Узбекский троян на флэшке и борьба с ним
 

ВСТУПЛЕНИЕ:
Не знаю была ли эта тема на форуме, но я нигде не смог найти и решил открыть сей топик, дабы помочь другим пользователям решить проблему с новым узбекским трояном.

НАХОЖДЕНИЕ И ОПРЕДЕЛЕНИЕ:
Троян попав на вашу флэшку делает невидимыми все ваши папки и создает вместо них пустые папки, прописав к каждой папке расширение exe.
Кроме того, он создает в вашей системе папку и прописывается в автозагрузке. Найти этот троян можно с помощью Total Commander или аналогичной программы (я использовал для этого Free Commander, который работает без установки). Ищем троян по адресу: C:\WINDOWS\system32 там находим папку XP-4CE859F1.EXE.

УДАЛЕНИЕ:
Далее, через команду msconfig идем в автозагрузку и отключаем "XP-4CE859F1" и "уууууу", потом в процессах убиваем: XP-4CE859F1.EXE и смело удаляем троян через Тотал. Перезагружаемся, система чистая.

Надеюсь, что мои советы помогут вам в борьбе с этим неприятным зверьком.:biggrin:

А почему узбекский?
По каким признакам именно такая классификация?

Дело в том, что в названии троян использует узбекские буквы, те же "уууууу" у меня были написаны узбекскими буквами. Вот один из самых основных признаков :187:
Хотя я могу и ошибаться, но порылся в интернете и в разных антивирусных форумах и нигде не нашел упоминание о данном трояне. Его спокойно пропустил на моей машине ESET Smart Security, антивирус Зайцева даже не отреагировал на него, несмотря на то, что я указал даже путь к этому трояну. На другой машине стоял Касперский, он тоже прозевал этот троян. Поэтому, я решил, что этот троян имеет узбекские корни.

в тюбетейке был?

Лёпёшки продавал и доллары возле обменника барыжил :naughty:

2 4ijik и Logitech
Может свои тупые и местами расистские шуточки при себе придержите!!!
Вопрос не был вам задан, а мне. Давайте не будем флеймить.

Так и надо было Касперскому послать - они б его так и назвали бы и официальную таблетку для него выпустили бы :)

А если серьезно, то посмотрите любой системный шрифт - будете приятно удивлены, найдя ý не только в латинской, но и в кириллической кодировке и даже в ASCII (код 247).

тоже самое, вспомнил анекдот...

насчёт вируса, мой McAfee его уже кушал.... тоже принесли на флешке...

Я скопировал экземпляр этого вируса у знакомых и проверил у себя, Nod32 не распознал, отправил копию в Eset. Вчера проверил после очередного обновления. Результат положительный.
NOD32 видит этот вирус как Win32/AutoRun.FlyStudio.L червь и очишает удалением.

Я вчера как удалил этот вирус. Но папки он не стирал по крайней мере на жестком диске. Удалил его еле-еле, он в системник записывается и после удаления но сразу перезапустить машину.

Какое может быть вообще доверие к NOD32?

Да хотя бы по http://www.antivirus.ru/AntiVirPS.html этой статистике :)

Субъективные данные какой-то неизвестной лаборатории, не подкреплённые никакой официальной статистикой. Так и я могу.

Да вот допустим
или

P.S. относится ко всем бесплатным антивирусам...:187:

:shok: там было написано следующее: Трафиствюуйтэ! Я узьбекский вирюс. Па причин ужасный бэдность моей создателя и низкий уровин развитиё технология наша страна я не способин причинять какая-либа уред Ваш компютыр. Патаму очина прашю Уас, пажальста, сами сатрите какая-нибут важная для Уас файл, а патом разашлиты миня па почта другой адриса. Зарания благадарин за паниманий и сатрудничийсва
:worship8nz:

олбонский палучаитса тагда

Подтверждаю. NOD32 обновляю систематически, он уже месяц как "научился" видеть и удалять этот вирус

Вставлю и свои 5 копеек, теперь уже как совет Вам :)
Если флешка не будет использоваться в старых системах типа win ME (98, ect) - обычно такие ОС не понимают NTFS, проще всего прописать пустой autorun.bat в корне флешки, конвертнуть файловую систему из fat32 в NTFS (convert _ваша флешка_ /fs:ntfs - например convert I: /fs:ntfs ) и соотвественно в правилах безопасности запретить права на запись данного файла всем, кроме вас.
Такое "банальное" решение позволяет не беспокоиться больше за флешку - никто кроме Вас не сможет прописать туда вирусов :)
Лично я пошел дальше - свою системную флешку вообще залочил от записи с других компов кроме своего.
Удачи.

скорее autorun.inf...

Оффтоп:

Какую вы все жуть пишете... Ф не проще отключить запуск и просто смотреть глазками на то, что запускаешь? Еще можно установить линукс или ходить только через тотал-коммандер.... можно юзать альтернативный десктоп вроде litestep... А еще можно юзать мак.

Оффтоп:

Ну... про тюбетейку и обменник я не знаю! Но все долго посмеялись!

А если по теме, гляньте судя: http://www.virscan.org/

Оффтоп:

И попробуйте Нашего первого.... ;)

по поводу inf - согласен, а по поводу чуши.... приходите вы на чужую машинку - и начинаете... танцы с бубном.... а флешка она и на то флешка что фтыкать ее приходится куда угодно и к сожалению, "презервативы" для них были раньше в виде переключателя read only, а сейчас их почти нет ни у кого. Или на сой комп всегда бежать - проверять\чистить флешку ?

