В последнее время получает широкое распространение «антивирусный» скрипт usb.wsf.

«Антивирусный» набор состоит из 2 файлов — сам скрипт — usb.wsf (6243 байт) и файл autorun.inf (213 байт), обеспечивающий автозапуск скрипта.

Оба файла имеют атрибуты Скрытый, Системный, Только чтение.

Содержимое файла autorun.inf: [AutoRun]

open=wscript usb.wsf shellexecute=wscript.exe usb.wsf action=Install USB_Autorun_Remover shell=open UseAutoPlay=l

shell\open\Command=wscript.exe usb.wsf shell\explore\Command=wscript.exe usb.wsf

Антивирусы так идентифицируют этот autorun:

—    Avast — VBS:Malware-gen;

—    F-Prot — IS/Autorun;

—    McAfee — Genericlatr.b;

—    NOD32 — VBS/RiskTool.AutorunStub.A;

—    Sophos — Sus/Autolnf-A;

—    TrendMicro — Mal_Otorun1.

Файл usb.wsf антивирусы идентифицируют так:

—    a-squared — Riskware.RiskTool.VBS.AutorunStubHK;

—    AntiVir — HTML/Rce.Gen;

—    AVG — VBS/Worm.AX;

—    Kaspersky- not-a-virus:RiskTool.VBS.AutorunStub.a;

—    McAfee — VBS/Autorun.worm.k;

—    Microsoft — Worm:VBS/Autorun.AG;

—    NOD32 — VBS/RiskTool.AutorunStub.A;

—    PCTools — Malware.VBS-Runauto;

—    Sophos — VBS/Autorun»AZZ;

—    Symantec — VBS.Runauto;

—    TrendMicro — Mal_Otorun4.

«Партизанская» деятельность usb.wsf

Скрипт usb.wsf скрытно (без ведома пользователя!) устанавливается в систему (в папку \Program Files\ usb_anti_autorun);

—    создает раздел Реестра

[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\usb_autorun_remover];

—    постоянно «висит» в оперативной памяти, отслеживая подключаемые к ПК флешки/съемные диски;

—    копируется на все вновь подключаемые флешки/ съемные диски.

Налицо — самые характерные признаки вируса! Скрипт usb.wsf опасен тем, что его — слегка доработав! — можно использовать для вирусной атаки, как самостоятельной, так и запуская с его помощью другие вирусы.

И хотя создатель скрипта позиционирует свое творение как защиту от Penetrator’a, — увы от Пенетрато-ра он защитить не сможет…

Как избавиться от скрипта usb.wsf

—    запустите Диспетчер задач (любым способом — например, с помощью Ctrl+Alt+Del или с помощью Пуск -> Выполнить… ->taskmgr-> OK);

—    в окне Диспетчера Задач откройте вкладку Процессы;

—    выделите wscript.exe, нажмите кнопку Завершить процесс;

—    санкционируйте завершение процесса;

—    закройте Диспетчер задач;

—    удалите папку \Program Files\usb_anti_autorun;

—    нажмите Пуск -> Выполнить… -> в поле Открыть введите regedit -> OK;

—    удалите раздел

[HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\usb_autorun_remover];

—    закройте Редактор реестра;

—    если в настройках вашего антивируса есть опция Блокировать выполнение скриптов, задействуйте ее.

Примечание

Для отображения вирусов, маскирующихся под скрытые и системные файлы, рекомендуется:

—    нажмите Пуск -> Настройка -> Панель управления -> Свойства папки;

—    в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

—    в прокручиваемом списке Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки -> ОК.