Вирус скрыл папки на флешке? Что делать?
Опубликовано: 19.10.2017
Всем доброе время суток! Сегодня хотел бы поговорить о вирусе который распространяется через Интернет, локальную сеть, flash-носители. Данный вирус обладает характеристиками руткита, трояна, сетевого червя. Определяется данный вирус как:
— Trojan.Siggen2.28594 в drWEB Antivirus.
— W32/Dx.VUM!tr в Fortinet Antivirus.
— Worm.Win32.AutoRun.hdf в Kaspersky Lab.
Данный вирус был разработан Российскими программистами и предназначен для 32-битной платформы ОС Windows с процессором x86 (файл типа – Portable Executable,PE).
Данный вирус содержит в себе несколько основных файлов.
Как сделать видимыми скрытые вирусом файлы и папки смотрите в статье =>> Отображаем скрытые вирусом файлы и папки <<=
• mdhevw.exe (необязательный, может быть любой *.exe файл) атрибуты у данного файла:
—Скрытый,
—Системный,
—Только чтение.
Не видит файлы на флешке
Производит импорт системной библиотеки kernel32.dll (LoadLibraryA, GetProcAddress);
• sdata.dll (в основном постоянный файл при любых модификациях). Упакован UPX. Атрибуты у данного файла:
-Скрытый,
-Системный,
-Только чтение.
Осуществляет импорт системных библиотек: KERNEL32.DLL(LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree),
Вирус скрыл файлы на флешке, как восстановить скрытые вирусом файлы
advapi32.dll(RegCloseKey), ntdll.dll (ZwOpenProcess), oleaut32.dll (SysFreeString), user32.dll(CharNextA);
• aUtoRuN.iNF (обязательный файл, является основным для распространения). Атрибуты у данного файла:
—Скрытый,
—Только чтение.
Содержимое файла aUtoRuN.iNF:
[AutoRun]
Open=mdhevw.exe -flash
UseAutoPlay=1
Action=Открыть папку для просмотра файлов
shell\open\Command=mdhevw.exe -flash
shell\open\Default=1
shell\explore\Command=mdhevw.exe –flash
где искать?
– вирус внедряется в \Documents and Settings\All Users\Application Data\ (Windows XP) или \Users\All Users\ (Windows Vista и Windows 7) создает каталог srtserv;
– в srtserv создаются файлы mdhevw.exe и sdata.dll;
– mdhevw.exe и aUtoRuN.iNF копируются в корневые директории всех локальных и съемных дисков;
–mdhevw.exe и aUtoRuN.iNF так же копируются в корень вновь подключенных съемных дисков.
– так же в реестре данный вирус создает себе почву для дальнейших действий.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
создается параметр srtserv со значением
C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe (вWindows Vista и Windows 7 – C:\Users\All Users\srtserv\mdhevw.exe);
– так же вирус блокирует загрузку ОС Windows в Безопасном режиме, удаляя соответствующие ключи Реестра;
– вирус так же препятствует отключению съемных дисков (с помощью значка Безопасное извлечение устройства );
Вообщем очень не хороший вирус и очень надоедливый и постоянно напоминает о себе во время подключения сменных носителей. В вузе в котором я работаю на момент написания данной статьи он везде и всюду, так как господа студенты являются “разнощиками” этой заразы… Но сейчас не об этом.
С помощью чего определить вирус sdata.dll/srtserv?
Данный вирус можно определить при помощи AutoRuns. Данная утилита показывает все процессы которые запускаются совместно с системой, более подробно можно посмотреть в статье Autoruns-Функции или как найти вирус в ручную.
AutoRuns находит наличие подозрительного файла в автозагрузке.