 ·RSS:
новые статьи сайта «Слово» |
|
·Интересное и полезное в Инете и Рунете
|
|
|
|
*** Веб-мастеру, обдумывающему веб-житье, Решающему, свой веб-сайт разместить где, Я скажу: «Размести его
на
PeterHost.ru!»
– об этом не придется тебе! |
***
В последнее время получает широкое распространение «антивирусный» скрипт usb.wsf.
«Антивирусный» набор состоит из 2-х файлов – сам скрипт – usb.wsf (6243 байт) и файл autorun.inf (213 байт), обеспечивающий автозапуск скрипта.
Оба файла имеют атрибуты Скрытый, Системный, Только чтение.
Содержимое файла autorun.inf:
[AutoRun]
open=wscript usb.wsf
shellexecute=wscript.exe usb.wsf
action=Install USB_Autorun_Remover
shell=open
UseAutoPlay=1
shell\open\Command=wscript.exe usb.wsf
shell\explore\Command=wscript.exe usb.wsf
Антивирусы так идентифицируют этот autorun:
– Avast – VBS:Malware-gen;
– F-Prot – IS/Autorun;
– McAfee – Generic!atr.b;
– NOD32 – VBS/RiskTool.AutorunStub.A;
– Sophos – Sus/AutoInf-A;
– TrendMicro – Mal_Otorun1.
Файл usb.wsf
– a-squared – Riskware.RiskTool.VBS.AutorunStub!IK;
– AntiVir – HTML/Rce.Gen;
– AVG – VBS/Worm.AX;
– Kaspersky – not-a-virus:RiskTool.VBS.AutorunStub.a;
– McAfee – VBS/Autorun.worm.k;
– Microsoft – Worm:VBS/Autorun.AG;
– NOD32 – VBS/RiskTool.AutorunStub.A;
– PCTools – Malware.VBS-Runauto;
– Sophos – VBS/Autorun-AZZ;
– Symantec – VBS.Runauto;
– TrendMicro – Mal_Otorun4.
***
«Партизанская» деятельность usb.wsf
Скрипт usb.wsf скрытно (без ведома пользователя!) устанавливается в систему (в папку \Program Files\usb_anti_autorun);
– создает раздел Реестра
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];
– постоянно «висит» в оперативной памяти, отслеживая подключаемые к ПК флешки/съемные диски;
– копируется на все вновь подключаемые
Налицо – самые характерные признаки вируса!
Скрипт usb.wsf опасен тем, что его – слегка доработав! – можно использовать для вирусной атаки, как самостоятельной, так и запуская с его помощью другие вирусы.
И хотя создатель скрипта позиционирует свое творение как защиту от Penetrator'а, – увы от Пенетратора он защитить не сможет…
***
Как избавиться от скрипта usb.wsf
– запустите Диспетчер задач (любым способом – например, с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK);
– в окне Диспетчера Задач откройте вкладку Процессы;
– выделите wscript.exe, нажмите кнопку Завершить процесс;
– санкционируйте завершение процесса;
– закройте Диспетчер задач;
– удалите папку \Program Files\usb_anti_autorun;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– удалите раздел
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];
– закройте Редактор реестра;
– если в настройках вашего антивируса есть опция Блокировать выполнение скриптов, задействуйте ее.
Примечания
1. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?.
2. Если Редактор реестра не запускается, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?.
3.
– нажмите Пуск –> Настройка –> Панель управления –> Свойства папки;
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в прокручиваемом списке Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
|
*** *** |
| • SAPE.RU – покупка и продажа ссылок |