Вирусы-авторанеры: почему, как и что делать?..

В здоровом теле…

флешкаС вирусами, попавшими на вашу флешку сталкивались, кажется, 99.9% пользователей операционной системы Windows в нашей стране. И это неоспоримый факт.

В последние годы заражение вирусами-авторанерами является наиболее частой проблемой, связанной именно с целостностью и сохранностью данных. Для того чтобы «подцепить» себе такую дрянь совсем не нужен Интернет. Достаточно вставить накопитель в порт зараженного компьютера.


Самое интересное, что отсутствие подключения к глобальной сети в данном случае является не положительным, а исключительно отрицательным моментом. Как правило, на таких компьютерах в лучшем случае установлен антивирус с очень старыми базами. В худшем же случае антивирус отсутствует вообще.

Про установку обновлений для операционной системы почти всегда речь не идет. Это касается даже тех, кто постоянно подключен к Интернету. Стоит ли напоминать, какие именно версии Windows установлены на компьютеры наших соотечественников? Или размышлять о том, почему они не обновляются из официальных источников?

В данной статье вы не найдете описания перекрытия некоторых дыр в системе с помощью правки реестра Windows, рекомендаций и описаний использования различных утилит, типа Anti-autorun, xUSB Defence, Зоркий глаз, Panda USB Vaccine, Autorun Eater, USB Disk Security и многих других. Статей об этом и так много в сети и написаны они почти под копирку. Кому это будет интересно, тот без проблем найдет.

Симптомы заражения флешки вирусом

Какого-то всегда одинакового симптома, явно указывающего на наличие вируса, нет. Чаще всего – это несколько явных или косвенных признаков, распознать которые сможет даже новичок в области компьютерной безопасности.

Основные признаки того, что у вас на флешке поселился autorun-вирус:

  • Наличие на флешке файла autorun.inf;
  • Появление на флешке папки Recycler или Recycled;
  • Все или часть файлов на флешке исчезли, хотя вы их не удаляли;
  • При открытии флешки появляются посторонние окна или сообщения об ошибке;
  • Вместо папок и файлов на их месте появились одноименные ярлыки;
  • При извлечении флешки появляются сообщения о потере незаписанных на нее данных (разновидность – флешка не хочет безопасно извлекаться, устройство постоянно занято);
  • При открытии папок с флешки они всегда открываются в новом окне.

Даже два одновременных симптома из описанных выше указывает на то, что у вас на флешке уже «сидит» вирус. А если ко всему у вас нет или не работает антивирус, то можно с уверенностью сказать и о том, что вирус уже находится в памяти вашего компьютера.

Справка: Файл autorun.inf сам по себе безвреден. В нем записано, какой файл или программу нужно запустить при открытии диска. Это бывает удобно для игровых дисков и дисков с какими-то энциклопедиями или справочниками, которые запускаются сразу после того, как вставлен диск. Но для флешек – это чаще зло, чем польза. Ведь никто не мешает вместо нужной или полезной программы вписать в файл autorun.inf запуск вируса. Именно так почти всегда и происходит.

Процесс заражения вирусом-авторанером

Для вирусов подобного класса типично (но не обязательно) следующее поведение:

  • Вирус копирует сам себя в папку с определенным именем (случайным, например, или Recycler);
  • Файлы, которые были на флешке или делаются скрытыми, или копируются в папку (часто с пустым именем), которая потом в проводнике Windows может не отображаться.
  • Создаются дубли вируса в различных папках или подменяются реальные папки и файлы ярлыками, указывающими на вирус;
  • В корне флешки создается новый или перезаписывается существующий файл autorun.inf, внутри которого указан запуск файла-вируса.

Справка: Настоящие файлы на флешке почти никогда не стираются (это долго, поэтому такое очень просто заметить и даже успеть остановить процесс стирания), а делаются «скрытыми» и(или) «системными» путем простановки соответствующих атрибутов. Зная эту особенность, очень просто вернуть содержимое флешки обратно после удаления вируса. Если папка не видна в проводнике Windows, включите для начала отображение скрытых и системных файлов. Если это не помогло, то самое время воспользоваться файловым менеджером. Например, FAR. Хотя, конечно, подойдет и Total Commander (пример можно увидеть на заглавной картинке к статье «Вирусы-авторанеры: предупредить просто, бороться бывает сложно»).

Действия вируса-авторанера

После того, как был вставлен зараженный носитель и произошел автоматический запуск файла autorun.inf (а через него запустился вирус), происходит заражение компьютера.

Справка: Заразиться можно даже в том случае, если у вас отключен авто-запуск программ с диска. Достаточно кликнуть по ярлыку, которым подменен реальный файл на флеш-диске и тем самым активировать вредную программу. Ярлыки, особенно, если скрыто отображение стрелок на ярлыках, почти никак не отличаются от замененных ими программ. Даже не новички в компьютерных вопросах часто подмену не замечают.

usb-flashПосле заражения вирус следит за тем, какие диски подключаются к компьютеру, проверяет наличие своей копии на этих дисках и копирование себя на еще незараженные носители. Алгоритм его работы приводился выше.

Помимо массы неудобств, которые доставляет autorun-вирус, есть и риски. Программа находится в памяти и может спокойно хозяйничать в компьютере:

  • Собирать данные о введенных паролях или номерах платежных карт и передавать их на неизвестные сервера;
  • Внести изменения в файл hosts и вместо нужных сайтов будет открываться что-то другое с требованием отправить платную СМС или перевести деньги на указанный электронный кошелек;
  • Блокировать работу системы или отдельных программ (браузеров, антивируса и пр.).

Популярность авторанеров

Почему подобный класс вирусов так распространен в нашей стране? Ответ частично уже прозвучал выше. Причин много и почти все они встречаются у нас и в комплексе дополняют друг друга:

  • Банальное пренебрежение элементарными приемами компьютерной безопасности (нет антивирусной программы, она не работает или не обновляется);
  • Использование пиратского ПО (в дополнение к пункту выше) ведет к тому, что пользователь не может использоваться предоставляемый сервис полноценно. Так, обновления антивируса, а то и сам антивирус отключены, т.к. нет действующего лицензионного ключа, обновления Windows отключены чаще всего именно по той же причине.
  • Обыкновенная невнимательность или неграмотность пользователя. Особенно, когда пользователь не знает, как ведет себя вирус или как отличить замененную ярлыком папку или программу (достаточно навести курсор на изображения папки или файла и подождать пару секунд, пока не отобразится информация).

Справка: В 2011 году выходило обновление для ОС Windows, которое отключало автозапуск программ с флешек. По причине того, что почти везде на домашних компьютерах не работает или вообще отключено обновление операционной системы (а вручную оно не выполняется и подавно), данная проблема не устранена у большинства пользователей.

антивирусы

Комментарии:

  1. Antonisven
    Antonisven
    13 июня 2015
    Я присоединяюсь ко всему выше сказанному. Можем пообщаться на эту тему. Здесь или в PM
  2. Stanleven
    Stanleven
    20 июня 2015
    Извиняюсь, что ничем не могу помочь. Надеюсь, Вам здесь помогут.