пятница, 27 января 2012 г.

Новый вирус на флешках: создается и не удаляется объект по имени "Новая папка"

Очередной вирус посетил один из наших офисов.
Зараженный неким вирусом ПК создает на флешке файл с названием "Новая папка.exe".
А так как расширения файлов обычно в проводнике виндовс не отображаются, то пользователь видит просто "Новая папка", да еще и с обычным значком папки:


Даже если удалить эту "Новую папку", она все равно сразу появится на флешке.
Так мне и сказали, кстати: "у меня на флешке появилась какая-то папка, которая не удаляется, помоги".
Но на самом деле это никакая не папка а файл. 
Убедиться в этом легко, открываем свойства объекта "Новая папка" на флешке:

Видим, что это "Приложение", т.е. исполняемый файл, который выдаёт себя за папку.
Идея вируса ясна: юзер заходит на флешку, видит папку с классическим названием "Новая папка", заходит посмотреть, что лежит в этой "папке", а на самом деле собственными пальчиками устанавливает вирус себе на компьютер.
Этот файл является самораспаковывающимся архивом, который записывает вирусные файлы в системные папки:


Этот вирус, как и многие другие, никогда не сможет обмануть опытных пользователей, которые пользуются файловыми менеджерами типа Total Commander.
Но таких пользователей, увы, немного.

Как удалить вирус?
Видит и удаляет этот вирус Symantec Antivirus Corporation 10 с антивирусными базами от 22.01.12.
Avast Free v.6 тоже видит и удаляет этот вирус:

А вот мой фаворит Cureit от Dr.Web версия от 27.01.12 этот вирус не определил.

2 комментария:

  1. Кстати, если быть внимательным, то и в Проводнике можно понять, что это не папка. Папки всегда должны находиться в начале списка, а тут в конце.

    ОтветитьУдалить
  2. Размножается благодаря файлу C:\WINDOWS\system32\Drivers.bat. Копируется не только на флешки, но и на локальные диски, можно посмотреть переименовав Drivers.bat в Drivers.txt

    ОтветитьУдалить