Вирусы переселяются на USB-флэшки

    Антивирусные компании сообщают о новой тенденции в распространении вирусов. После волны почтовых и скриптовых вирусов теперь одним из самых популярных способов распространения вредоносных программ становятся USB-флэшки. Это стало возможным благодаря слабости операционной системы Windows, которая по умолчанию автоматически запускает файл autorun.inf со сменного накопителя.

    Впервые вирусы, которые распространяются таким способом (через INF/Autorun), проявили себя в июне 2007 года, когда по статистике ESET Software (разработчик NOD32) их доля выросла до 2,17% от общего количества зарегистрированных вирусов. К настоящем моменту, то есть всего за девять месяцев, число таких вирусов выросло до 10,3%.

    В число самых популярных вирусов марта 2008 года вошли генератор всплывающих окон Win32/Adware.Virtumonde (распространяется через USB-флэшки), который очень сложно удалить, а также Mebroot, использующий классическую технику записи в MBR и хранения данных в секторах жёсткого диска, а не в файлах, что усложняет его обнаружение, даже когда он модифицирует реестр Windows.

    По мнению некоторых экспертов, систему INF/Autorun из Windows можно считать главной дырой в безопасности компьютерных систем. В отличие от пересылки заразных программ по электронной почте, здесь даже грамотный пользователь практически не способен предотвратить заражение, ведь достаточно просто вставить устройство в разъём USB — и процесс уже необратим. Единственной профилактикой является вообще отключить Autorun, что рекомендуют делать даже эксперты по безопасности из самой компании Microsoft.

    Вообще, в каком-то смысле миграция вирусов на USB-накопители — это возвращение к истокам вирусописательства, когда интернета ещё не было. Тогда вирусы распространялись от компьютера к компьютеру на дискетах.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 105
    • +5

      наверно, года два как туда переселились. достаточно отключить авто-запуск с флешек, антивируса даже не надо.


      а вообще как не приду к кому-нибудь в гости- у всех что-нибудь такое есть

      • +1
        подскажите, пожалуйста, как отключить автозапуск с флешек
        • +1
          Только флэшек — не знаю, всего — ключевые слова "windows autorun отключить" для любимого поисковика.
          • 0
            Можно просто отключить службу "определение оборудования оболочки".
            Я вообще не пользуюсь автозапуском - мне всегда хочеться самому видеть то, что я запускаю.
            • 0
              Тоже вариант. Я помню, что какой-то из способов порождал глюки вида "вставляю диск, а метка от прошлого диска отображается", но хоть убей не помню, какой именно. Кажется, самый кошерный — через gpedit.msc :)
              В основной под бубунтой сижу, поэтому автозапуском из autorun.inf пользоваться не могу :) Да и не нужен он, все правильно.
          • +1
            на этой странице, скачайте утилиту Tweak UI(если эта сылка работает, то на ту страницу заходить не надо) (147 KB)
            Когда установите, в программе выберете 
            My copmuter>AutoPlay>Types

            и уберите галочку напротив «removeable drives»
            • 0
              большое спасибо
              • +3
                Зачем такие сложности? Есть стандартные методы через групповые политики или через ручную правку реестра.
                Пуск -> выполнить -> gpedit.msc -> система -> запретить автозапуск.
                • 0
                  Так тоже можно, но тогда автозапуск отлючается у всего. В этой утилите можно выбирать отключать запуск с флешек или CD, а также запуск на дисках с конкретной буквой. Это всё можно сделать и в реестре, но я ключей наизусть не знаю
                  • 0
                    А у всего и надо. Например с месяцок назад магазинный диск с корелом (ясен пень ломаным) уже при автозапуске разбудил Доктора Веба.
                  • 0
                    gpedit имхо в XP Home отсутствует, хотя, могу ошибаться :)
                • +1
                  Создаем текстовый файл с таким содержимым, затем переименовываем его в *.reg

                  Windows Registry Editor Version 5.00

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
                  "NoDriveTypeAutoRun"=dword:000000ff
                  "NoDriveAutoRun"=dword:000000ff
                  "NoFolderOptions"=dword:00000000

