В последнее время получает широкое распространение «антивирусный» скрипт usb.wsf.
«Антивирусный» набор состоит из 2 файлов — сам скрипт — usb.wsf (6243 байт) и файл autorun.inf (213 байт), обеспечивающий автозапуск скрипта.
Оба файла имеют атрибуты Скрытый, Системный, Только чтение.
Содержимое файла autorun.inf: [AutoRun]
open=wscript usb.wsf shellexecute=wscript.exe usb.wsf action=Install USB_Autorun_Remover shell=open UseAutoPlay=l
shell\open\Command=wscript.exe usb.wsf shell\explore\Command=wscript.exe usb.wsf
Антивирусы так идентифицируют этот autorun:
— Avast — VBS:Malware-gen;
— F-Prot — IS/Autorun;
— McAfee — Genericlatr.b;
— NOD32 — VBS/RiskTool.AutorunStub.A;
— Sophos — Sus/Autolnf-A;
— TrendMicro — Mal_Otorun1.
Файл usb.wsf антивирусы идентифицируют так:
— a-squared — Riskware.RiskTool.VBS.AutorunStubHK;
— AntiVir — HTML/Rce.Gen;
— AVG — VBS/Worm.AX;
— Kaspersky- not-a-virus:RiskTool.VBS.AutorunStub.a;
— McAfee — VBS/Autorun.worm.k;
— Microsoft — Worm:VBS/Autorun.AG;
— NOD32 — VBS/RiskTool.AutorunStub.A;
— PCTools — Malware.VBS-Runauto;
— Sophos — VBS/Autorun»AZZ;
— Symantec — VBS.Runauto;
— TrendMicro — Mal_Otorun4.
«Партизанская» деятельность usb.wsf
Скрипт usb.wsf скрытно (без ведома пользователя!) устанавливается в систему (в папку \Program Files\ usb_anti_autorun);
— создает раздел Реестра
[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\usb_autorun_remover];
— постоянно «висит» в оперативной памяти, отслеживая подключаемые к ПК флешки/съемные диски;
— копируется на все вновь подключаемые флешки/ съемные диски.
Налицо — самые характерные признаки вируса! Скрипт usb.wsf опасен тем, что его — слегка доработав! — можно использовать для вирусной атаки, как самостоятельной, так и запуская с его помощью другие вирусы.
И хотя создатель скрипта позиционирует свое творение как защиту от Penetrator’a, — увы от Пенетрато-ра он защитить не сможет…
Как избавиться от скрипта usb.wsf
— запустите Диспетчер задач (любым способом — например, с помощью Ctrl+Alt+Del или с помощью Пуск -> Выполнить… ->taskmgr-> OK);
— в окне Диспетчера Задач откройте вкладку Процессы;
— выделите wscript.exe, нажмите кнопку Завершить процесс;
— санкционируйте завершение процесса;
— закройте Диспетчер задач;
— удалите папку \Program Files\usb_anti_autorun;
— нажмите Пуск -> Выполнить… -> в поле Открыть введите regedit -> OK;
— удалите раздел
[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\usb_autorun_remover];
— закройте Редактор реестра;
— если в настройках вашего антивируса есть опция Блокировать выполнение скриптов, задействуйте ее.
Примечание
Для отображения вирусов, маскирующихся под скрытые и системные файлы, рекомендуется:
— нажмите Пуск -> Настройка -> Панель управления -> Свойства папки;
— в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
— в прокручиваемом списке Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки -> ОК.
А что делать, если после удаления файла usb.wsf не удается запустить ни одну флешку?