Archiwum - Infekcje z mediów przenośnych

[picasso]

Infekcje z mediów przenośnych

• Flash Disinfector (2008)
• Kaspersky RadminerFlashRestorer (2010, usunięty)

• MCShield (2014, problemy z działaniem, martwa strona)

• Remediate VBS Worm (2016)

• UsbFix (2021, trudności z pobieraniem i blokowaniem przez Windows Defender)

[picasso]

Infekcje z mediów przenośnych

 

 

 

Remediate VBS Worm

 

Strona domowa

 

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

 

Oficjalne autoryzowane linki pobierania:

 

Pobierz  (wersja ZIP)

 

Pobierz  (wersja EXE)

 

 

Remediate VBS Worm / Rem-VBSWorm - Narzędzie konsolowe autorstwa Bart Blaze (pracownika Panda Security) orientowane na usuwanie infekcji przenoszonych przy udziale urządzeń USB. Adresuje pulę szkodników utylizujących systemowy składnik Windows Script Host (WSH) oraz Autorun.

 

 

INSTRUKCJA URUCHOMIENIA:

 

Jeśli pobrano wersję ZIP, należy ją oczywiście rozpakować. Zasadniczy plik EXE uruchamiamy przez dwuklik.

 

>

 

Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:

 

 

Pojawi się konsolowy ekran z opcjami proszący o wpisanie wybranej litery i zatwierdzenie wyboru przez ENTER:

 

**************************************************************************
       Fixitpc please make a choice
       You should run the tool in the following sequence:
       Plug in your infected USB and choose A, then B and afterwards C.
       Use Q for proper logfile closing and opening the log.
**************************************************************************
A. Attempt to clean infection
   -------------------------------
B. Clean USB Drive of infections and restore/unhide files
   -------------------------------
C. Download Panda USB Vaccine
   -------------------------------
D. Disable or enable Windows Script Host
   -------------------------------
E. About
   -------------------------------
Q. Quit
============================================
Type the corresponding letter and press Enter:

 

 

W przypadku użycia niewłaściwej opcji skrypt może być zatrzymany przez kombinację CTRL + C.

 

Sekwencja powinna być następująca: podpięcie zainfekowanego urządzenia USB (jeśli dostępne), uruchomienie narzędzia i wywołanie po kolei opcji A (czyszczenie systemu) >  B (czyszczenie urządzenia USB) > opcjonalnie C (zabezpieczenie urządzenia USB) > na koniec Q, a po jego użyciu pełny skan antywirusowy. Opisy poszczególnych akcji w spoilerach:

 

 

 

Opcja A

 

Usuwanie infekcji z systemu oraz modyfikacji (np. blokujących narzędzia systemowe).

 

 

 

 

Na głównym ekranie wpisz z klawiatury A i ENTER:

 

Type the corresponding letter and press Enter: a

 

Rozpocznie się proces wyszukiwania i usuwania malware z systemu obrazowany szybko przelatującymi liniami. Gdy proces się ukończy, zgłosi się komunikat o wciśnięcie jakiegokolwiek klawisza, by kontynuować (co spowoduje powrót do głównego menu):

 

Press any key to continue . . .

 

 

 

 

Opcja B

 

Usuwanie infekcji z dysku USB i uwidocznienie ukrytych danych.

 

 

 

 

Upewnij się pod jaką literą jest widziane w Komputerze urządzenie USB które ma zostać poddane procesowi:

 

Na głównym ekranie wpisz z klawiatury B i ENTER:

 

Type the corresponding letter and press Enter: b

 

Pojawi się komunikat proszący o wpisanie litery pod jaką jest widziane urządzenie przenośne. Wpisz stosowną literę i ENTER:

 

====================================
Currently logged in as user: Fixitpc
====================================
 

Type the drive letter of your USB drive. ONLY the letter.
Do NOT use this on your Windows partition\)

E

 

 

Należy wpisać samą literę urządzenia pozbawioną dwukropków i ukośników. Czyli np. E zamiast E: lub E:\. Proszę nie próbować wykonywać tego na partycji systemowej!

 

Rozpocznie się proces wyszukiwania i usuwania malware z urządzenia obrazowany szybko przelatującymi liniami. Gdy proces się ukończy, zgłosi się komunikat o wciśnięcie jakiegokolwiek klawisza, by kontynuować (co spowoduje powrót do głównego menu):

 

Press any key to continue . . .

