Ручной поиск вирусов на флеш-картах

• 

Подробности

Категория: Защита данных

Опубликовано 21.02.2012 09:38

Автор: Шитов В.Н.

Просмотров: 3795

Прежде всего, зачем нужно выполнять поиск вирусов на флеш-дисках вручную. Казалось, нужно всего лишь запустить антивирус (если не поможет средний, то запустить хороший, а если не поможет хороший, то запустить самый лучший антивирус), а уж он найдет все, что нужно. Но даже профессиональные антивирусы не могут гарантировать нахождение всех вирусов. Проверено это уже сотни раз. Возникает вопрос: а почему? Да потому, что вирусы нашли способ прятаться от антивирусных программ, притворяясь «мертвыми». Для этого на флеш-диске создаются папки, в которых хранятся «трупы» файлов. Например, это может быть самая обычная Корзина, в которой хранятся удаленные файлы. Антивирус пролетает мимо этих папок, не залезая в них, после чего «трупы» могут ожить. Разумеется, для «оживления» вирусов должна быть и соответствующая программа. Многие антивирусы (но не все) исправили такую ошибку и сейчас проверяют такие папки.

Средствами ОС Windows просмотреть эти папки невозможно, так как это системные или скрытые папки. Для просмотра таких папок понадобятся файловые менеджеры (Free Commander, Total Commander, FAR или другие) или архиваторы (WinRAR, IZArc или другие).

Итак, перечислим некоторые стандартные имена папок с притворяющимися мертвыми вирусами: RECYCLER (Корзина) или имена, похожие на этот термин (RECYCLED, RECYCLES), RESTORE (Восстановленные файлы). Регистр написания имени не важен. С первого захода удалить такие папки обычно не удается и поэтому приходится удалять их несколько раз (обычно не менее двух раз).

Файл, запускающий «трупы» вирусов, называется AUTORUN.INF. Совсем недавно на флешке одного из своих учеников я обнаружил файл с именем UTORUN.INF.То есть жулики пытаются отойти от стандарта и нанести вред, использовав немного другое имя файла.

Особо нужно обращать внимание на файлы с расширением *.EXE, *.COM или *.BAT. Это командные файлы и часто вирусы хранятся именно в таких файлах. Если такой файл на флеш-диске с перечисленными расширениями не был скопирован лично Вами, то лучше удалите такие файлы. Один из вредоносных файлов называется RECYCLER.EXE.

Часто при ручном удалении вирусов из указанных папок антивирус неожиданно «просыпается» и объявляет о нахождении вируса. Но что от этого толку: мы и так об этом знаем. Это лишь подтверждает некомпетентность, как этого антивируса, так и нашу собственную. В этом случае попробуйте открыть параметры этого антивируса и настроить проверку Корзины.

Часто после удаления папки RECYCLER и файла AUTORUN.INF они устанавливаются на флеш-диске вновь и вновь. Обычно это происходит через 3 секунды после удаления с флеш-диска. Это означает, что запущен вредоносный процесс, который нужно найти и убить. Это можно выполнить, например, с помощью программ WinPatrol, Daphna, Process Explorer (см. например Шитов В. Н. Новейший справочник полезных компьютерных программ. М.: Дом Славянской книги, 2009, Шитов В. Н., Шитова Е. В., Уланов О. А. Новейший самоучитель работы в Интернете. М.: Дом Славянской книги, 2010). Чтобы не допустить повторной установки вредоносных объектов, извлекайте флеш-диск сразу после удаления этих объектов, не дожидаясь остановки этого диска. Хотя это и не совсем правильно, но из двух зол приходится выбирать меньшее.

Вирусами являются также папки, но с расширением .EXE. Вирус работает следующим образом: он берет имя для вируса из реальной папки, а саму папку прячет, то есть делает системной. Человек может случайно не обратить внимание на несколько дополнительных символов в имени папки и запустить вирус или передать его другому человеку.

Не вздумайте применять полученные знания, полученные из этой статьи, на винчестеры, в том числе на внешние, то есть переносные. Корзина в ОС Windows действительно называется RECYCLER. Удалить ее со стационарных винчестеров все равно не удастся (хотя теоретически это возможно). Из переносных винчестеров это выполнить можно, но не нужно. В случае удаления Корзины со стационарного винчестера ПК просто не включится (такой случай действительно был).

Скачать файл защиты flashprotect.bat можно на этом же сайте в разделе "Материалы студентам".