Удаляем вирус Win32 Small k (Autorun)

Hottabych · 18.06.2008, 21:41

Решил написать кое-что про вирусы типа Autorun, может кому пригодится... Эту пакость написал какой-то ненормальный программер (хотя и довольно умный)... Начну с того, что вирус распространяется чаще всего на флешках. Состоит чаще всего из нескольких файлов (autorun.inf, autorun.bin, autorun.vbs, autorun.com и тд), но вариантов и модификаций у него много.

Работает вся эта байда так: вы вставляете флешку, запускается файл autorun.inf, запускаются файлы вируса. Всё, скрытые файлы и папки просмотреть невозможно, удалить вирь можно только через нормальный файловый менеджер, но не всегда. Я не зря в начале заметил, что программер, который написал эту бодягу имеет каплю мозгов...
В одном из своих творений он свел возможность удаления к минимуму: при заражении таким вирусом запускается файлы lfkxaor.exe (следит за активностью пользователя) и salbhfd.exe ("отладчик"). В списке процессов их увидеть можно, а вот завершить нет... Следом за этим отключается восстановление системы и некоторые другие программы...

Что касается реестра, то там у нас изменяются следующие ключи:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - сюда прописывается автозагрузка виря (но не всегда)

HKEY_CURRENT_USER\software\bykake
................................\hforwm
................................\nvhgod, тоже могут быть признаком присутствия виря

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL - изменяет значение параметра CheckedValue и вследствие этого просмотр скрытых файлов невозможен...

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2 - даже если вы удалите вирус, то открыть нормально диски может и не получиться (Диалог "Выберите программу для открытия этого файла...").

Для устранения и защиты от этого вируса я написал прогу (насколько смог) KillAuto. Как показали тесты, с задачей она справляется, хотя и с некоторыми багами :( Прога freeware скачать можно с моего сайта: http://hottabych.3dn.ru/load/7-1-0-50

З.Ы. Для создания программы исследовал только 3 вида таких вирусов, если кто заинтересовался, заливайте мне на мыло архивы с такими вирями для исследования :)

Aleksan · 19.06.2008, 04:13

Цитата:

Сообщение от Hottabych

Эту пакость написал какой-то ненормальный программер

Изначально этот вирусяка пришел с Китая. Во всяком случае, впервые я с ним познакомился именно там....

Цитата:

Сообщение от Hottabych

Для устранения и защиты от этого вируса я написал прогу (насколько смог) KillAuto. Как показали тесты, с задачей она справляется, хотя и с некоторыми багами

Молодчина, что заботишься о здоровье компов рунета. И кстати, эту гадость ловит любой (теперь уже) нормальный антивирус.
Так же есть "миниантивирус", которой создать для борьбы именно с авторанами. АнтиАвторан его имя. Работает довольно хорошо.

Цитата:

Сообщение от Hottabych

Как показали тесты, с задачей она справляется, хотя и с некоторыми багами

Что за баги? format:/c ?? :lol: :lol: /Прошу воспринять как шутку. Реально интересно, что за баги?/

Hottabych · 19.06.2008, 08:47

Когда нажимаем Сканировать, запускается цикл проверки всех дисков в системе... Бывают такие случаи, когда дисковод есть и он его проверяет на наличие файлов, а диска нету и выскакивает ужасно неприятная табличка "Диск отсутствует в дисководе"... Сейчас этот баг устранен, но все-таки иногда на флопиках он проскакивает...
Кстати AntiAutorun 2.0 с некоторыми авторанами не справляется, в частности с описанной мною модификацией, но у неё сравнительно маленький размер, тогда как свою я писал на Делфях со всеми библиотеками :)

Aleksan · 20.06.2008, 03:24

Цитата:

Сообщение от Hottabych

Кстати AntiAutorun 2.0 с некоторыми авторанами не справляется, в частности с описанной мною модификацией,

Фиг, знает - если честно... Вроде справляется он довольно успешно...

Цитата:

Сообщение от Hottabych

но у неё сравнительно маленький размер

Угусь....На дискетках удобно носить в канторы, где еще ВИН 98 стоит. (Казначейства, например всякие)...

18.06.2008, 21:41	#1 (permalink)
Hottabych Member Регистрация: 25.07.2007 Сообщений: 344 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 35	Решил написать кое-что про вирусы типа Autorun, может кому пригодится... Эту пакость написал какой-то ненормальный программер (хотя и довольно умный)... Начну с того, что вирус распространяется чаще всего на флешках. Состоит чаще всего из нескольких файлов (autorun.inf, autorun.bin, autorun.vbs, autorun.com и тд), но вариантов и модификаций у него много. Работает вся эта байда так: вы вставляете флешку, запускается файл autorun.inf, запускаются файлы вируса. Всё, скрытые файлы и папки просмотреть невозможно, удалить вирь можно только через нормальный файловый менеджер, но не всегда. Я не зря в начале заметил, что программер, который написал эту бодягу имеет каплю мозгов... В одном из своих творений он свел возможность удаления к минимуму: при заражении таким вирусом запускается файлы lfkxaor.exe (следит за активностью пользователя) и salbhfd.exe ("отладчик"). В списке процессов их увидеть можно, а вот завершить нет... Следом за этим отключается восстановление системы и некоторые другие программы... Что касается реестра, то там у нас изменяются следующие ключи: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - сюда прописывается автозагрузка виря (но не всегда) HKEY_CURRENT_USER\software\bykake ................................\hforwm ................................\nvhgod, тоже могут быть признаком присутствия виря HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL - изменяет значение параметра CheckedValue и вследствие этого просмотр скрытых файлов невозможен... HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2 - даже если вы удалите вирус, то открыть нормально диски может и не получиться (Диалог "Выберите программу для открытия этого файла..."). Для устранения и защиты от этого вируса я написал прогу (насколько смог) KillAuto. Как показали тесты, с задачей она справляется, хотя и с некоторыми багами :( Прога freeware скачать можно с моего сайта: http://hottabych.3dn.ru/load/7-1-0-50 З.Ы. Для создания программы исследовал только 3 вида таких вирусов, если кто заинтересовался, заливайте мне на мыло архивы с такими вирями для исследования :)

19.06.2008, 08:47	#3 (permalink)
Hottabych Member Регистрация: 25.07.2007 Сообщений: 344 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 35	Когда нажимаем Сканировать, запускается цикл проверки всех дисков в системе... Бывают такие случаи, когда дисковод есть и он его проверяет на наличие файлов, а диска нету и выскакивает ужасно неприятная табличка "Диск отсутствует в дисководе"... Сейчас этот баг устранен, но все-таки иногда на флопиках он проскакивает... Кстати AntiAutorun 2.0 с некоторыми авторанами не справляется, в частности с описанной мною модификацией, но у неё сравнительно маленький размер, тогда как свою я писал на Делфях со всеми библиотеками :)

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070