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
                  "CheckedValue"=dword:00000001

                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
                  @="@SYS:DoesNotExist"
                  • 0
                    последний ключь на корню прибивает Autorun.inf?
                    если так то мне как раз этого не хватало ...
                    даже после отключения (через политики ... через реестр через Твикеры) остаёться действие по умолчанию прописанное в файле Autorun.inf или Autorun.ini
                    что приводит к заражению по 2йному клику ..
                    всё клёво но в огромной корпорации невозможно объёснить каждому пользователю как нужно открывать флэшки (через проводник) .. да и геморой это большой
                    • 0
                      Я просто в быстрый запус вешаю ярлык внешнего диска.
                      (иногда 3 ярлыка :)
                      • 0
                        Судя по всему да, сам я точно не знаю. Подобрал информацию на форуме своего антивируса.
                      • 0
                        Это не всё :)
                        Мы вот тут пообсуждали данную тему, и в итоге выработались рекомендации.
                        http://virusinfo.info/showthread.php?t=17442&highlight=autorun
                        • 0
                          Как раз по ссылке и взял информацию.
                    • +2
                      У нас в универе вообще эпидемия была! Даже флешки горели=))
                      • +1
                        каким это образом они горели интересно?
                        • НЛО прилетело и опубликовало эту надпись здесь
                        • +1
                          А Сергей Лукьяненко давно предупреждал - вирус третьего поколения... :)
                          • +1
                            Второго :)
                            1 - против информации
                            2 - против оборудования
                            3 - против людей
                            • 0
                              Обсуждаемый да, пока второго.
                      • 0
                        Весной 2007 года столкнулся с таким зверушкой. У него ещё поведение было примечательное - создавал папку с недопустимым названием. Потому папку можно было посмотреть, но удалить нельзя, ибо объект с таким именем отсутствует. А распространялся с заражённого компа за 2 сек пребываения флешки в порте.
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • 0
                            Читал новость и думал, что тут будет информация, как отключить автостар USB-flash девайсов, но нету =)


                            Поэтому разыскал в интернете решение сам: - скачиваем с сайта Microsoft программу TweakUI, инсталлируем и запускаем её.
                            После запуска - в левой части, в меню выбираем пункт "My Computer / AutoPlay / Types" и в правой части убираем галки напротив пунктов

                            - Enable Autoplay for CD and DVD drives
                            - Enable Autoplay for removable drivers

                            Далее нажимаем OK и закрываем программу. Всё, вы в безопасности.
                            • +1
                              Могу добавить про Висту. Там проблема самовоспроизведения была исправлена, и там по-умолчанию появляется окно, в котором нужно выбрать, что вы хотите сделать с USB drive / DVD / CD (открыть в Windows Explorer'e или же Autoplay).
                              • +2
                                чтоб им 100 лет икалось за такое решение.
                                • –1
                                  в ХР то же самое...
                                  • 0
                                    нет
                                    • 0
                                      Да ладно Вам, нет! дома и на работе так :) я что, выдумал чтоли? Диалог появляется, если на флехе музыка или фотки, он предлагает открыть медиаплейер или тп, просто открыть диск в проводнике или автоплей. Блин, спорят еще... и минусы ставят
                                      • 0
                                        В XP в свойствах дискового накопителя настраиваются действия по умолчанию (или же используется соответствующая галочка в окне автозапуска) — и после этого уже никто ни о чем не спросит.
                                • 0
                                  > Всё, вы в безопасности.
                                  Пока... :)
                                • +1
                                  все-таки это очень хорошо, когда система просто работает безо всяких проблем, как windows xp
                                  • 0
                                    не понял какое отношение этот комментарий имеет к теме поста?
                                    • –1
                                      спасибо, посмеялся
                                      • +1
                                        не важно какая система. надо правильно настроить )
                                        • +1
                                          Windows не требует настройки, она просто работает. К тому же все давно привыкли к Windows - еще с 95-й, когда данная дыра была впервые представлена.
                                          • 0
                                            ну знаете, я бы поспорил )
                                            когда поставил висту, шок длился сутки, а потом неделю я сидел над ней вычищая
                                            теперь только радует и я за висту )
                                            • 0
                                              Ну знаете, когда я поставил openSuse, я был в шоке день (потому что мне понравился интерфейс KDE и много разных плюшек), а потом за пару дней я установил авоматом специфический софт из репозитариев, настроил дрова на планшет и теперь он просто работает. К моему большому сожалению по линукс нет аналогов тех графических программ, которыми я пользуюсь, а под wine они тупят или не идут вовсе.
                                            • 0
                                              Windows XP "просто работает"? Скажите это моему, как это, "Vista Premium Ready"-ноутбуку-)
                                          • 0
                                            Привычка не читать пост перед написанием комментария - она, знаете, плохая :)
                                            • +1
                                              привычка не думать перед написанием комментария - она, знаете, еще хуже :-)
                                              • 0
                                                Скажите, какое отношение к новости об уязвимости в Windows имеет фраза о том, что Windows XP просто и хорошо работает?
                                                • +1
                                                  Да, знаете, вы правы, привычка дурацкая, но к вечеру вот оно вот так вот получается)

