Путеводитель по сайту

Безопасен ли «антивирусный» скрипт usb.wsf?

English version Распечатать

***

***

 

***

В последнее время получает широкое распространение «антивирусный» скрипт usb.wsf.

 

Безопасен ли «антивирусный» скрипт usb.wsf?

 

«Антивирусный» набор состоит из 2-х файлов – сам скрипт – usb.wsf (6243 байт) и файл autorun.inf (213 байт), обеспечивающий автозапуск скрипта.

Оба файла имеют атрибуты Скрытый, Системный, Только чтение.

 

Содержимое файла autorun.inf:

[AutoRun]

open=wscript usb.wsf

shellexecute=wscript.exe usb.wsf

action=Install USB_Autorun_Remover

shell=open

UseAutoPlay=1

shell\open\Command=wscript.exe usb.wsf

shell\explore\Command=wscript.exe usb.wsf

 

 

Безопасен ли «антивирусный» скрипт usb.wsf?

 

 

 

***

«Партизанская» деятельность usb.wsf

Скрипт usb.wsf скрытно (без ведома пользователя!) устанавливается в систему (в папку \Program Files\usb_anti_autorun);

– создает раздел Реестра

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];

– постоянно «висит» в оперативной памяти, отслеживая подключаемые к ПК флешки/съёмные диски;

– копируется на все вновь подключаемые флешки/съёмные диски.

 

Налицо – самые характерные признаки вируса!

 

Скрипт usb.wsf опасен тем, что его – слегка доработав! – можно использовать для вирусной атаки, как самостоятельной, так и запуская с его помощью другие вирусы.

И хотя создатель скрипта позиционирует своё творение как защиту от Penetrator'а, – увы от Пенетратора он защитить не сможет…

 

 

***

Как избавиться от скрипта usb.wsf

– запустите Диспетчер задач (любым способом – например, с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK);

– в окне Диспетчера Задач откройте вкладку Процессы;

– выделите wscript.exe, нажмите кнопку Завершить процесс;

– санкционируйте завершение процесса;

– закройте Диспетчер задач;

 

– удалите папку \Program Files\usb_anti_autorun;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– удалите раздел

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];

– закройте Редактор реестра;

 

– если в настройках вашего антивируса есть опция Блокировать выполнение скриптов, задействуйте её.

 

 

Примечания

1. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?.

2. Если Редактор реестра не запускается, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?.

3. Для отображения вирусов, маскирующихся под скрытые и системные файлы рекомендуется:

– нажмите Пуск –> Настройка –> Панель управления –> Свойства папки;

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в прокручиваемом списке Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

 

Валерий Сидоров

 

 

***

Статьи о ПК и PC

Вирусы vs. антивирусы

Раскрывая тайны Windows…

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

Путеводитель по сайту

18+

© Сидоров В.В. 2016. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.