О программе БУРАН ЗАРЯ Скачать Регистрация Заметки
21.11.2015

Исчезают файлы на флешке

Большинство вирусных атак отражает антивирусная программа. Какой-нибудь антивирус обязательно устанавливают на компьютер. Начиная с Windows версии 8 антивирус встроен в операционную систему, хотя пользователь по-прежнему может вместо него использовать другую полюбившуюся антивирусную программу.

Антивирус относительно бодро уничтожает известные ему штаммы вирусов, но плохо справляется с обнаружением новых вирусов, пока еще не внесенных в антивирусную базу. Разработчики антивирусов всячески пытаются снабдить антивирус "эвристическими" способностями обнаруживать новые вирусы по всяким косвенным признакам и якобы подозрительному поведению, но на деле это обычно оборачивается только дополнительными проблемами, такой антивирус активно мешает работе, а новый вирус все равно чаще всего проскакивает незамеченным.

Небольшое учреждение, с десяток компьютеров под Windows XP, в штате нет не только компьютерщика, но и мужчин. "Караул, у нас наверняка орудует вирус - с флешек удаляются все документы!". А учреждение как раз из тех, которое активно навещают клиенты с флешками. Возможно один из них и принес вирус, и теперь возникла опасность дальнейшего естественного распространения. Пользователь показывает флешку: На первый взгляд все в порядке, пользователь привычным движением мышки пытается открыть папку или файл, но они не открываются. Немного потыкавшись и помыкавшись, пользователь обращает внимание, что значки папок имеют в левом нижнем углу стрелочку. Значит это ярлыки. А где сами документы? Где, где - видимо именно там.

Смотрю на флешку, понятное дело, программой FAR, вижу картину: Оказывается все файлы и папки на месте, просто им вирус присвоил атрибуты Скрытый и Системный. Кроме того, вирус создал ярлыки, которые имеют такие же имена, как и скрытые файлы и папки. И если пользователь в меню Сервис - Свойства папки включит такие режимы: то он тоже все прекрасно увидит: Причем виден и сам вирус, присвоивший себе случайное имя, в данном случае - xmUbRet.exe.

Каждый из "фальшивых" ярлыков выполняет всякие вредные действия, одно из которых - запуск этого вируса. Поэтому, открывая эти ярлыки, пользователь своими руками и заражает компьютер, в который вставлена флешка. Большинство вирусов, распространяющихся через флешки, используют для своей активизации механизм автозапуска, то есть печально известный файл AUTORUN.INF. Но этот способ теперь всем известен, поэтому все менее эффективен. А наш вирус для своей активизации использует не автозапуск Windows, а самого пользователя и не ошибается - пользователь многократно запускает вирус, тыкая мышкой в эти ярлыки.

Дело происходит в первой половине дня 9 ноября 2015 года. Анализ вируса через несколько часов на сайте www.virustotal.com показал, что его детектируют то ли 3, то ли 5 антивирусов из 55. Примерно еще через сутки-двое его обнаруживали порядка 20 антивирусов, а 15-го ноября обнаруживали 40 антивирусов. Оказалось, что этот вирус в разных антивирусных программах называется так:

Microsoft   Worm:Win32/Dorkbot!rfn   
DrWeb       Trojan.DownLoader17.33551
Kaspersky   Worm.Win32.Ngrbot.auov   

Ну а пока сходу попробуем прибить вирус вручную. Ведь восстановление флешек не составляет проблемы - достаточно удалить файл xmUbRet.exe и ярлыки, затем просто снять с папок и файлов атрибуты Скрытый и Системный. Но делать это пока бесполезно, так как заражены сами компьютеры: вскоре после излечения, флешка на глазах снова обрастает ярлыками и вирусом. То есть вирус, находясь в компьютере, наблюдает за флешками и регулярно их обслуживает, записывая себя на них.

