На работе закрался в компьютеры интересный вирус. Он создаёт ярлык флешки на самой флешке и когда человек подключает такую флешку, то думает что это безобидный глюк и запускает ярлык. А ярлык в свою очередь исполняет вредоносный код, записанный в свойствах, а потом только открывает пользователю папку с файлами. Антивирусные программы оказались бессильными, решил самостоятельно попробовать устранить эту беду.

Вирус распространяется только через USB флеш накопители

Итак, если зайти в Google с запросом Вирус создаёт ярлык флешки на флешке мы увидим специальные ветки на форумах (пример темы на cyberforum.ru (http://www.cyberforum.ru/viruses/thread970282.html)), где люди просят удалить эту ерунду. Для устранения вируса, создающего ярлык флешки на флешке, нужно отправить отчёты сканирования компьютера, затем выполнить рекомендации гуру и всё. А что делать если заражённым оказался весь парк компьютерной техники? Очень накладно будет отправить отчёт по каждому ПК, т.к. не все сотрудники смогут это сделать. Да и пролечить флешки всем без исключения тоже геморно по времени. Как вариант, решил попробовать самостоятельно изучить этот вирус. Для этого установить виртуальный Windows в VirtualBox, заразил его инфицированной флешкой. Сейчас занимаюсь поиском универсального и простого способа очистить компьютеры от вируса, создающего ярлык флешки на флешке, а также защитить систему от инфецированных usb носителей.

Соображения по защите

Открыть содержимое флешки в обход запуска вредоносного ярлыка Как я говорил ранее, вирус распространяется только через usb-устройства путём запуска исполняемого кода из свойств ярлыка. Для того, чтобы открыть все спрятанные файлы можно использовать следующий скрипт: attrib "*" -s -h -a -r /s /d Сохраняем его как run.bat и держим под рукой. Отключить автозапуск USB устройств Чтобы отключить автозапуск USB-флешки и CD-диска, необходимо править реестр 1. «Пуск» - «Выполнить» и пишем «regedit»; 2. открываем путь HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies 3. Заходим в раздел Explorer, а если его нет - создаём новый раздел и переименовываем в «Explorer» 4. В разделе «Explorer» создаём ключ NoDriveTypeAutoRun и вводим значение ключа 0x4 для отключения автозапуска всех съёмных устройств.

Когда приносят флешку с ярлыком в корне, нужно

1. скопировать run.bat в корень флешки и запустить;
2. после чего нам откроются многие невидимые файлы, в том числе и папка с пустым именем, куда вирус загрузил все файлы;
3. открываем бесплатную утилиту от майкрософт Process Explorer и находим через CTRL+F ссылку на autorun, завершаем этот процесс;
4. теперь осталось удалить с корня все файлы, кроме этой папки.
5. заходим в папку и перемещаем её содержимое на уровень выше, т.е. в корень флешки.

Вот пока и всё, что у меня есть. Надеюсь скоро порадовать свежей информацией

Лечение вируса от читателя (Способ не работает. Ред. от 02.10.2015)

Помогла программа UsbFix (ССЫЛКА_УДАЛЕНА) Скачивайте последнюю версию и нажимайте беспощадную «Clean». Осторожно, вычищает всё ненужное из автозагрузки.

Спасибо Вам огромное! Думаю информация будет актуальна для посетителей! Прим. от 02 октября 2015 года: ссылку на программу удалил. Сейчас там нельзя её скачать, а идёт вечное перенаправление с одного сайта на другой. Кстати, у нас этот вирус как-то постепенно и умер. Все перекопировали себе скрипт, что писал выше для проверки флешки, каждый раз их чистили и проверяли. А у людей, которые вечно приносити зараженные устройства - отказались их брать. И так победили эту заразу.

Ситуация выглядит так: на флешке были папки, но они чудесным образом превратились в ярлыки, т.е. в файлы с расширением lnk. При попытке открыть такой файл появляется сообщение:

В данном случае «Q» — это имя съемного диска (флешки), у вас оно может быть другое. Ярлык направляет нас в папку с исполняемым файлом (расширение exe), которые является вирусом.

Что именно произошло: в результате действия вируса, всем папкам были присвоены атрибуты «системный» и «скрытый», т.е. они остались на флешке, но мы их не можем увидеть используя графический интерфейс Windows. Вместо папок появились ярлыки с одноименными названиями ведущими на файл с вирусом.

Что делать, если папки превратились в ярлыки? Пошаговая инструкция.

В Интернете мне попался вариант решения проблемы путем изменения атрибутов папок (по сути дела папка — это файл) при помощи командной строки. Для тех пользователей, которые не дружат с командной строкой, предлагаю альтернативный способ — воспользовался для этих целей файловым менеджером FAR Manager. Этот менеджер всегда удобно иметь под рукой и мы его уже использовали при редактировании файла hosts (Видео Не могу зайти в одноклассники. Решение проблемы).