                                                  Откровенный стёб не распознаю))
                                          • 0
                                            Удивили... да уже года 2-3 с компов друзей, Интернет-кафе и прочих общедоступных тачек ношу себе эти вирусы...

                                            Вообще неясно, зачем нужен такой авторан на флешке. Ну понятно когда на диске с игрой, но на личном накопителе то нафига?

                                            У себя давно уже решил проблему, сделав все скрытые файлы видимыми, и отключив службу "Определение оборудования оболочки".
                                            • 0
                                              А есть флешки, поставляются со всяким софтом разным, который запускается при вставке флешки, например, система шифрации данных на флешке и программа расшифровки по паролю... нужно если флешка потеряется, в целом идея неплохая...
                                              • 0
                                                идея то вобщем то хорошая отличный способ незаметного взлома, надо поставить какой нить троян другу и даже не надо изобретать веласипед, дядя Билли уже о бо всем позаботился. А если серьёзно, вместо того что бы пихать проверку сертификатов куда попала лучшеб на авторан нужен был сертификат, тем кому нужен будет и его достанут но хоть от сказаного мной способа установки софта "другу" защитит..
                                                • 0
                                                  Знаю я такие флэшки. Но никак не одобряю. Помнится была у меня какая-то Transcend и была там утилитка паролирования/шифрования. Всё делалось предельно просто: флэшка разбивалась на два раздела, один из которых маленький (забитый под завязку специально) и содержащий экзэшник (запускаемый руками), а во втором всё остальное (шифрованный). По сути так и есть сейчас, только не у всех флэшек загрузочная область распознаётся как отдельный диск. Однако же ничто не мешает спросить у продавца в магазине какая флэшка (или посмотреть описание в инете).
                                                  • 0
                                                    Насмешили..
                                                    У продавца.
                                                    Я неделю вяло но с интересом дискутировал с продавцами об этом. Отличались они умным видом и 3 классами церковно приходской видимо.

                                                    Я выяснил:
                                                    1) так не бывает
                                                    2) вам такого не надо
                                                    3) у вас (тебя братан) параноя :))
                                                    4) добавить из своего опыта.
                                                    • 0
                                                      Хм. Не знаю. То ли я хожу в правильные магазины, то ли в Краснодаре технически подкованные консультанты, то ли я не часто задаю вопросы.

                                                      Вообще говоря ответы из списк можно получить в каком-нибудь хозяйственном магазине, где флэшками чисто для количества и понта торгуют.

                                                      В специализированном магазине в худшем случае получал ответ «Ой, я не знаю, сейчас я мальчика позову, который знает» или лицезрел изъятие инструкции на русском.

