Wirusy na pendrive'ach

Nieszczęsny Windows zaraża się byle czym i przy byle okazji. Ostatnio byłem świadkiem takiej sytuacji przy okazji włożenia zawirusowanego pendrive'a do peceta z tym systemem (konkretnie był to XP). Po wejściu explorerem do głównego katalogu pendrive'a wyskoczyło okno o błędzie w programie temp2.exe. Ponadto dioda w pendrivie zaczęła zbyt nachalnie mrugać, a stacja dysków – wydawać jakieś odgłosy. Task manager pokazywał proces o podobnej nazwie – temp1.exe. Po jego zabiciu objawy ustały, jednak wkrótce sytuacja się powtórzyła. System został zainfekowany...

Trzeba było przyjrzeć się bliżej sytuacji. Ponownie zarżnąłem temp1.exe (czy może temp2.exe). W katalogu c:/windows/system32 znalazłem programy o tych nazwach i skasowałem je. W głównym katalogu dysku, jak też na pendrivie, były ukryte pliki: copy.exe, host.exe oraz autorun.inf, powodujący automatyczne załadowanie jednego z nich. Skasowałem je oraz prewencyjnie utworzyłem katalogi o nazwie autorun.inf licząc na to, że przynajmiej co głupsze robaki nie poradzą sobie z taką niespodzianką. Przy pomocy programu msconfig.exe przejrzałem też rozmaite miejsca, z których te programy mogłyby być automatycznie uruchamiane. Przeszukałem również rejestr pod kątem ich występowania (programem regedit.exe). Nic jednak nie znalazłem.

Jak się przekonałem, nie należy w takich okolicznościach używać do przeglądania zawartości dysków windowsowego explorera, gdyż to on uruchamia automatycznie programy wymienione w tych autorun.inf. Zawsze można jednak sięgnąć po stary, dobry (no, dobry to może on akurat nie jest) interpreter poleceń – cmd.exe. Na przykład, by usunąć tego robala z dysku c:, należy wykonać polecenia:

c:
cd \
dir /a /od
del copy.exe
del host.exe
del autorun.inf
mkdir autorun.inf

I powtórzyć dla wszystkich innych partycji, dyskietek czy też pendrive'ów. Mała uwaga: wirus pooznaczał swoje pliki jako ukryte, domyślnie nie są one pokazywane przez polecenie dir, stąd konieczność użycia opcji /a. Opcja /od z kolei posortuje pliki według daty utworzenia czy modyfikacji, więc te najnowsze będą pokazane na dole.

Niestety, po restarcie okazało się, że na nic się to wszystko zdało, pliki wirusa się odtworzyły i sytuacja wróciła do poprzedniego stanu. Nadszedł czas, by spytać wujka Gugle o radę. No i znalazłem to i owo na ten temat, ściągnąłem dwa darmowe programy:

• Ad-aware 2008 firmy Lavasoft
• Pervloga Removal Tool (PRT), autorstwa niejakiego Sergiwy

Na pierwszy ogień poszedł Ad-aware. Zleciłem mu "full scan", trwało to dość długo, ale wskazał dwadzieścia parę zarażonych plików. Jak się okazało, były to też umieszczone w c:/windows programy: svchost.exe, xcopy.exe (identycznie nazwane programy systemowe znajdują się w katalogu c:/windows/system32) i jeszcze coś. Kazałem mu to wszystko usunąć, co grzecznie zrobił. Po restarcie był już spokój, nie licząć komunikatu o niemożności uruchomienia tych skasowanych programów – dziadostwo zainstalowało się w rejestrze. Nie chciało mi się już szukać ręcznie, więc na poprawkę uruchomiłem jeszcze PRT, specjalnie napisane na okoliczność sprzątania po tym wirusie. Ponowny restart, jeszcze jeden skan Ad-awarem i wygląda na to, że komputer jest czysty.