В последнее время получает широкое распространение «антивирусный» скрипт usb.wsf.

«Антивирусный» набор состоит из 2 файлов - сам скрипт - usb.wsf (6243 байт) и файл autorun.inf (213 байт), обеспечивающий автозапуск скрипта.

Оба файла имеют атрибуты Скрытый, Системный, Только чтение.

Содержимое файла autorun.inf: [AutoRun]

open=wscript usb.wsf shellexecute=wscript.exe usb.wsf action=Install USB_Autorun_Remover shell=open UseAutoPlay=l

shell\open\Command=wscript.exe usb.wsf shell\explore\Command=wscript.exe usb.wsf

Антивирусы так идентифицируют этот autorun:

-    Avast - VBS:Malware-gen;

-    F-Prot - IS/Autorun;

-    McAfee - Genericlatr.b;

-    NOD32 - VBS/RiskTool.AutorunStub.A;

-    Sophos - Sus/Autolnf-A;

-    TrendMicro - Mal_Otorun1.

Файл usb.wsf антивирусы идентифицируют так:

-    a-squared - Riskware.RiskTool.VBS.AutorunStubHK;

-    AntiVir - HTML/Rce.Gen;

-    AVG - VBS/Worm.AX;

-    Kaspersky- not-a-virus:RiskTool.VBS.AutorunStub.a;

-    McAfee - VBS/Autorun.worm.k;

-    Microsoft - Worm:VBS/Autorun.AG;

-    NOD32 - VBS/RiskTool.AutorunStub.A;

-    PCTools - Malware.VBS-Runauto;

-    Sophos - VBS/Autorun»AZZ;

-    Symantec - VBS.Runauto;

-    TrendMicro - Mal_Otorun4.

«Партизанская» деятельность usb.wsf

Скрипт usb.wsf скрытно (без ведома пользователя!) устанавливается в систему (в папку \Program Files\ usb_anti_autorun);

-    создает раздел Реестра

[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\usb_autorun_remover];

-    постоянно «висит» в оперативной памяти, отслеживая подключаемые к ПК флешки/съемные диски;

-    копируется на все вновь подключаемые флешки/ съемные диски.

Налицо - самые характерные признаки вируса! Скрипт usb.wsf опасен тем, что его - слегка доработав! - можно использовать для вирусной атаки, как самостоятельной, так и запуская с его помощью другие вирусы.

И хотя создатель скрипта позиционирует свое творение как защиту от Penetrator'a, - увы от Пенетрато-ра он защитить не сможет...

Как избавиться от скрипта usb.wsf

-    запустите Диспетчер задач (любым способом - например, с помощью Ctrl+Alt+Del или с помощью Пуск -> Выполнить... ->taskmgr-> OK);

-    в окне Диспетчера Задач откройте вкладку Процессы;

-    выделите wscript.exe, нажмите кнопку Завершить процесс;

-    санкционируйте завершение процесса;

-    закройте Диспетчер задач;

-    удалите папку \Program Files\usb_anti_autorun;

-    нажмите Пуск -> Выполнить... -> в поле Открыть введите regedit -> OK;

-    удалите раздел

[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\usb_autorun_remover];

-    закройте Редактор реестра;

-    если в настройках вашего антивируса есть опция Блокировать выполнение скриптов, задействуйте ее.

Примечание

Для отображения вирусов, маскирующихся под скрытые и системные файлы, рекомендуется:

-    нажмите Пуск -> Настройка -> Панель управления -> Свойства папки;

-    в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

-    в прокручиваемом списке Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки -> ОК.