Пробую искать вирус в компьютере простыми подручными методами. Причем понимая, что это больше вопрос везения, так как далеко не каждый вирус даст такую возможность. Но попробую. Полагаю, что вряд ли вирус, копируя себя на компьютер, сохраняет себе то же самое имя, что и на флешке. Это было бы слишком просто, он так примитивно подставляться не будет. Значит нужно искать по фрагментам его содержимого, хотя и оно может меняться. Для ускорения работы искать, видимо, нужно не по всем файлам, слишком маленькие и слишком большие файлы можно не рассматривать. Наш вирус xmUbRet.exe имеет размер 330240 байт, значит даже если он себя как-то модифицирует или перепакует, то все равно будет в пределах 100...500Кб. Для начала в программе FAR просто делаю поиск всех файлов диска C: и сортирую их по размеру. Сразу удача - обнаруживаются файлы с точным нужным размером:

То есть вирус себя размножил, нахально раскидал по созданным им папкам и файлам с приличными именами WindowsUpdate, Update, Explorer. Плюс менее внятное, но оставляющее служебно-техническое впечатление, имя c371200. Все это лежит примерно здесь: Разумеется какие-то из этих файлов наверняка запускаются при загрузке Windows, их запуск видимо где-то прописан в реестре.

Простое удаление файлов бесполезно - они снова появляются, так как вирус сидит где-то в оперативной памяти и работает, свое дело знает. Загружаюсь с системной флешки. Эта флешка тоже сразу была заражена этим же вирусом еще на этапе первого запуска FARа, но с нее все равно удается загрузить не зараженную систему. Снова удаляю эти вирусные файлы и папки в компьютере, загружаю компьютер - вирусные файлы и папки снова появляются. Значит еще одна копия вируса где-то прячется.

Пора посоветоваться с интернетом насчет поведения вирусов подобного типа. Обращаю внимание на упоминание в сообщениях папки \Application Data\Microsoft\Windows\Themes\. Пробую ее удалить - не получается. В папке вроде уже нет файлов, но Windows упирается, говорит что удалить не могу, так как папка не пустая. Значит оно где-то здесь прячется, отсюда запускается при загрузке Windows и дальше размножается. Чтобы не заморачиваться с удалением, пробую просто переименовать папку в надежде, что при загрузке Windows файл не найдется по своему пути. Переименовываю \Themes в \Theme, снова удаляю вышеупомянутую компанию вирусных файлов и перезагружаю компьютер. Наблюдаю - вирусные файлы в компьютере не появляются. Вставляю в компьютер зараженную флешку, удаляю на ней вирус и ярлыки, восстанавливаю видимость файлов и папок - все нормально, флешка снова не заражается. Папку \Theme можно почистить, чтоб удалить тело вируса. Компьютер излечен.

В последствии интернет сообщил, что в памяти этот вирус маскируется таким образом: М-да, не очень-то он и прятался, можно было догадаться. Поэтому в дальнейшем перед удалением файлов и переименованием папки я сначала программой Process Explorer удалял эти процессы.

Для пущего порядка можно после удаления вируса почистить реестр Windows популярной бесплатной утилитой CCleaner, которая найдет и удалит из реестра ставшие беспомощными команды запуска уже несуществующего вируса:

Через день бесплатный сканер от Microsoft уже стал справляться с удалением этого вируса из компьютеров, хотя на некоторых все-таки подвисал. Справлялся и сканер CureIt от DrWeb, но работал дольше. А чтобы пользователи могли сами лечить флешки с восстановлением нормальной видимости "пропавших" папок и файлов, был создан, по мотивам найденных вариантов в интернете, файл USB_virus_repair.bat. Хоть этот командный файл и рассчитан на данный конкретный вирус, но он будет полезен и для других штаммов такого типа. Командный файл снабжен комментариями, его можно легко модифицировать, добавлять или удалять команды. После запуска командный файл USB_virus_repair.bat выдает информационный экран и запрашивает букву подключенной флешки:

После обработки флешки этим командным файлом "исчезнувшие" файлы восстанавливаются.

Пользователи рады, что теперь так просто сами могут лечить флешки, уничтожая на них вирус и восстанавливая все документы. Информация о том, что различных штаммов вирусов существует несметное количество, что каждый день появляются новые, что следующий вирус будет выглядеть и вести себя совсем по-другому, настроение им не портит.

Дополнение 10.04.2020

В поле зрения попал другой вирус (штамм), который ведет себя с флешкой аналогичным образом, но имеет иное имя, размер и прочие отличия. Файл для восстановления флешек USB_virus_repair.bat доработан для охвата обоих вирусов и им аналогичных.