А что, если просто зажимать клавишу Shift,чтоб не было загрузки autorun? Или на чужих машинах нет такой клавиши? :naughty:

Имхо, достаточно капитально отключить автозапуск на своем компьютере, и можно смело подключать флешку к чужим компам буде на то нужда. На своем потом просто вычистить. Слава богу, документы уже много лет не заражают, а все остальное реально лечится удалением. Главное чтобы у себя не запускалось.

Если установить KB950582 от Майкрософта, и после этого отключить через локальную политику автозапуск, то смело можно открывать флешки даже даблкликом, автозапуска не будет даже в списке опций по правой кнопке мыши.

Да именно за свой комп я меньше всего переживаю, просто по роду деятельности мне с флешкой целый день приходится постоянно работать - то в один комп, то в другой, на ней у меня сервисные утилиты. Так что главное для меня, чтобы не у меня, а у других не запускалось.
Если после ухода инжинера IT у пользователя появляются вирусы - то кто-ж ему будет платить зарплату ?
Или представте себе ситуацию - на чужом компе без А\В заразились, на своем не успели прогнать флешку, воткнули во второй комп - а там А\В орет что у вас вири - как потом, рассказывать людям что ты не специально и прочее ?
Вот имеено про такие качели я и говорил в прошлом посте, думаю кто сталкивался с подобными ситуациями - тот поймет. А у себя, на своей машине, каждый может изголяться как хочет. Мне лично достаточно просто касперского с включеным анализом активности.
и в офтоп еще - насчет вирей и документы - недавно столкнулся с убитой вирусами виндой на ноуте с ntfs шифрованием документов. Документы были целые, но пользователь снес винду и пытался поставить снова - ессно были проблемы.

Тоже столкнулся с подобной проблемой: на флешке пропали все каталоги (или директории, если помните, так раньше папки называли), вместо них появились "папка.ехе", показ скрытых файлов ничего не дает, равно как и просмотр в ТоталКоммандере - просто не видно папок и все, хотя в свойствах флешки показывает, что данные там есть. Размер всех "папка.ехе" примерно 392 кб.
Прогон Нод32 с последней на сегодняшний день базой ничего не дает - тупо говорит, что нет вирусов, причем сканирует он только те "папка.ехе", а не 4ГБ файлов имеющихся в суперскрытых папках ))

Интересно, что предложенный на форуме вариант с "antiautoran.bat", который создает неудаляемую папку "autorun.inf" - не сработал, ибо вместо нее появился файл "autorun.inf.exe" )))

В инете нашел простое и рабочее решение, в комментариях к посту:
Может кому интересно..

Чтобы вас вирусы с флешек не мучали, надо отключать автозапуск с флешек:
1. Пуск -> Выполнить -> gpedit.msc
Открывается груповая политика, в ней:

2. Переходим в Computer configuration -> Administrative templates -> System
Жмем на "Turn off Autoplay"

3. В нем говорим "Enabled" для "All drives"

Этот Вирус не новый. Когда я первый раз встретился вирусом.. (где то 3 месяца назад) в течение 2 минуты восстановил все без проблем. Интересно одно, что многие еще не знают ответ.. И применяют разные Рековире программы..
У нас форуме есть такая тема, на счет Антивирусов. Там все уверяют что НОД32 это круче. После этой вируса, 99% знакомые и знакомые знакомых перешли в КИС..

Поделюсь своим опытом. Троян копировался на флешку под видом папок с расширением ехе Антивируса с новыми базами у меня не было.
Ручное удаление образовавшихся файлов не помогало. Просмотрел Диспечер задач. Нашел процесс :services.exe
Просмотрел автозапуск и список процессов. Там не было этого процесса. Пришлось через regedit его следы подчищать

А еще святой водой окропить можно.. с примерно тем-же успехом.

при включенной в винде "автозагрузки" с флешки, не спасут ни НОД ни КИС ни молитвы.

Из "Windows\System32" не забудте удалить. Что-б уж наверняка.

DarkUser, Вы когда последнюю версию КИС использовали?..

А вы когда нить хард святой водой окраплять не пробывали? Мне вот батюшка посоветовал, так теперь никакие вирусы не берут. АМИНЬ.

Оффтоп:

Цитата:

Сообщение от DarkUser (Сообщение 508230) А еще святой водой окропить можно

Не хочется уходить в оффтоп, но мне ребята в НБУ лет 10 назад рассказывали как ездили в область потому что у них сервак (комп который под сервак сделан наверное) полетел подряд раза три и как они ужаснулись увидев там капли крови - оказывается мулла приходил и петуха резали возле компа :) Может байки, но рассказывали и клялись что было в одном из областных филиалов.

Я только не понял почему узбекский троян? Из за буквы Ў что ли, так как я понял последствия кода (ну типа когда набираешь Alt и цифровой код). А чтобы на заразиться нужно Касперского обновлять вовремя, а вот если уже вирус сидит в компе то касперский не вылечит, придется чуть чуть пошаманить, и не забыть из реестра почистить. А так помню года 4 или 5 назад этот вирус так затормозил компы в сети, что ходили сами и чистили с помощью ProcessExplorer и RegistryEditor.

нет, как и предпоследнюю и пред-предпоследнюю... а что, это обязательное условие отсутствия вирусов на компе?

Вот касперский установите и обновление каждый день зделайте проблема не будеть сейчас у меня градус выше измениния за оибки граматику

Нет.
При включение флешки, КИС автоматически блокирует autorun.inf с предлагает очистит флешку от вирусов.

Оффтоп:

Я не РУССКИЙ.. Так что шутка не по теме..

Оффтоп:

Выдал я таких в Японии, когда люди приходили к Монахам.. что бы они...