Віруси на флешці - поради з безпеки

Останнім часом досить часто доводиться чути про віруси поширюються переважно через знімні usb-drive або просто кажучи через флешки.
Хотів би відзначити, що відсоток народження даної зарази становить мало не 80% (і продовжує зростати) від усіх випадків звернення за допомогою. Подібний бурхливий ріст, швидше за все можна пояснити широким розповсюдженням флеш-накопичувачів серед населення.
У контексті даної статті ми розглянемо принципові особливості інфекції через флеш. як саме відбувається зараження системи, як розпізнати «на око» чи заражена флешка, і що робити, якщо ви все ж підчепили таку заразу.

Суть автозапуску полягає в наступному. У корені інфікованого флеш-диска можна знайти файл autorun.inf вміст якого (а це простий текстовий файл) вказує шлях до виконуваного файлу (файл може мати і .com розширення). Як правило, виконуваний файл - а це і є наш вірус. розташовується також в корені флеш-диска або в папці, яка має отрібути «прихований». Файл autorun.inf і виконуваний файл мають як правило атрибути «системний», «тільки читання» і «прихований».

Існує досить простий і ефективний спосіб як можна розпізнати, заражена флешка чи ні, але зазначу, що кожне правило має свої несподівані винятки. Одним з найбільш простих способів засікти таку заразу є клацання правою кнопкою миші по диску. Поява першим жирним пунктом «Автозапуск» має насторожити: швидше за все, ваша флешка інфікована:

Віруси на флешці - поради з безпеки

Мал. 1 «Автозапуск»

Рекомендовані в даному випадку дії:
1) Просканувати вашу флешку антивірусом (хоча, якщо при відкритті флеш, резидентний антивірусний монітор не зміг розпізнати заразу - шансів її знайти при скануванні мало)

До слова буде сказано, після лікування антивірусом спроба відкриття флеш може виглядати, як показано на рис 2. Таке повідомлення обумовлено тим, що антивірус, швидше за все, видалив лише виконуваний файл, залишивши при цьому autorun.inf лежати на своєму місці.

2) Спробувати видалити заразу своїми руками (чим ми зараз і займемося)
У найпростішому варіанті очищення від «чужого» має на увазі просте видалення файлу і файлу автозапуску. Щоб не вводити Новомосковсктеля в нетрі командного рядка, найбільш резонним варіантом доступу до зараженої флеш-диску може стати Total Commander. Просто відкриваємо «тоталом» флеш. встановлюємо параметри «Відображати приховані файли» і видаляємо непрошених гостей:

Віруси на флешці - поради з безпеки

Рис.3 Непрохані гості "тут як тут»

У важких випадках користувач може зіткнутися з наступним:

І наостанок, розглянемо на живому прикладі один з таких вірусів (якщо бути більш точним троянів) Kesha.exe, який вже отримав статус «народного улюбленця».
У корені інфікованого флеш-диска розташовується вже нам знайомий autorun.inf такого змісту:

[Autorun]
UseAutoPlay = 1
shellExecute = Recycled \ KESHA.EXE

Тут же на диску - прихована папка Recycled. У ній два файлу - виконує Kesha.exe і текстовий файл Nosferatu.txt з досить оригінальним «напуттям»:

Гляди ж і очам своїм не вір.
На небі зачаївся чорний звір.
В очах його я відчуваю біду.

Віруси на флешці - поради з безпеки

Рис.4. Касперський розпізнав нашого «Кешу» як модифікацію Heur.Trojan.Generic

Пуск / Програми / Стандартні / Командний рядок / вводимо gpedit.msc
У вікні групової політики вибираємо: Адміністративні шаблони / Система / Відключити Автозапуск

Віруси на флешці - поради з безпеки

Мал. 5 Відключаємо автозапуск

Ну що ж, ось, мабуть, і все. Здоров'я вам і вашому комп'ютеру.