                                                      А если уж встретите флэшку, с которой нельзя руками запустить то, что автозапуском запускается, советую её вернуть или выкинуть — это явно какой-то идиотический левак. Нормальные фирмы так не делают, ибо флэшка может засовываться в разные компы с разными платформами и нет никакой гарантии, что везде есть автозапуск.
                                                • 0
                                                  Поддерживаю.
                                                  Фирма Майкрософт проявила редкостное скудоумие допустив возможность автозапуска с записываемых накопителей.
                                                • 0
                                                  Подскажите плз где руками отключить авторан с юсб накопителей в ХР, а не через вышеприведенную софтину.
                                                  • 0
                                                    мой предыдущий пост (Пуск -> Панель управления -> Администрирование -> Службы, "Определение оборудования оболочки" -> Свойства -> Тип запуска: отключено, Стоп -> ОК)
                                                    • 0
                                                      проще софтиной 2 галки поставить. Иначе правь в реестре ветки.
                                                      • 0
                                                        ко мне друзья приходят с флэшками, и хоть я открывал их через far , всё равно "гадость" просачивалась.
                                                        в итоге решил вообще везде вырубить автораны, вот рецепт:

                                                        http://www.howtogeek.com/howto/windows/d…

                                                        где-то ещё встречал, там тоже как-то через политики,но там числа надо было вводить.
                                                        • 0
                                                          вот сборник рецептов — http://xeningem.livejournal.com/79656.ht…
                                                        • 0
                                                          несколько раз уже встречал один autorun "вирус", и на флешках и на HDD. Обычно простых пользователей, не знающих что такое autorun.inf, это вводит в ступор, и они очень сильно привыкают к открытию дисков с помощью ПКМ->Открыть :) А "вирус" состоит в записи autorun.inf с примерным содержанием

                                                          [autorun]
                                                          open=copy.exe

                                                          Всё, диск/флешка инфицированы :)
                                                          • +2
                                                            очень удивился этому посту: больше года уже борюсь с подобными вирусами.

                                                            лично я ничего не отключаю (типа авторан или сервисы), а просто держу Shift, когда вставляю флэшку - авторан не завпускается. потом открываю ее через Far Manager и удаляю все долбаные вирусы, вытаскиваю флэху и снова вставляю. вирусов уже нет, мир спасен :)

                                                            просто людям надо быть умнее, повышать свою компьютерную грамотность...
                                                            • 0
                                                              Иногда Shift задирает зажимать, когда часто приносят флэхи. Или элементарно можно забыть.
                                                              • 0
                                                                век живи, век учись. для безопасности способ не очень катит, но вообще - на заметку. полезный трюк.
                                                              • 0
                                                                Mac-и тоже запускают содержимое флешок?
                                                                • 0
                                                                  Побойтесь Бога. Зачем лезть с маковским вопросом в этот сугубо специфичный пост.
                                                                  • 0
                                                                    Мне тоже интересно. Знаменитый макинтошевский "вирус", обваливающий окошки - он не по такому же принципу работает?
                                                                  • 0
                                                                    - А можно ли запустить на маке виндовую программу?
                                                                    - Можно. Только работать не будет. (с)