 

Jeśli na urządzeniu USB były foldery użytkownika ukryte przez infekcję, narzędzie zdejmie atrybuty HS czyniąc foldery widocznymi. W przypadku infekcji Gamarue tworzącej ukryty folder "bez nazwy" do którego zostały przesunięte wszystkie pliki użytkownika, folder ten zostanie tylko odkryty, ale użytkownik musi ręcznie przenieść z niego dane poziom wyżej, a po pomyślnym wykonaniu tego kroku usunąć folder "bez nazwy".

 

Proces ten tworzy także na urządzeniu ukryty folder autorun.inf z atrybutem "Tylko do odczytu":

 

 

Jednakże nie jest on zablokowany i podlega normalnemu usuwaniu, więc zabezpieczenie jest bardzo słabe. W tym przypadku immunizacja wykonywana przez Panda USB Vaccine (opcja USB Vaccination) lub mechanizm w USBFix jest mocniejsza.

 

 

 

 

Opcja C

 

Pobieranie Panda USB Vaccine.

 

 

 

 

Krok opcjonalny pod kątem zabezpieczenia urządzenia USB przez infekcjami typu autorun.inf. Opis instalacji i użycia Panda USB Vaccine już podany w w/w linku na naszym forum. Dodatkowe uwagi:

- Opcja immunizacji systemu jest już przestarzała, gdyż zostały wydane łaty Microsoftu zapobiegające przetwarzaniu autorun.inf urządzeń innych niż dyski CD/DVD. KB971029 dla Windows XP/2003/Vista/2008, a Windows 7 i nowsze mają to zabezpieczenie out-of-box.

- Opcja immunizacji urządzenia USB obecnie jest zdolna zabezpieczyć tylko przed limitowaną grupą infekcji uruchamianych via autorun.inf. Niestety infekcje uruchamiane innymi metodami nie zostaną w ten sposób zatrzymane.

 

 

Na głównym ekranie wpisz z klawiatury C i ENTER:

 

Type the corresponding letter and press Enter: c

 

Narzędzie zgłosi następujący komunikat informacyjny z prośbą o wciśnięcie jakiegokolwiek klawisza (co spowoduje powrót do głównego menu):

 

****************************************************************************
   Please download and run USBVaccineSetup.exe and follow the instructions.
   Do NOT enable NTFS support.
****************************************************************************
 

Press any key to continue . . .

 

Równocześnie zostanie otworzona przeglądarka internetowa ze stroną pobierania BleepingComputer. W zasadzie ta operacja może być wykonana szybciej ręcznie, bez użycia omawianego tu programu.

 

 

 

 

Opcja D

 

(De)aktywacja Windows Script Host.

 

 

 

 

Krok opcjonalny pod kątem zabezpieczenia systemu. Windows Script Host to natywny domyślnie aktywny komponent systemu umożliwiający uruchamianie skryptów VBScript (pliki VBS, VBE) i JScript (pliki JS, JSE). Funkcja ta niestety jest wykorzystywana przez malware i jej wyłączenie jest zabezpieczeniem przed wykonaniem tego typu infekcji. Niemniej korzystają z niej także poprawne aplikacje. Należy przetestować na własnym systemie czy wyłączenie tej funkcji będzie mieć skutki uboczne. Akcję można w każdej chwili odwrócić.

 

Program, który wymaga aktywnego WSH, zwróci podczas uruchamiania poniższy błąd. Przykładem aplikacji używającej WSH jest nasze GG.

 

 

 

Na głównym ekranie wpisz z klawiatury D i ENTER:

 

Type the corresponding letter and press Enter: d

 

Pojawi się kolejne menu proszące o wpisanie określonego numeru wywołującego powiązaną akcję i zatwierdzenie przez ENTER:

 

Fixitpc, disable or enable Windows Script Host (WSH) by selecting a number:
 

DISABLE WSH -------- 1
ENABLE WSH --------- 2
Back to main menu -- 3
 

Type the number and press enter:

 

1 - Wyłączenie WSH. 2 - Włączenie WSH. 3 - Powrót do głównego menu.

 

Wpisanie 1 lub 2 skutkuje następującym ekranem zawiadamiającym o wykonaniu akcji i proszącym o wciśnięcie jakiegokolwiek klawisza by kontynuować (co spowoduje powrót do głównego menu):

 

Fixitpc, disable or enable Windows Script Host (WSH) by selecting a number:
 

DISABLE WSH -------- 1
ENABLE WSH --------- 2
Back to main menu -- 3
 

Type the number and press enter: 1

Operacja ukończona pomyślnie.
Operacja ukończona pomyślnie.
Operacja ukończona pomyślnie.
Operacja ukończona pomyślnie.
Operacja ukończona pomyślnie.
Operacja ukończona pomyślnie.

