Вирусы на USB flash drive

/в , /от

Знаете ли вы что Есть вирусы которые могут распростарняться с помощью USB флэш драйва ?

Недавно мы столкнулись с таким вирусом (activexdebugger.exe). вернее это был достаточно безобидный троянец. Он записывал свои файлы на USB drive и регистрировал автозагрузку в файл autorun.inf который находиться на флэш драйве и на Windows XP где работает автозапуск с CD-ROM этот вирус автоматически запускался. Причем McAfee не замечал его а вот Касперский это словил.

При этом на флеш накопителе не работает двойной клик. Двойной клик приводил к запуску троянца на компьюетре где подключен этот USb drive. Также вирус открывал на полный доступ в сеть все локальные диски C: D:

Замечено также что на некоторых компьютерах-жертвах двойнок клик не работал также и для обычных дисков, видимо вирус их путал с USB флэшками 🙂

Вот как этот вирус прописывался в autorun:

[AutoRun]
open=activexdebugger32.exe
shellexecute=activexdebugger32.exe f
shell\Auto\command=activexdebugger32.exe f
shell=Auto
shell\open=Open(&O)
shell\open\Command=activexdebugger32.exe f
shell\open\Default=1
shell\explore=Explorer(&X)
shell\explore\Command=activexdebugger32.exe f

файлы которые пренадлежат вирусу :

2007-07-06 21:23 19,456 —a—— C:\WINDOWS\system32\KTKBDHK3.DLL
2007-06-24 00:00 52 —a—— C:\WINDOWS\system\ACD2.CMD
2007-06-24 00:00 52 —a—— C:\WINDOWS\system\ACD.CMD
2007-06-24 00:00 24,626 —a—— C:\WINDOWS\system32\scrrntr.dll
2007-06-24 00:00 20,480 —a—— C:\WINDOWS\system32\PAC.EXE
2007-06-24 00:00 180,224 —a—— C:\WINDOWS\system32\Ijl11.dll
2007-05-22 15:53 376832 —hs—- C:\WINDOWS\system32\activexdebugger32.exe

Для запуска Вирус прописывался в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ: Shell

Обновление:

Небольшой совет — чтобы открыть в проводнике USB флэш БЕЗ автозапуска autorun.inf неоходимо в строке адреса набрать E:\ (буква флэшки)

Чтобы просмотреть содержимое autorun.inf —  открыть notepad.exe и в диалоге открытия файла набрать «E:\autorun.inf».

Чтобы просмотреть все скрытые и системный файлы/папки  на флэшке — запустить cmd.exe и там дать команду «dir e:\ /A:HS» где e: это буква флэшки.

Также вам, возможно, понравится
Rohos Logon Key с блокировкой USB накопителей
Перенос рабочего пространства при помощи Rohos Disk.
Использование iPhone как USB-Ключ к вашему Mac.
Безопасность всех личных данных на USB флэш-диске без лазеек в системе защиты.
Безопасное шифрование с Rohos Disk Encryption v.1.9.
Rohos Logon Key v.2.7
Вход в Windows с помощью RFID-токена Wireless PC Lock.
Многофакторная аутентификация или Rohos Face Logon 2.9!