Infekcje z pendrivów

Jest to kolekcja różnych szkodników, które przenoszą się poprzez media przenośne (pendrivy / karty pamięci / aparaty cyfrowe / telefony komórkowe etc) przy udziale funkcji Autoodtwarzania domyślnie w Windows włączonej. Zainfekowane urządzenie po podpięciu do komputera, natychmiast infekuje dyski twarde.

1. Zapis infekcji jest w plikach autoodtwarzania autorun.inf:

Dopisany tam szkodnik jest autouruchamiany i przekopiowuje pliki z pena na dysk twardy, dociągając również inne trojany, oraz tworząc podobne pliki autorun.inf ale dla wszystkich dysków twardych, co przypisuje im "autoodtwarzanie" (czyli automatyczną reinfekcję w chwili otwierania dysku). Uwaga: nie wszystkie pliki autorun.inf są szkodliwe. Wiele programów w C:\Program files takie posiada, płytki CD z grami czy instalatorami programów / sterowników również. Mówimy tu o szczególnych plikach autorun.inf, które są umieszczone w roocie dysku twardego (główny katalog C:\, D:\, E:\... etc.) oraz na zarażonym penie i są ukryte (atrybuty H + S).

2. Korespondującym zapisem do pliku autorun.inf jest tworzenie wpisów w rejestrze w kluczu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Jest to klucz mapowania wszystkich dysków cachujący akcje. Szkodniki dodają swoje zapisy, które powodują że konkretna akcja Autoodtwarzania staje się domyślną akcją dla dysków. Szkodnik może zmodyfikować akcję Otwórz i Eksploruj.

Objawy:

1. Skutkiem obecności ukrytych plików autorun.inf w rootach dysków jest problem z bezpośrednim otwieraniem dysków w Moim komputerze. Możliwe rozmaite wersje wydarzeń:

  • Z kliku na dysk jest zwracany błąd Access is denied / Odmowa dostępu (niesłusznie sugerujący np. brak uprawnień).
  • Klik na dysk powoduje pojawienie się komunikatu "Otwórz za pomocą.." wymagającego wskazania programu do otwierania dysków
  • Dyski mogą się otwierać w nowych oknach a nie tym samym.
  • Możliwe błędy punktujące braki plików (tak się dzieje, jeśli usunięto z dysku plik szkodnika) w stylu: "X nie jest prawidłową aplikacją systemu Win32" / "X is not a valid Win32 application", "System Windows nie może odnaleźć pliku X..." / "Windows cannot find X..."
  • Menu kontekstowe prawokliku dysków ulega modyfikacji. W zależności od wariantu infekcji, albo jest ustawiona dla dysków twardych domyślna akcja Autoplay / Autoodtwarzanie, albo też pojawia się nowa domyślna akcja Open(0), możliwe też inne dziwne zapisy. Zaś naturalne Otwórz / Open jest parę pozycji niżej i czasem można z tych opcji na dysk się jednak dostać. Ale nie z dwukliku.

2. Nie działające opcje przestawiające widoczność ukrytych plików i ukrytych plików systemowych.

3. Dodatkowe niespodzianki (choć niekoniecznie): to już zależy od infekcji. Metodą autorun.inf mogą się przenosić bardzo różne szkodniki. Problem jest obecnie skomplikowany. Tą metodą przenoszą się również cięższe infekcje takie jak rootkit Bagle czy wirusy niszczące wykonywalne takie jak np. Virut czy Sality.

Opcja na linuxa

Zorganizuj sobie jakąś dystrubucję LiveCD linuxa i spod linuxa usuń te pliki. Ponieważ wirusy działają pod windowsem to pod linuxem nie dadzą się rady uruchomić. A skoro się nie uruchomią, to będzie je można bezproblemowo skasować.
Można sciagnac ubuntu dla poczatkujacych prosty live CD