                                                                    На самом деле, очень часто, когда вставляю чью-то флешку в свой макбук вижу эти вирусы на ней. Последний раз попался вирус на флешке препода - всю группу заразила )
                                                                    • 0
                                                                      Это он принес чтобы вирус всем курсачи похавал, и вы их переделывали с нуля, в методических целях ))))
                                                                  • 0
                                                                    Спасибо, отключил и вправду ненужная и навязчивая служба.
                                                                    Первый такой вирус я встретил летом 2007-ого, после заражения антивирус его немог убрать, приходилось удалять руками из реестра autorun.inf из ключа userinit. А касперский попросту не реагировал на 7 файлов autorun.* в корне каждого диска. Но вот появилось еще множество таких вирусов и антивирь ругается на *.exe или *.com которые копирует autorun, но сам autorun не удаляет :(
                                                                    • +2
                                                                      У нас один коллега постоянно приносит вирусы на флешке. Ему приходится периодически работать с инфицированными компами и он притаскивает различную autorun-заразу. Я ему предложил отформатировать флешку в NTFS, создать свой autorun.inf и поставить на него такие права, чтоб никто кроме создателя не смог перезаписать. Ну и радикальное решение - флешка со слайдером защиты от записи. Когда не собираешься на неё писать, а только с неё - передвинул переключатель и спокойно раболтаешь. Таких флешек правдо в продаже мало и как правило ёмкость у них небольшая. Как вариант - миниатюрный ридер карт SD и карта к нему, такие по размеру и внешнему виду почти не отличаются от флешек и есть в широкой продаже, но вытаскивать каждый раз SD чтобы сдвинуть переключатель защиты от записи не слишком удобно.
                                                                      • +1
                                                                        Распространение вирусов через флешки и autorun'ы действительно уже года 2-3. Что удивительно, так это поведение антивирусов. Symantec находит сразу же вирус и удаляет его оставляя файл autorun.inf. А нод наоборот - удаляет autorun.inf и оставляет сам вирус (а это могут быть .dll, .com, .pif, и т.д.)
                                                                        Отключить автозапуск желательно и потом заходить на флешки (особенно после публичных мест) желательно либо в ФАРе либо через Total Commander (кому что нравиться)
                                                                        • 0
                                                                          А продукт Касперского не знаете как на это реагирует?
                                                                          • 0
                                                                            вопит как зарезанная свинья =)
                                                                            Давно такие трояны уже гуляют, у меня уже даже привычка выработалась, проверять флешки на наличие авторанов и скрытых файлов. Кста попадался даже троян который сам меняет параметры отображения скрытых файлов
                                                                            • 0
                                                                              ЗЫ: Я ещё забыл упоминуть что всегда стоит зажимать шифт, чем мы обезвреживаем авторан и можно спокойно работать (или спокойно проверять флешку антивирусом ;-) )
                                                                              • 0
                                                                                у меня такой стоит. Он не только не даёт включить отображение скрытых файлов, но и не даёт себя удалять. (Причём не только из Эксплорера - такое бывает, но и из командной строки)
                                                                                Хотите - поделюсь?
                                                                              • 0
                                                                                Вот чего не знаю, того не знаю. Уже очень давно не пользуюсь касперским. Могу посоветовать вот что сделать. Отключить автозапуск дисков, флешек и т.д. и заходить на сьемные носители через Тотал Коммандер или Фар. Так Вы не запустите авторан и сможете спокойной убить вирус с автораном
                                                                            • 0
                                                                              Насколько я помню нажатая кнопка шифт при вставке диска/флэшки отменяет автозапуск ;)
                                                                              • +6
                                                                                Простой способ предотвратить заражение своей флешки при подключении к чужой инфицированной машине.

                                                                                Создаёте на флешке ПАПКУ с именем autorun.inf

                                                                                Всё.

                                                                                По-моему, довольно красиво.

                                                                                Вирус пытается создать файл autorun.inf, но у него не получается, т.к. уже есть папка с таким именем. Правда сам исполнимый код вируса, который он пытался прописать в autorun.inf копируется на флешку ( обычно это файлики .exe .com .bat со странными именами ). Ну да если вы самостоятельно не запустите этот код, то его легко удалить. В любом случае, такая флешка "обезврежена" и не придётся переживать когда подключаешь её в свою систему.

                                                                                Можно плюсовать :).
                                                                                • 0
                                                                                  желательно этому файлу поставить ещё "только чтение"
                                                                                  • 0
                                                                                    Думаю, сообразительные вирусы и до удаления папки дойдут.
                                                                                  • 0
                                                                                    Плюсую, хоть вы и опередили мои мысли:) На этот способ меня когда-то натолкнула цитата с Баша http://bash.org.ru/quote/250600 :)
                                                                                    • 0
                                                                                      а вирусы конечно пишут идиоты? содержимое авторана перезаписывается на open=copy.exe
                                                                                      • 0
                                                                                        Перечитайте ещё раз.

