено опасное ПО(Файл Autorun.inf на одной из флэшек). Я нажал "удалить", потом зашёл в Far по пути указанном Каспером чтобы посмотреть, что там удалилось и что осталось. В корне 2-х флэшек оказался скрытый файл system.exe, который Каспер почему-то не удалил, хотя невооружённым взглядом видно, что это кусок вируса. Я грохнул его вручную на обоих флэшках, но через несколько секунд оба файла "родились" заново и там, и там(и так можно повторять бесконечно). При этом Каспер каждый раз ругается и удаляет только Autorun.inf. Ещё червь каждые несколько секунд грызёт Флоппик. Видимо пытается заразить, но диска там нет.
Детектирует Каспер этот червь каждый раз, как разную модификацию, хотя файлы создаются абсолютно идентичные до байта. Вот весь список названий, как его детектирует KIS 2009:
Полная проверка ничего, кроме Autorun.inf не находит ни в памяти ни в системных парках. CureIt! тоже ничего не находит при полной проверке.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл сохранён как 090211_233612_virus_499336bc82a07.zip
Размер файла 22751
MD5 2d8af773e15d71bfab9f79a16fe044cc
Кстати, у этого system.exe время создания совпадает с файлами, которые проверял ваш скрипт. Отличается на секунды.
А файл 'C:\1\pin[1].exe' в папку С:\1 переместил я, после того, как AVZ при общей проверке засёк в нём что-то подозрительное. Он нашёл его в папке "C:\WINDOWS\system32\config\systemprofile\Loca l Settings\Temporary Internet Files\Content.IE5\". После удаления мной в этом месте не появляется ни он, ни другие новые файлы.
Пока я жду результата, может кто-то подскажет, что вообще вытворяет это червь и насколько он опасен? Нигде не нашёл подробного описания ни одной из модификаций(только упоминания названий встречаются изредка), хотя он вроде не новый...
по моему, всё гадость. ответа пока нет.Гриша опередил меня со скриптом.
на будущее, посылать файлы нам только через avz а то без нужного пароля пришли - не порядок
Autorun.inf и system.exe,- уже я так понял удалили, я не знаю "букву" вашей флешки, так что сами удалите, если ещё не сделали
Последний раз редактировалось drongo; 12.02.2009 в 13:04.
Спасибо огромное! Всё сработало.
Файлы как я уже говорил, до лечения удалять было бесползно - они оба появлялись опять через несколько секунд. После выполнения скрипта и перезагрузки появляться перестали и дисковод червь тоже перстал грызть.
По поводу присланных архивов... Карантин(1-й архив) я архивировал через меню AVZ, как описано в инструкции, если там не было пароля, то не знаю почему.
А autorun.inf и system.exe(2-й архив) - да, запаковал сам, грешен.
Да детектирование-то вроде есть... Названия в первом сообщении я же из Каспера взял... Нет 100% лечения(удаляется один файл из 3-4-х) и, главное, нет описания...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: