Ostatnio pojawiło się dużo wirusów, które rozprzestrzeniają się za pomocą pendrive’ów. Jednym z najpopularniejszych wirusów jest wirus (trojan) AMVO. Postaram się opisać jak wykryć, usunąć i zabezpieczyć system przed tym trojanem.
Rozpoznajemy, czy w systemie siedzi wirus AMVO
Najprościej można rozpoznać tego wirusa sprawdzając, czy na partycji systemowej widać ukryte pliki. Jeśli nie widać plików, to uruchamiamy ustawienia folderów i zaznaczamy opcję „pokaż ukryte pliki i foldery” i zatwierdzamy. Jeśli po zatwierdzeniu tej opcji dalej nie widać plików na partycji systemowej to znaczy, że na pewno jest wirus.
Gdzie siedzi wirus?
Jest kilka plików tego wirusa: „amvo.exe” / „avpo.exe” / „amvo0.dll” / „amvo1.dll” – znajdują się w katalogu „system32”; „Autorun.inf” / „tknn6.bat” – znajdują się luzem na każdej partycji systemowej, na dysku przenośnym lub pendrive.
Kasujemy wirusa AMVO z systemu
Będziemy potrzebowali narzędzia ComboFix oraz odpowiedniego skryptu do tego programu.
Program możesz pobrać tutaj: ComboFix.exe
Skrypt do programu możesz pobrać tutaj: CFScript.txt
Pamiętaj, aby wszystkie dokumenty i programy były wyłączone. Program ComboFix oraz skrypt (CFScript.txt) muszą być w tym samym katalogu. Aby wywołać skrypt, który wykasuje wirusa z systemu, należy przeciągnąć plik skryptu (CFScript.txt) na ikonę programu ComboFix. Narzędzie zostanie automatycznie uruchomione i wykona dany skrypt.
Zabezpieczanie się przed wirusem AMVO
Najlepszym rozwiązaniem jest antywirus w trybie „real-time protection”, który podczas wykrycia próby uruchomienia zarażonego programu blokuje do niego dostęp. Jednym z najlepszych programów antywirusowych jest NOD32.
Dodatkowo (lub jeśli w ogóle nie posiadasz antywirusa) możesz zabezpieczyć system modyfikując rejestr tak, aby system nie uruchamiał automatycznie (autorun) napędów CD-ROM / pendrive lub całkowicie blokował pliki „Autorun.inf” – polecam ostatnią metodę, co prawda minusem będzie brak automatycznego startu np. płyty CD, ale ja sądzę, że ważniejsze jest bezpieczeństwo systemu.
Gotowe modyfikacje rejestru:
NO_Autorun.reg - wyłącza autorun napędów takich jak CD-ROM / pendrive
NO_Autorun-INF.reg - wyłącza obsługę wszystkich plików “Autorun.inf” odpowiedzialnych za autouruchamianie
To by było na tyle ;)
Adrian Kozień
