Отправлено: 17.12.21 13:06. Заголовок: Вирус, прячущий папки на флешках

В далёком 19-м году писал эту заметку для студентов РАЖВиЗа, которые испытывали проблемы с размножением между собой учебных материалов.
Впоследствии сам неоднократно возвращался к ней за помощью, потому что, как оказалось, проблема очень распространена. Итак...
- - -

Повстречался нестрашный вирус, живущий на флешках.
Симптомы:
- с флешки исчезают файлы,
- на самой флешке хранится ярлык с именем этой же самой флешки.
Вирус не новый, гуляет давно, при этом не все антивирусы его воспринимают, как вирус, так что чувствует он себя комфортно. Обеззаразить можно "руками", чему, собственно, и посвящена эта заметка.

= = = = = Оглавление = = = = =
0. Предисловие
I. Что делает вирус
II. Как не заразиться
III. Как бороться: ч.1. Компьютер
IV. Как бороться: ч.2. Флешка
V. Послесловие

= = = = = 0. Предисловие = = = = =
Это предисловие для тех, кому сегодня дали ссылку на эту заметку или подсказали, что она есть :)

Экземпляр вируса, попавшийся в мои руки, был лишён средств для автозапуска, поэтому рекомендацию в разделе II, касающуюся правки в реестре, можно не выполнять, а вместо этого переходить к разделу III.
Если в окне Process Explorer нет процессов wscript.exe, то всё хорошо: этим вирусом компьютер не заражён! В этом случае можно смело переходить к разделу IV.

= = = = = I. Что делает вирус = = = = =
1. Создаёт на флешке три папки:
- "_" (скрытая)
- "System Volume Information" (скрытая)
- "WindowsServices" (скрытая)
и создаёт файл-ярлык, с названием, совпадающим с именем флешки в системе.

Внутри папки "WindowsServices" лежат три файла - сценарии на Visual Basic Script:
- helper.vbs
- installer.vbs
- movemenoreg.vbs

2. Когда пользователь нажимает на загадочный ярлык-флешку, то этот ярлык запускает процесс wscript.exe, которому скармливается один из вышеупомянутых трёх файлов. Эти файлы:
а) копируют папку "WindowsServices" глубоко в папку пользователя операционной системы;
б) создают файл helper.lnk в меню автозагрузки пользователя операционной системы;
в) находят на флешке документы, которые не лежат в папке "_" - и переносят их в неё. Поскольку у многих пользователей отключён в проводнике показ скрытых папок, то кажется, что на флешке ничего нет.
г) находят подключённые незаражённые флешки и копируют на них файлы вируса, повторяя для них действие (в).

Поскольку вирус сохранил себя на компьютер пользователя, а также прописал себя в автозагрузку, то у него появляется возможность записывать себя на другие флешки и тем самым распространяться.

= = = = = II. Как не заразиться = = = = =
Чтобы этот вирус попал в операционную систему, необходимо, чтобы хотя бы раз на компьютере пользователя был выполнен один из вышеупомянутых vbs-сценариев.
Это возможно в двух случаях:
1. Пользователь сам нажал на ярлык с именем флешки, когда обнаружил его на флешке.
2. Вирус сопровождался файлом autorun.inf, а в операционной системе разрешен автозапуск со съёмных носителей.

Для первого случая достаточно просто не открывать незнакомые ярлыки.
Для второго случая автозапуск должен быть запрещён. Как это сделать:
1. Меню Пуск -> Выполнить... -> Вводим "regedit" и жмём "Ок".
2. Открываем такой путь:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Ищем параметр "NoDriveTypeAutoRun". У него должно быть значение не меньше 4.
Если такого параметра нет, то создаём сами:
Правая кнопка мыши -> Создать -> Параметр DWORD (32 бита) -> Присваиваем ему имя NoDriveTypeAutoRun - и ставим 4 в десятичной системе исчисления.
Рекомендуется после правок в реестре перезагружаться.
Можно поназапрещать и ещё больше автозапуска - вот здесь инструкция: https://support.microsoft.com/ru-ru/topic/%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%B9-%D0%B0%D0%B2%D1%82%D0%BE%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D0%BA%D0%B0-%D0%B2-windows-8e5ff0da-c526-7624-c064-ff82aecfd145

Если на родном компьютере этого вируса нет, а на флешке есть, то достаточно удалить файлы вируса (см. выше) - и всё будет хорошо.

= = = = = III. Как бороться: ч.1. Компьютер = = = = =
Сначала необходимо убедиться, что произошло столкновение именно с этим вирусом. Для этого:
1. Открываем проводник.
2. Находим меню "Сервис" -> "Параметры папок..."
3. Во вкладке "Вид" проматываем вниз и убеждаемся, что в настройке "Скрытые файлы и папки" выбрано "Показывать скрытые файлы, папки и диски".
4. Открываем проблемную флешку. Если видны упомянутые выше папки, значит, перед нами именно этот вирус.

