a_murzilka (a_murzilka) wrote,
a_murzilka
a_murzilka

Официальный ответ ЛабКасперского и мое мнение о скрипте usb.wsf

Написано Епанделин Прочитать цитируемое сообщение
Безопасен ли «антивирусный» скрипт usb.wsf?


 

Безопасен ли «антивирусный» скрипт usb.wsf?

 

***

В последнее время получает широкое распространение «антивирусный» скрипт usb.wsf.

 

«Антивирусный» набор состоит из 2-х файлов – сам скрипт – usb.wsf (6243 байт) и файл autorun.inf (213 байт), обеспечивающий автозапуск скрипта.

Оба файла имеют атрибуты Скрытый, Системный, Только чтение.

 

Содержимое файла autorun.inf:

[AutoRun]

open=wscript usb.wsf

shellexecute=wscript.exe usb.wsf

action=Install USB_Autorun_Remover

shell=open

UseAutoPlay=1

shell\open\Command=wscript.exe usb.wsf


shell\explore\Command=wscript.exe usb.wsf

 

Антивирусы так идентифицируют этот autorun:

AvastVBS:Malware-gen;

F-ProtIS/Autorun;

McAfeeGeneric!atr.b;

NOD32VBS/RiskTool.AutorunStub.A;

SophosSus/AutoInf-A;

TrendMicroMal_Otorun1.

 

Безопасен ли «антивирусный» скрипт usb.wsf?

 

 

Файл usb.wsf антивирусы идентифицируют так:

a-squared Riskware.RiskTool.VBS.AutorunStub!IK;

AntiVirHTML/Rce.Gen;

AVGVBS/Worm.AX;

Kasperskynot-a-virus:RiskTool.VBS.AutorunStub.a;

McAfeeVBS/Autorun.worm.k;

MicrosoftWorm:VBS/Autorun.AG;

NOD32VBS/RiskTool.AutorunStub.A;

PCToolsMalware.VBS-Runauto;

SophosVBS/Autorun-AZZ;

SymantecVBS.Runauto;

TrendMicroMal_Otorun4.

 

 

***

«Партизанская» деятельность usb.wsf

Скрипт usb.wsf скрытно (без ведома пользователя!) устанавливается в систему (в папку \Program Files\usb_anti_autorun);

– создает раздел Реестра

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];

– постоянно «висит» в оперативной памяти, отслеживая подключаемые к ПКфлешки/съемные диски;

– копируется на все вновь подключаемые флешки/съемные диски.

 

Налицо – самые характерные признаки вируса!

 

Скрипт usb.wsf опасен тем, что его – слегка доработав! – можно использовать для вирусной атаки, как самостоятельной, так и запуская с его помощью другие вирусы.

И хотя создатель скрипта позиционирует свое творение как защиту от Penetrator'а, – увы от Пенетратора он защитить не сможет…

 

 

***

Как избавиться от скрипта usb.wsf

– запустите Диспетчер задач (любым способом – например, с помощью Ctrl+Alt+Del, или с помощью
Пуск –> Выполнить… –>
taskmgr –> OK);

– в окне Диспетчера Задач откройте вкладку Процессы;

– выделите wscript.exe, нажмите кнопку Завершить процесс;

– санкционируйте завершение процесса;

– закройте Диспетчер задач;

 

– удалите папку \Program Files\usb_anti_autorun;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– удалите раздел

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_autorun_remover];

– закройте Редактор реестра;

 

– если в настройках вашего антивируса есть опция Блокировать выполнение скриптов, задействуйте ее.

 

 

Примечания

1. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?.

2. Если Редактор реестра не запускается, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?.

3. Для отображения вирусов, маскирующихся под скрытые и системные файлы рекомендуется:

– нажмите Пуск –> Настройка –> Панель управления –> Свойства папки;

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;


– в прокручиваемом списке Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

Murzilka_Inc




мы добились , что бы каспер их пометил как червяки и блокировал... вот их официальный ответ...

2010.11.18, 17:23 - Marina Pakholkova: Здравствуйте. 94826721_334536525_autorun.inf - Worm.VBS.VirusProtection.c, 94826721_334536526_usb.wsf_ - Worm.VBS.VirusProtection.g Детектирование было добавлено в основные базы. С уважением, Служба технической поддержки ЗАО "Лаборатория Касперского"

Доктор и КОмодо его и раньше банили, терь вот и каспер согласился
по моему мнению, все что не спросило моего разрешения и делает изменения на мойом ПК - вредная хуйня... а значит подлежит изучению и дискредитации...

Оригинал записи и комментарии на LiveInternet.ru

Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments