Поиск и уничтожение опасных вредоносных объектов на флеш-картах

Категория: Защита данных
Опубликовано 19.08.2011 13:26
Автор: Шитов В.Н.
Просмотров: 1628

Прежде всего, зачем нужно выполнять поиск вирусов на флеш-дисках вручную. Казалось, нужно всего лишь запустить антивирус (если не поможет средний, то запустить хороший, а если не поможет хороший, то запустить самый лучший антивирус), а уж он найдет все, что нужно. А вот не находит ни хороший, ни самый лучший антивирус на флеш-дисках вирусы и все тут! Точнее говоря, находит, но не все. Проверено это уже сотни раз. Возникает вопрос: а почему? Да потому, что вирусы нашли способ прятаться от антивирусных программ, притворяясь «мертвыми». Для этого на флеш-диске создаются папки, в которых хранятся «трупы» файлов. Например, это может быть самая обычная Корзина, в которой хранятся удаленные файлы. Антивирус пролетает мимо этих папок, не залезая в них, после чего «трупы» могут ожить. Разумеется, для «оживления» вирусов должна быть и соответствующая программа.

Средствами ОС Windows просмотреть эти папки по умолчанию невозможно, так как это системные или скрытые папки. Для просмотра таких папок понадобятся файловые менеджеры (Free Commander, Total Commander, FAR или другие) или архиваторы (WinRAR, IZArc или другие).

Итак, перечислим некоторые стандартные имена папок с притворяющимися мертвыми вирусами: RECYCLER (Корзина) или имена, похожие на этот термин (RECYCLED, RECYCLES), RESTORE (Восстановленные файлы). Регистр написания имени не важен. С первого захода удалить такие папки обычно не удается и поэтому приходится удалять их несколько раз (обычно не менее двух раз).

Файл, запускающий «трупы» вирусов, называется AUTORUN.INF.

Особо нужно обращать внимание на файлы с расширением *.EXE, *.COM или *.BAT. Это командные файлы и часто вирусы хранятся именно в таких файлах. Если такой файл на флеш-диске с перечисленными расширениями не был скопирован лично Вами, то лучше удалите такие файлы. Один из вредоносных файлов называется RECYCLER.EXE.

Часто при ручном удалении вирусов из указанных папок антивирус неожиданно «просыпается» и объявляет о нахождении вируса (в академии госслужбы, где я недавно работал, установлен DrWeb, который именно так и делал). Но что от этого толку: мы и так об этом знаем. Это лишь подтверждает некомпетентность, как этого антивируса, так и нашу собственную. В этом случае попробуйте открыть параметры этого антивируса и настроить проверку Корзины.

Часто после удаления папки RECYCLER и файла AUTORUN.INF они устанавливаются на флеш-диске вновь и вновь. Обычно это происходит через 3 секунды после удаления с флеш-диска. Это означает, что запущен вредоносный процесс, который нужно найти и убить. Это можно выполнить, например, с помощью программ WinPatrol, Daphna, Process Explorer. Чтобы не допустить повторной установки вредоносных объектов, извлекайте флеш-диск сразу после удаления этих объектов, не дожидаясь остановки этого диска. Хотя это и не совсем правильно, но из двух зол приходится выбирать меньшее.

Не вздумайте применять полученные знания, полученные из этой статьи, на винчестеры, в том числе на внешние, то есть переносные. Корзина в ОС Windows действительно называется RECYCLER. Удалить ее со стационарных винчестеров все равно не удастся (хотя теоретически это возможно). Из переносных винчестеров это выполнить можно, но не нужно. В случае удаления Корзины со стационарного винчестера ПК просто не включится.

Данный метод опробован на сотнях, а может уже и на тысячах флеш-дисках и дал потрясающие результаты: ручной способ обнаружения опасных объектов пока не дал ни одного промаха.

Многие антивирусы уже настроены на проверку всех объектов на диске, включая системные и скрытые. Тем не менее, береженого...