Шаг 1. Проверяем флешку на наличие вирусов. Я проверял при помощи антивируса AVAST 4.8 Professionl. Все «левые» ярлыки от удалил, сообщив, что это троян LNK.

Avast удалил все «левые» ярлыки

Если ваш антивирус оставить ярлыки папок на месте — удалите их самостоятельно, они не нужны.

Шаг 2. Загружаем FAR Manager , распаковываем архив и запускаем файл Far.exe;

Шаг 3. Переходим на съемный диск (флешку). Для выбора диска воспользуйтесь клавишами Alt + F1 ;

Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «исчезнувшие» папки.

Все скрытые системные файлы (левая панель) выделены темно-синим цветом — это и есть наши «потерянные» папки

Шаг 4. Чтобы не менять атрибуты у каждой папки по отдельности, велите их все сразу: выделите сперва первый файл из списка, а потом нажмите клавишу Insert на клавиатуре и держите до тех пор, пока не выделятся имена всех интересующих нас файлов желтым цветом.

Выделение группы файлов в FAR Manager

Шаг 5. Нажмите на клавиатуре клавишу F4 (либо кнопку Edit в FAR). В открывшемся меню уберите знаки (знак вопроса, крестик) в пунктах:

Если вы все сделали правильно, цвет имен файлов изменится с темно-синего на белый.

После изменения атрибутов, цвет имен папок стал белым

Теперь можно зайти на флешку из под Windows и убедиться, что все отображается без проблем.

После изменения атрибутов, все папки стали вновь доступны

Советую держать файловый менеджер FAR Manager всегда под рукой, так он позволит, в случае необходимости, обойти ограничения Windows на изменение файлов.

Как вы понимаете, при помощи FAR Manager можно проделать и обратную процедуру, т.е. скрыть свои файлы на флешке от неопытных пользователей.

В заключение хочу сказать спасибо программисту Евгению Рошалю, который создал FAR Manager и хорошо всем известный архиваторы RAR и WinRAR.

Евгений Мухутдинов

Первая группа будьте внимательны в будущем. Не разбрасывайте флешку направо и налево. На данный момент Ваш компьютер чист от вируса, поэтому чтение остального материала для Вас необязательно. Вторая группа — читаем дальше, если хотим удалить вирус, превративший содержимое флешки в ярлыки.

Удаление вируса будет состоять из двух направлений атаки:

• Удаление вируса с компьютера.
• Удаление вируса с флешки.

Один из этих вирусов активен, другой нет. Для начала разберемся с активным, потому что он постоянно будет втыкать палки в колеса. Можете почитать мою статью про то, как удалить вирусы , там довольно доступно объясняется процесс удаления вирусов, который можно и нужно применять в данном случае. Так же, Вы можете поискать вирус во вкладке Процессы окна Диспетчер задач. Процесс данного вируса носит довольно нечленораздельное название. В ней нет логики, это простая абракадабра. Можете узнать месторасположение данного файла. Дальше так же есть два способа действия:

• Вы уверены в том, что это вирус. В таком случае остановите данный процесс и удалите вирус.
• Вы не уверены в том, что это вирус. В таком случае остановите процесс.

Далее флешку, содержимое которого превратилось в одни ярлыки, необходимо почистить способом, который обсуждался выше. И еще раз прошу, не трогайте ни один ярлык, иначе вся операция пойдет насмарку. После этого выньте и заново подключите флешку. Если Вы не видите в ней ярлыков и всё вроде бы чётко, значит Вы сделали все правильно.

Удаляем вирус из автозагрузки

Но расслабляться рано. Те, кто просто остановил процесс, должны перейти в папку, где находится вирус и удалить его. Так же нужно зачистить автозагрузку. Как это нужно сделать можно узнать из той же статьи про то, как удалить вирус . Почистить автозагрузку компьютера необходимо и для первой, и для второй группы.

Проделав это, я обычно перезагружал компьютер. Потом снова перепроверял флешку — появятся ли ярлыки или нет. Рекомендую Вам поступать так же.

Почему такие вирусы редко замечают антивирусы?

Многие, увидев такие ярлыки, пытаются просканировать компьютер и флешку с помощью антивируса. Но, в основном, это безрезультатно. Почему? Потому что тело вируса, который превращает папки в ярлыки — это обычный bat-файл, который содержит в себе команды, которые пользователь может выполнить как в графическом интерфейсе, так и в консоли. А антивирус не должен мешать пользователю работать. И bat-вирусы как раз-таки и подпадают под это правило. Определить что внутри bat-файла — нежелательный код или безобидные команды — довольно тяжело. Убедиться в этом можно на собственном опыте, если попробовать создать обычный bat-вирус .

Если Вы пострадали от данного вируса и хотите, чтобы никакую больше флеш-карту нельзя было бы подключить к компьютеру, можно