                                                                                        Создаётся ПАПКА c именем autorun.inf

                                                                                        Если такая папка есть в корне, то вирусы ( во всяком случае все с которыми я сталкивался на чужих заражённых машинах ) не могут создать ФАЙЛ с таким же именем. Всё. Нормальный авторан не работает. Я говорю не просто так, а т.к. с полгода назад на всех своих флешках сделал такое ( после того как обнаружил и вылечил у себя одну "радость" ) и с тех пор подключался в очень разных местах от интернет-клубов до униврситетских машин ( на которых вирусы кишат плюс тебе не дают прав админа :) ). и до сих пор ни один гад ко мне не пролез. Ну может это пока и будет работать не всегда, но сейчас - работает.
                                                                                      • 0
                                                                                        Обязательно попробую. т.к. вопрос как защитить мою флешку от враждебного компа стоит острее чем защита моего компа от враждебной флешки.
                                                                                      • 0
                                                                                        Буквально два дня назад боролся с таким вирусом. Nod32 к сожалению ничего не отрапортовал даже по моей просьбе.

                                                                                        Вставляем флэшку.
                                                                                        Заходим на нее.
                                                                                        Включаем "отображение скрытых файлов".
                                                                                        Видим в корне флэшки autorun.inf и наборсимволов.dll ("наборсимволов" генерируется каждый раз по разному).
                                                                                        В свойствах файла наборсимволов.dll можно увидеть метку Java и что-то там еще... не запомнил.

                                                                                        Удаляем эти два файла, вытаскиваем флэшку и пока откладываем ее в сторону.

                                                                                        Скачиваем с Microsoft утилиту Autoruns.
                                                                                        Ищем в списке в колонке Description на закладке Everything ту самую "Java не помню что там дальше".
                                                                                        Нужно быть внимательным и не перепутать с настоящей Java.

                                                                                        Нашли?
                                                                                        Теперь запоминаем путь где лежит этот файл и имя этого dll. Как правило он ложится в c:\windows\system32\ Путь можно увидеть в колонке Image Path напротив найденного подозрительного файла.
                                                                                        Отключаем чекбокс напротив файла.

                                                                                        Закрываем autoruns. Перезагружаем компьютер.

                                                                                        Удаляем этот dll.
                                                                                        • 0
                                                                                          эволюция - раньше дискеты, теперь флешки :)
                                                                                          • 0
                                                                                            Win+R, пишем regedit, нажимаем ok.
                                                                                            В меню Edit->Find, в окне поиска пишем NoDriveTypeAutoRun, ищем.
                                                                                            Заменяем значение всех найденных параметров на FFFFFFFF = 2^32
                                                                                            Как в Висте — не знаю.
                                                                                            • 0
                                                                                              Первый найденный такой ключ будет для .DEFAULT_USER
                                                                                              Разве эта настройка "перекроет" настройки конркетных юзеров?
                                                                                              По-моему, надо всем прописать.
                                                                                              • 0
                                                                                                Я же написал — заменяем значение _всех_ найденных таких параметров.
                                                                                            • 0
                                                                                              на нашей кафедре есть один назойливый червяк, лезущий на флешки. Упорно убиваю его, монтируя флешку под Линуксом и уничтожая физически его файлы.
                                                                                              • +1
                                                                                                Если я не ошибаюсь, чтобы отключить автозапуск можно просто зажать Shift в нужный момент.
                                                                                                • 0
                                                                                                  А я переформатировал флещ в ntfs и закрыл корень на запись всем пользователям :) теперь ко мне уж точно ни чего не попадет.
                                                                                                  Заранее подготовленный autorun.inf c правами "только для чтения" мне не помогал.
                                                                                                  • 0
                                                                                                    мне, кажется или эти вирусы стартуют только когда пользователь пытается открыть флэшку через дабл-клик или олюбой пункт в контекстном меню оной. Если же выбирать в дереве каталогов или через сторонню программу (totalcmd, far), то автозапуска не произойдет. А так же его не будет, если выбрать пункт "Открыть" в диалоге "что делать с флэшкой", который иногда предлагает выньда.
                                                                                                    • 0
                                                                                                      Подробно об autorun и как с ним бороться:
                                                                                                      http://virusinfo.info/showthread.php?t=17442
                                                                                                      http://virusinfo.info/showthread.php?t=20291

