Юрий Аммосов, Солярный Миф (ammosov) wrote,
Юрий Аммосов, Солярный Миф
ammosov

Category:

Как бороться с червями на флеш-дисководах и картах памяти

На прошедшей неделе я бился как лев с новейшей порослью троянских червей. Это RavMonE.exe, CTFMON и некоторые другие. Распространяются они новым образом - на флешках и картах памяти, копируя себя в систему в момент открытия флешки в Windows, используя дурацкую уязвимость Windows - а точнее, фичу (автозапуск файла autorun.inf в корне любого сьемного носителя). За последний год они распространились как чума - сложно найти незараженную ими флешку или карточку. Вред от них как от обычных червей: ничего не портят, только трафик на сайты гонят, пароли тырят... все как обычно. Я их выковырял и из регистра, и потер на всех флешках и дисках - работы было много, а утилит против них еще нет, но справился.

Последовательность борьбы с червями долгая, но простая:

Фаза 1.

1. Убить руками в Task Manager процесс RavMone.exe
2. Найти RavMone.exe, AVP.exe на всех дисках и стереть (у меня они лежали прямо в стартменю-стартапе, искать было нечего).
3. CTFMON мимикрирует под системный файл MS Office (языковую панельку). Для этого надо сперва найти законный ctfmon.exe и его не трогать, а все левые такие ж exe-шники прибить.
4. Стереть в windows/prefetch файлы автозапуска RavMone и CTFMON

Фаза 2.

5. SAFEBOOT (можно через msconfig)
6. Убить в регистре все-все ключи с упоминанием этих файлов. Особенно проверьте HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg - там записи программ, которые будут заново вноситься в реестр на запуске.
7. Не открывая explorer, зайти командной строкой на все флешки и все карты памяти. Делать так:

a) menu-run
b) cmd
c) h: (или та драйв-буква, где у вас съемные носители)
d) dir /ah

Увидите
Recycled
autorun.inf
ctfmon.exe
ravmone.exe
info2
и еще какую-то скрытую хрень.

e) del *.* /f /ah

Стереть надо все, и все содержимое Recycled тоже. Это не законная системная директория, это хранилище троянов, замаскированное под нее.

Повторите процедуру d)-e) и на всех имеющихся в системе жестких дисках.

!! Внимание! Будьте предельно аккуратны на диске С - там много важных системных файлов. IO.SYS, MSDOS.SYS, BOOT.INI, PAGEFILE.SYS, NTUSER.* - все они законные. Руками не трогать, команду запускать в виде del *.* /p /f /ah - чтобы вы получили запрос на подтверждение удаления каждого из файлов и на эти имена смогли ответить "нет" /!!

8. Откройте msconfig и сотрите все стартовые ключи для троянов.

9. Нормальная перезагрузка.

Все, система здорова.

Сложнее было предотвратить опасность заражения. Дело в том, что заражение происходит так. Когда флешка или карта памяти вставляются в гнездо, то при первом открытии их Windows Explorer автоматически проигрывается файл autorun.inf - который и исполняет все трояны, заражая систему. Отключение AutoPlay не поможет - ведь рано или поздно флешку все равно открывать надо будет. Долго я искал способ - и наконец нашел! Вот здесь умелец пишет, что надо перенаправить имя autorun.inf показывать на несуществующий файл. Тогда перестанут, правда, сами играться компакт-диски с играми и разными промушенами, открывая стартовую заставку - но что мы их, ручками не запустим?

Делается это так:

1. Откройте notepad ("блокнот" в русских виндах).
2. Скопируйте туда текст:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

3. Сохраните файл как NOAUTRUN.REG

4. Закройте notepad и запустите NOAUTRUN.REG , что добавит в реестр описанный в нем ключ.

К сожалению, в LJ нет файлопомойки, а то б я мог туда этот файлик просто для вас положить. Закачал и закрыл калитку для червей.
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 49 comments