Press any key to continue . . .

 

 

Narzędzie wykonuje edycję rejestru. Odpowiednikiem opcji 1 jest:

 

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host]

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

 

Natomiast odwrócenie zmian opcją 2 to:

 

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000001

 

 

 

 

Opcja Q

 

Zamknięcie narzędzia i automatyczne otworzenie raportu w Notatniku.

 

Opcja daje gwarancję poprawnego zapisu raportu i powinna zostać zastosowana na końcu niezależnie od wybrania wcześniej innej opcji.

 

 

Raport narzędzia jest tworzony niezależnie od użytej opcji i zlokalizowany w głównym katalogu dysku systemowego w postaci pliku C:\Rem-VBS.log. W pewnych okolicznościach narzędzie tworzy także folder C:\Rem-VBSqt z kopią zapasową szkodników VBS, do celów analitycznych. Log narzędzia i folder należy usunąć przez SHIFT+DEL (omija Kosz).

 

Edytowane 24 Stycznia 2020 przez picasso

[picasso]

USBFix

Strona domowa

Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit

Linki pobierania:

Pobierz  (Działający mirror MajorGeeks)

Pobierz  (Klik w Descargar USBFix, lik może nie działać)

 

 

Narzędzie usuwam z eksponowanych ze względu na problemy z pobieraniem i uruchamianiem. Oficjalny link serwisu SOSVirus (ten drugi powyżej) jest wysoce problematyczy i głównie nie działa. Strona SOSVirus jest też blokowana w przeglądarce Edge przez Microsoft Defender SmartScreen. Pobrany program jest automatycznie usuwany przez Defendera. Jeśli zostanie dodany do wyjątków i tak po instalacji jego komponenty ponownie zostaną wykryte przez Defendera i mnożą się kolejne ścieżki w wyjątkach.

 

UsbFix - Narzędzie jest przeznaczone do eliminacji infekcji przenoszonych drogą przez urządzenia przenośne typu USB. Umożliwia także reset niektórych szkodliwie zmodyfikowanych ustawień systemowych takich jak niemożność wyświetlenia ukrytych plików czy zdeaktywowane narzędzia systemowe (rejestr / menedżer zadań). Ponadto ma wbudowaną funkcję zabezpieczania wszystkich dysków wg metody znanej ze starego narzędzia Flash Disinfector (generowanie niekasowalnych folderów autorun.inf). Program przeszedł ewolucję od programu konsolowego do graficznego interfejsu. Najnowsza wersja programu to typ "choinkowy", bardzo kolorowo i reklamy sponsora BitDefender w oknie. Obecnie program występuje w kilku edycjach: tu omawiana darmowa USBFix Free oraz płatne Premium (Standard - zawiera automatyczne aktualizacje, Maintenance - wersja dla administratorów sieciowych, extra tryb portable).



INSTRUKCJA URUCHOMIENIA:



Ściągnięty plik uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 należy potwierdzić dialog UAC:



Zgłosi się EULA użytkowa, którą należy potwierdzić przyciskiem Accept:




Pojawi się ekran wyboru akcji:




Opis poszczególnych akcji w spoilerach:




Wyszukiwanie

Wyszukiwanie infekcji w systemie i na dostępnych dyskach, w trybie tylko do odczytu, czyli bez usuwania.

 

 

 

Narzędzie zasugeruje udanie się po dodatkową pomoc na francuskie forum. Odrzucamy ofertę za pomocą No:



Rozpocznie się skan właściwy notowany przez procentowy pas postępu:



Po ukończeniu procesu pojawi się komunikat zawiadamiający, iż raport wynikowy został shostowany online oraz wskazujący miejsce zapisu pliku raportu na dysku:



Zatwierdzenie OK otwiera dwie wersje raportu: stronę online w domyślnej przeglądarce internetowej oraz plik w Notatniku.

----> Pliki raportów ze skanowania są zlokalizowane tu: C:\UsbFix\Log\UsbFix [scan Numer] Nazwa komputera.txt.
 

Usuwanie infekcji

Czyszczenie systemu i aktualnie dostępnych spod niego dysków z infekcji które narzędzie umie rozpoznać. Plus automatyczne wdrożenie Vaccinate.
 