                                                                                                      Если заразились - http://virusinfo.info/showthread.php?t=1235
                                                                                                      • 0
                                                                                                        Очень часто сталкиваюсь с этим зверьём. Могу поделиться опытом. Во-первых жмите шифт когда вставляете флешку. Во-вторых сразу после этого читайте авторан и удаляйте файл, стоящий на авторане. В-третьих если не получается, пользуйте unlocker.
                                                                                                        • 0
                                                                                                          * зажатый, на 5 секунд, шифт отключает автозапуск не толкьо флэшек, но и дисков. Иногда бывает полезным.

                                                                                                          Кстати вирусы эти авторан иногда еще и на локальных дисках создают :) Я к сожалению являлся носителем такой гадости а сам и не знал, так как у меня любые автозапуски отключены
                                                                                                        • 0
                                                                                                          Недавно убил у себя такого трояна - ravmon.exe. Неизвестно сколько он у меня пробыл, но, надеюсь, недолго. Антивирусами не пользуюсь (поскольку беспорядочную половую жизнь, вроде как, не веду). Обнаружил только потому, что как ни вставлю какую-нибудь флэшку, на ней в корне лежит этот файл. Посмотрел в инете, и в ужасе начал чистить все флэшки - из фотиков, плееров, телефонов...
                                                                                                          • 0
                                                                                                            Давняя тема. В Англии вирусораспространители раскидывали на парковках флэшки с вирусами. Народ находил, вставлял, а дальше вирус уже сам все делал.

                                                                                                            У нас на всех компах запрещен автозапуск дисков.
                                                                                                            • 0
                                                                                                              У меня в последнее время на трех компах поселился некий amvo - никак убить не удается. И селится исключительно на флешках.
                                                                                                              • 0
                                                                                                                Не только на просто usb-флешках, но и на флешках в фотоаппартах/телефонах - их вообще никогда никто не проверяет, если антивирус автоматом этого не делает так и носят друг к другу с вируснёй.
                                                                                                                Год назад постоянно чистил фотоаппараты от вирусов :) Сам сижу в Linux, поэтому проблема не актуальна.
                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                    • 0
                                                                                                                      некая гадость для флешек обвесила все рабочие компьютеры в КПИ (Киевский политехнический институт), уже полгода висит. Всунешь флешку в соседнем отделе что-то скинуть, потом к себе - сразу НОД32 кричит (((

                                                                                                                      И не гадит вроде, вообще никак не мешает; но плодится и размножается, что кролики весной :)))
                                                                                                                      Жене недавно винду переставляли, у нее антивиря не было, вот эта же тварь на жесткий диск перелезла. Лишь с 4-5 попытки завалили - оно так же успешно с дисков C и D авторанится :(
                                                                                                                      • 0
                                                                                                                        сидело, но прошло... а может и сидит, но я его найти не могу... скрытые файлы отображаются...

                                                                                                                        когда возникла проблема мне вот что посоветовали, но я не пробовала этот вариант, т.к на тот момент уже переустановила винду... : (перед всеми манипуляциями создаём точку востановления)

                                                                                                                        Беда в том, что антивирус удаляет инфицированные файлы, но не может исправить изменения, которые были сделаны вирусом в реестре с целью заблокировать отображение скрытых файлов. Мне помогли следующие инструкции:

                                                                                                                        Вирус распространяет своё тело в корень всех локальных дисков и носителей информации, используя Autorun.inf, который запускает вирус при двойном клике на инфицированном диске. Файл скрытый. Так же вирус внедряет троян в систему и правит реестр, делая невозможным отображение скрытых файлов. При этом он не просто изменяет значение ключа [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
                                                                                                                        "Hidden"=dword:00000001
                                                                                                                        и
                                                                                                                        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
                                                                                                                        "CheckedValue"=dword:00000001
                                                                                                                        но меняет и тип ключа с "Параметр DWORD" на "Строковый параметр"
                                                                                                                        делая невозможным его редактирование стандартными средствами и блокируя изменения через "Сервис\Свойства папки\Вид".