Если компьютер уже заражён, то сначала необходимо устранить вирус из операционной системы. Нам понадобится программа Process Explorer, которую можно добыть отсюда: https://yadi.sk/d/qvGjvfmhlmYGHA
Можно взять и более свежую с сайта Microsoft ( https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer ), но на Яндекс.Диске лежит версия, которая запустится и на XP. Эта программа - усовершенствованный Диспетчер задач, который позволяет не только видеть, какие процессы запущены в системе, но и разные дополнительные вещи.

Распаковываем программу в любое интересное место и запускаем файл procexp.exe.
Жмём на шапку столбца Process, пока список процессов не станет древовидным.
Разыскиваем в самом низу списка процессы wscript.exe. Наводим мышкой - во всплывающей подсказке будет два адреса. Первый - это адрес самого wscript.exe, он важная часть системы, он хороший. Второй - это адрес сценария, который выполняется с помощью wscript.exe. Если адрес этого сценария заканчивается на helper.vbs, movemenoreg.vbs или installer.vbs, то:
1. Выписываем из этой подсказки на бумажку адрес, по которому "живёт" файл-злодей, жмём правой кнопкой мыши по wscript.exe и выбираем Kill Process Tree.
2. Отправляемся с помощью Проводника по выписанному адресу, видим три vbs-сценария - и удаляем всю папку WindowsServices, в которой "живут" эти файлы.

Теперь отправляемся с помощью Проводника в меню автозагрузки.
Для Windows 7 путь выглядит так (вместо имени пользователя должно быть, конечно, имя нашего пользователя):
C:\Users\ИМЯ ПОЛЬЗОВАТЕЛЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Для Windows XP так:
C:\Documents and Settings\ИМЯ ПОЛЬЗОВАТЕЛЯ\Главное меню\Автозагрузка
Удаляем оттуда файл helper.lnk, если он есть.

Проверяем ещё раз с помощью Process Explorer, "крутится" ли wscript.exe с подозрительным сценарием. Не должен, но если крутится, то снова выписываем адрес и отключаем его дерево процессов. Проверяем, существует ли по выписанному пути папка WindowsServices - и если да, то удаляем её. Если нет, то и хорошо.

Теперь компьютер не будет распространять этот вирус до повторного заражения.

= = = = = IV. Как бороться: ч.2. Флешка = = = = =
Если не запускать с флешки vbs-файлы вируса и не нажимать на его ярлык, то вся борьба сводится к следующему:
1. Удалить папки:
- "WindowsServices" (система предупредит, что содержащиеся в ней файлы очень важны для системы, но всё равно соглашаемся на удаление этих vbs-файлов);
- "System Volume Information".
2. Удалить ярлык.
3. Открыть папку "_", переместить из неё пленные файлы обратно в корень флешки.
4. Удалить папку "_".

Теперь флешка не будет распространять этот вирус до повторного заражения.

= = = = = V. Послесловие = = = = =
Этот вирус не стирает файлы, не шифрует их и не портит, что делает его вполне безобидным, хоть и неприятным. Временами разные его воплощения дают о себе знать, как и в этот раз.
Как предлагают бороться с другими его вариантами, можно прочитать здесь:
1) https://slicks.name/boltovnya/virus-sozdayot-yarlyk-fleshki-na-fleshke.html (в комментариях есть ещё рекомендация проверить, сохранил ли сведения о себе вирус в реестр в HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Load )
2) http://kingslon.ru/virus-sozdal-yarlyk-fleshki-na-fleshke/ (тоже больше относится к вирусу с автораном, но принцип тот же)
3) http://www.cyberforum.ru/viruses/thread2462015.html (это скорее для пользователей AVZ).


P.S.: В дополнение.
В коде вредоносного скрипта есть такие строки:

. . .
nkey = "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder\helper.lnk"
. . .
If (not IsEmpty(key)) then
ws.RegWrite nkey, 2, "REG_BINARY"
End if
. . .

По этому пути тоже следует заглянуть в реестре. На XP у Explorer нет раздела StartupApproved, как и на Win7HE, так что скрипт в реестре не наследил.

А ещё, если немного погуглить, то можно наткнуться на дневник Zhao Hui Huang на Гитхабе, где автор в одной из заметок анализирует код вируса и приходит к выводу, что раньше вирус мог предназначаться для майнинга криптовалюты, но жизнь помотала его, он потерял важный файл (возможно, что не один), так что ныне по флешкам гуляет вирус-калека, шаловливо перепрятывающий документы в скрытую папочку.