 

 

Czyszczenie może spowodować zabicie powłoki, czyli zanik Pulpitu. Procedura wygląda podobnie do operacji Research - popatrz na obrazki we wcześniejszym spoilerze. Opcja Clean serwuje jednak po dialogu informującym o zapisie raportów dodatkowy ekran z sugestią dotacji (opcja No ignoruje prośbę):




----> Pliki raportów z usuwania są zlokalizowane tu: C:\UsbFix\Log\UsbFix [Clean Numer] Nazwa komputera.txt.

----> Kopie zapasowe (usunięte pliki z dodanym rozszerzeniem *.vir) lądują w C:\UsbFix\Quarantine.
 

Listowanie

Lista obiektów leżących bezpośrednio w root wszystkich dostępnych dysków. Raport ten pozwoli zorientować czy na dyskach nie są umieszczone szkodliwe ukryte pliki ominięte przez procedury wbudowane USBFix.
 

 

 

Narzędzie poprosi o podpięcie wszystkich mediów przenośnych do komputera i odblokowanie na nich funkcji zapisu:



Na kolejnym ekranie pojawi się informacja o ilości wykrytych dysków (X Detected drives) oraz opcjonalna konfiguracja, tzn. automatyczna analiza podejrzanych plików na Virus Total oraz skan rekursywny uwzględniający podfoldery (ryzyko gigantycznego raportu w przypadku dużych dysków z mnóstwem plików):



Przycisk Scan! rozpoczyna proces tworzenia listy. Ukończenie procesu jest sygnalizowane zamknięciem okna głównego. Pojawi się komunikat zawiadamiający, iż raport wynikowy został shostowany online oraz wskazujący miejsce zapisu pliku raportu na dysku:



Zatwierdzenie OK otwiera dwie wersje raportu: stronę online w domyślnej przeglądarce internetowej oraz plik w Notatniku.

----> Pliki raportów ze skanowania są zlokalizowane tu: C:\UsbFix\Log\UsbFix [Listing Numer] Nazwa komputera.txt.
 

"Szczepienie"

Mechanizm tworzący na wszystkich dostępnych dyskach ukryty zablokowany folder autorun.inf.
 

 

 

Narzędzie poprosi o podpięcie wszystkich mediów przenośnych do komputera i odblokowanie na nich funkcji zapisu:



Kolejny ekran sygnalizuje ilość wykrytych dysków zewnętrznych (X Detected drives) oraz dostępne opcje szczepienia:




Uruchomienie opcji Vaccinate disks wygeneruje komunikaty potwierdzające dla każdego z dysków po kolei. Proces tworzy na punktowanych dyskach ukryty folder Autorun.inf z plikiem wykorzystującym zastrzeżoną nazwę "LPT1", co skutecznie blokuje usunięcie folderu:




Proces jest odwracalny za pomocą opcji Delete vaccination. Alternatywnie, ta sama ekipa udostępnia też stare narzędzie MKV mające identyczną opcję (Supprimer la vaccination).

 

Narzędzie teoretycznie zawiadamia tylko o szczepieniu dysków zewnętrznych USB, ale foldery autorun.inf powstają na wszystkich dyskach (wliczając systemowy). Te ukryte foldery autorun.inf mają skutki uboczne w postaci zaniku etykiet dysków (przykład).

 

Raporty

Spis wszystkich logów utworzonych przez narzędzie.




Deinstalacja
 

 

 

Po wywołaniu opcji zostanie opróżniony katalog narzędzia na partycji systemowej. Katalog ten jako taki wraz ze spakowanymi próbkami do wysłania pozostaje jednak na dysku.

Alternatywnie: tę samą funkcję spełnia plik C:\UsbFix\Un-UsbFix.exe.
 

Konfiguracja programu
 

 

 

Zakładki Language (brak polskiego) i BBCode (alternatywne formatowanie logów, niedostępne) do zignorowania. Istotne opcje są w zakładkach Setting i Network:




Listing+ - Pełna lista zawartości podpiętego urządzenia USB.
Disable Autorun/AutoPlay - Deaktywacja funkcji Autoodtwarzania nośników.
Include a listing at the end of the cleaning - Dołączenie do raportu z dezynfekcji również raportu opcji Listing.





Enable network disk detection - Detekcja dysków sieciowych. Włączenie opcji wymaga restartu komputera.