На днях, был на очередном "вызове" Некоторые свои инструменты ношу на простой флэшке.
Так вот, на флэшке стояла последняя версия моей защиты для флэш накопителей Stop_Flash_Infect_For_USB_Flash_Drive_v1.3 Изначально я уже знал что на машине сидит Kido ( машина вела себя как то не так, поэтому я решил просканировать систему утилитой AVZ_4.3) И вот уже зная какой зверь сидит в кустах :) Вставляю свою флэшку с установленной защитой, и открываю ее с помощью Total Commander, с включенной опцией просмотр скрытых файлов. И начал наблюдать такую картину. Защитный файл RECYCLER с атрибутами скрытый, системный, только для чтения, Kido удалил, и создал такую же папку, с атрибутами скрытый системный. Внтури папка под названием, примерно таким S-1-5-21-2978735287-272440217-243381000-1210 а в нутри ее файл с примерно таким названием "hfhfdjj" и расширением файла ".vmx" А вот файл запуска себя, он создать не смог!!! (Autorun.inf) Папку под названием Autorun.inf с защитным файлом внутри, Kido удалить не смог, атрибуты снимает, а удалить саму папку с защитным файлом не может :)
Файл червя на флэшке, но толку? :) запуститься он все равно не сможет! :) Так как он не смог создать файл запуска себя (Autorun.inf) Вот так он бедняжка, с атрибутами скрытый системный, и пролежит до ближайшего антивируса :) Пользователь не сможет запустить его, так как он скрыт.