Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Может для кого-то боян, но я сегодня на флешке обнаружил вирус, использующий новый (для меня) метод скрытия.
- Точнее, метод для меня не новый, но вирусы, которые его используют, раньше мне не попадались.
- <h5>Скрытые файлы</h5>
- Всем известно, что вирусы, которые распространяются на переносимых носителях (флешках, дискетах etc.) создают себя скрытыми. Джентльменский набор - тело вируса + Autorun.inf. Если система настроена на автоматический запуск сменных носителей и у вас нет антивируса - вы заразитесь.
- Когда я вставил флешку, NOD32 забил тревогу и отправил в карантин файл Autorun.inf. Зайдя на флешку эксплорером, я обнаружил там скрытый системный каталог со странным именем: KAMICAK. Выглядел этот каталог как <b>корзина</b>. Я сразу же запустил Far и зашел посмотреть что по чем. Внутри "корзины" было два файла: Desktop.ini и playground.exe.
- <habracut />
- <h5>CLSID</h5>
- Я выдернул файл Autorun.inf из карантина:
- <img src="http://i.piccy.info/i4/02/23/9ab727c645294d1d869efddcda9d.jpeg" alt="image"/>
- (полный размер: http://i.piccy.info/i4/76/69/53a3957f6afcf99fbef127fea1c1.png)
- Файл Desktop.ini делает то самое чудесное превращение каталога в "корзину":
- <code>X:\KAMICAK>more Desktop.ini
- [.ShellClassInfo]
- CLSID={645FF040-5081-101B-9F08-00AA002F954E}</code>
- Кстати:
- <code>X:\KAMICAK>dir
- Volume in drive M is 2G
- Volume Serial Number is 3387-AS99
- Directory of X:\KAMICAK
- File Not Found</code>
- При попытке зайти в каталог-"корзину" - вы не увидите его содержимого, вместо него вы увидите содержимое системной корзины (корзины раздела).
- <h5>CLSID. 2.0</h5>
- На сайте <a href="http://www.xs4all.nl/~hwiegman/desktopini.html">xs4all</a> можно посмотреть список используемых CLSID.
- Кроме того, можно просто дать имя каталогу "ИМЯ.{645FF040-5081-101B-9F08-00AA002F954E}" и он тоже станет "корзиной". Правда с кривым именем =)
- Есть еще специальный CLSID с помощью которого можно напрочь скрыть файл. Даже при настройках "показывать системные и скрытые файлы" - каталог не будет отображаться.
- Привести сейчас пример не могу, но у меня где-то записан этот ключ и если найду, то обязательно опубликую.
- На Хабре нашел только статью, которая "помогает" обнаружить, заразилась ли флешка. http://habrahabr.ru/blogs/infosecurity/53642/
- Хак полезный, но только в случае, если флешка заражается непосредственно при подключении. Если стоят хуки на функцию отключения (извлечения) флешки, то зараженную флешку можно унести на другой компьютер и заразить его. При этом, мы будем думать, что <i>вирус уже был</i> на компьютере, т.к. перед выниманием флешки "убедились", что она "не заражена".
- Так что пока - лучше, чем антивирус, сложно что-то придумать.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement