Ostatnio znów złapałem wirusa - jak zawsze przeniósł się do komputera z pamięci wymiennej. Niestety tym razem walka była dość długa, ale na szczęście się udało.

Działanie army.exe

Wirus ten tworzy oczywiście na napędzie pendrive plik autorun.inf, w którym ma zapisany start programu /SYSTEM/FILES/ARMY.exe Program działa w pamięci, ale nie widzi go ani Avast, ani Clam. W menadżerze procesów również jest czysto, więc działania programu faktycznie nie widać. Dopiero firewall poinformował mnie o próbie połączenia się procesu explorer.exe z siecią – dość pospolita metoda działania wirusów. O ile usunięcie ukrytego folderu SYSTEM nie było trudne, to fakt, że po chwili znów się on pojawia na pendrivie jest mocno denerwujący. Musiałem znaleźć miejsce na dysku w które zapakował się ten wredny twór. Oczywiście "profesjonalni hakierzy", którzy mają frajdę z napisania czegoś w VBA ciągle stosują te same chwyty, więc jak się słusznie domyśliłem wirus stacjonował w folderze C:/SYSTEM/FILES/ARMY.exe. Niestety usunięcie tego folderu nie było normalnie możliwe. Przepiękny komunikat systemu: "Plik (wiadomo jaki) nie może zostać usunięty, bo jest aktualnie używany" daje do zrozumienia, że nie tędy droga.

Metoda pozbycia się wirusa

Można posłużyć się jakąś live dystrybucją Linuksa i wyrzucić te pliki z dysku i pendrive, ale nie zawsze mamy pod ręką jakiegoś pingwina, a ciągle są problemy z NTFSem zwłaszcza dla niewprawionych... Udało się jednak znaleźć znacznie prostszą metodę: Osławiony legendami "tryb awaryjny z wierszem polecenia", którego uruchamiamy naciskając F8 przed ładowaniem się systemu. Celowo wybrałem ten tryb, aby załadowało się możliwie jak najmniej dodatków systemu i aby ten wirus nie wystartował. Otworzy nam się konsola CMD, wpisujemy "explorer", w oknie dialogowym klikamy "TAK". Potem wchodzimy na dysk C (mając oczywiście wyłączone ukrywanie folderów) i kasujemy folder "system". Wkładamy kolejno wszystkie dyski wymienne, które są zarażone i robimy podobnie. Niestety platforma U3 lub Symbian zapisują na pendrive'ach swoje własne pliki do folderu system, ale w tym wypadku można się zagłębić w ten folder i usunąć w nim podfolder "FILES".

Jeden sposób na wiele robaków

Osoby piszące wirusy komputerowe są oczywiście sprytne i pomysłowe, ale programowanie wirusów pod roznoszenie ich na pendrive jest bardzo schematyczne i nauczenie się właściwego postępowania w jednym przypadku ochroni nas przed kolejnymi klonami takiego wirusa.

Profilaktyka antywirusowa

Znawcy, a raczej marketingowcy zalecają kompleksową, oczywiście komercyjną ochronę antywirusową. Ja uważam, że to nabijanie ludzi w butelkę, bo identyczną skuteczność mają darmowe programy, a przed głupotą nic nas nie uratuje. Prócz antywirusa zaopatrzmy się w firewalla, skanujmy napęd przed jego otwarciem. Jeśli nasz pendrive ma jakąś dziwną ikonkę to nie klikajmy na niego dwa razy tylko użyjmy funkcji "Eksploruj" i od razu usuńmy podejrzane pliki i foldery. Sprawdźmy notatnikiem do czego odwołuje się plik autostart.inf i niezwłocznie to usuwajmy! Można by napisać o tym książkę, ale nie chcę nikogo zanudzać – esencja została już przekazana...

Procek