Net-Worm.Win32.Kido ОБЛОМАЛСЯ!!!



На днях, был на очередном "вызове" Некоторые свои инструменты ношу на простой флэшке.
Так вот, на флэшке стояла последняя версия моей защиты для флэш накопителей Stop_Flash_Infect_For_USB_Flash_Drive_v1.3 Изначально я уже знал что на машине сидит Kido ( машина вела себя как то не так, поэтому я решил просканировать систему утилитой AVZ_4.3) И вот уже зная какой зверь сидит в кустах :) Вставляю свою флэшку с установленной защитой, и открываю ее с помощью Total Commander, с включенной опцией просмотр скрытых файлов. И начал наблюдать такую картину. Защитный файл RECYCLER с атрибутами скрытый, системный, только для чтения, Kido удалил, и создал такую же папку, с атрибутами скрытый системный. Внтури папка под названием, примерно таким S-1-5-21-2978735287-272440217-243381000-1210 а в нутри ее файл с примерно таким названием "hfhfdjj" и расширением файла ".vmx" А вот файл запуска себя, он создать не смог!!! (Autorun.inf) Папку под названием Autorun.inf с защитным файлом внутри, Kido удалить не смог, атрибуты снимает, а удалить саму папку с защитным файлом не может :)
Файл червя на флэшке, но толку? :) запуститься он все равно не сможет! :) Так как он не смог создать файл запуска себя (Autorun.inf) Вот так он бедняжка, с атрибутами скрытый системный, и пролежит до ближайшего антивируса :) Пользователь не сможет запустить его, так как он скрыт.

5 комментариев:

Unknown комментирует...

Прикольно получилось :)

А чтобы файлы вирь не мог удалить, как папки, тебе надо в твою защиту добавить в конец имен файлов точку :)
Видешь ли, не может быть файла с точкой в конце имени, такой файл считается некорректным и ФС не может его удалить ;) Попробуй :)

F@got@dmin комментирует...

Я так понимаю ты имеешь ввиду это D\Recykler\. Но подумай над тем что при работе вируса он либо создает папку Recykler либо копирует тело вируса в эту папку, то есть папка Recykler есть на флэшке, зачем вирусу ее удалять? он просто скопирует туда свое тело, и все! поэтому именно нужно создавать файл с названием Recykler а не папку. Но насколько я увидел, новые вирусы обходят эту фишку, но пока не все :)...

Unknown комментирует...

Нет, я не это имею ввиду, папка тут не прокатит, а файл, типа, "Recykler."

На сколько я помню, точка в конце имени игнорируется, т.е. "Recykler" = "Recykler.", хотя могу и ошибиться, надо попробовать, не уверен на все 100 :)

Как до винды доберусь, проверю.

F@got@dmin комментирует...

Так я это и говорю, только файл Recykler прокатит в защите, но к сожалению сделать его неудаляемым как папка Autorun.inf не реално :(

Unknown комментирует...

Я на днях, как время и винда под рукой будут, попробую. Если прокатит, отпишусь подробно и пример прилеплю.