                                                                                                                        Лечение:
                                                                                                                        Удаляем все файлы вируса и файл Autorun.inf удаляем ручками через поиск или в хорошем тоталкомандаре, перезагружаем компьютер.
                                                                                                                        В regedit удаляем неправельные ключи типа "Строковый параметр"
                                                                                                                        "Hidden"=0
                                                                                                                        "CheckedValue"=0
                                                                                                                        и создаём новые типа "Параметр DWORD"
                                                                                                                        "Hidden"=dword:00000001
                                                                                                                        "CheckedValue"=dword:00000001
                                                                                                                        в приведённых выше ветках.

                                                                                                                        ещё:

                                                                                                                        1. удаляем из автозагрузки amvo.exe (или amva.exe) через Пуск-->Выполнить — msconfig — Автозагрузка, или через RegCleaner
                                                                                                                        2. через ACDSee удаляем amvo.exe в БЕЗОПАСНОМ РЕЖИМЕ, потому что в обычном режиме он занят другим процессом .Он прописывается в автозагрузку (авторан). находится здесь: C:\Windows\System32\amvo.exe (если есть amvo1.dll его тоже надо удалить) Этот файл скрытый. Windows его не видит, total commander тоже не видит, на щёт FARa не знаю не проверял. Знаю точно что ACDSee. Он видит скрытые файлы, даже если Explorer их не видит.
                                                                                                                        3. этот файл Amvo.exe генерирует файлы autorun.ini и x6.bat на всех дисках (на С, D... и на флэшках тоже, вобщем на всех, кроме CD и DVD). Удаляем эти файлы autorun.ini и x6.bat там же - в БЕЗОПАСНОМ РЕЖИМЕ.
                                                                                                                        4. после удаления этих файлов они хотя бы больше не будут появляться.
                                                                                                                        5. перегружаем комп.
                                                                                                                        6. пробуем включить отображение скрытых файлов.
                                                                                                                        • 0
                                                                                                                          Некоторые из такого рода вирусов можно обломать, если на флешке создать autorun.inf с атрибутом Read-Only - некотрые из таких вирусов не могут снять защиту от записи с файла, а зачит не впишутся в авторан.
                                                                                                                          • 0
                                                                                                                            Необходимо не просто создать папку autorun.inf и дать ей атрибуты readonly а в ней создать еще что-нибудь, неважно что файл или папку еще.
                                                                                                                            Это предотвратит тупые удаления используя rmdir без ключа /S
                                                                                                                            часть идиотов отсеивается.
                                                                                                                            Еще часть идиотов отсеится, если в имени файлов внутри autorun.inf написать недопустимые символы.
                                                                                                                            Тогда система не сможет удалить и потребуется еще пыхтеть.
                                                                                                                            Однако… против лома есть другой приемчик для вирусописателей:
                                                                                                                            Зачем удалять?
                                                                                                                            Нужно переименовывать! И данные останутся на всякий случай(например для stealth можно самому запускать этот autorun, если он не папка)
                                                                                                                            И Проблемм с удалением не будет и всеми такими хитрицами как вы.
                                                                                                                            Поэтому флэшку защитить не получиться. Есть отличный вариант защиты — покупайте флэшку с переключателем readonly.
                                                                                                                            А кроме того что можно заразить autorun, можно заразить или еще смешнее — подменить любой exe inf html… файл.
                                                                                                                            Панацея защиты — переключатель.
                                                                                                                            А панацея для компа — отключение авторуна нафсегда.
                                                                                                                            А загрузочные флэшки — вопрос другой

                                                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.