Pendrive vírusirtás

Frissítve: 2023.09.18

Vírusok mindig léteztek, és létezni is fognak, viszont nem mindegy, miként védekezünk ellenük. A megelőzés nagyon fontos, így erre adnék pár jótanácsot.

Nem régiben találkoztam egy pendrive vírussal, mely működése minden téren bizonytalan. Lényegében amint számítógépbe kerül a fertőzött pendrive, a Windows-t azonnal megfertőzi, majd egy másik pendrive-ra, képes azonnal rámászni, amint a fertőzött gépbe kerül. Ez által pedig fertőz gépről gépre, megállítani nem könnyű (saját készítésű programjaim védett környezetben készülnek, így ezek fertőzöttségétől nem kell tartani).

Ezzel a vírussal probléma a következő:

  • A fájlok rejtett mappába kerülnek, mintha törölve lettek volna, csak egy bizonyos .lnk, azaz parancsikon fog megjelenni a pendrive-n. Erre kattintva érjük el tartalmát hordozható eszközünknek, viszont erre kattintva a vírus is elindul, és fertőzi számítógépünket.
  • Nem minden esetben fertőz oda vissza, teljesen kiszámíthatatlan. Természetesen tesztelgettem a vírust eltávolítás előtt, hogy mikre képes. Így készült el az ellenszere, de erről később.
  • Ha egy fertőzött pendrive-t átadok valakinek, majd az ő számítógépe fertőzötté válik ezáltal, sajnos ő is nagyon könnyen tovább adja majd a vírust. Védekezni ellene nem könnyű, szinte lehetetlennek tűnt. Nem az..
  • Vírusirtók nagy része nem ismeri fel a vírust, mondhatni 6-7 próbálkozásból 1 vált be. Ez pedig az Anti-MalwareBytes 4.2.0 verziója, régebbi ebből sem volt hatékony. A gépről teljesen eltünteti a vírust, viszont csak akkor, ha mi lefuttatunk egy vizsgálatot, vagy ütemezzük azt. Tehát, ha hétfőnként lefut az ütemezett vizsgálat, majd kedden vissza kapjuk a vírust, akkor következő hétfőig ott fog tevékenykedni a háttérben, ezért célszerű heti 1 teljes vizsgálat, és napi 1 gyors ütemezése.
  • Az említett vírusirtó a pendrive-ról nem képes leirtani sajnos. Arról nekünk kell gondoskodni, erre van is egy parancssor, de erről szintén később a megoldásokban.
  • Adatot lop-e, vagy milyen tevékenységet végez a háttérben, erről nincs információ sajnos, de több pendrive vírus létezik, így ezt pontosan behatárolni nem is egyszerű.

No, akkor oldjuk meg ezt a problémát annak tudatában, hogy a vírus visszajuthat, és vissza is fog hozzánk, mert már elterjedt. Hiába irtottuk le, ha pendrive-n vissza kapjuk, gépünk ismét fertőzötté válik. A gépet többen használjuk és sok pendrive fordul meg nálunk, nem tudjuk melyik fertőzött és melyik nem, amíg gépre nem csatlakoztattuk.

Megoldások, inkább tippek:

  • Az Anti-MalwareBytes legyen telepítve gépünkön és minden napra ütemezzünk egy gyors vizsgálatot. Nem nagy gépigényű a vírusirtó, ettől nem kell tartani. A héten nézzünk ki egy napot, amikor a gép egyhuzamban tud dolgozni 4 órán keresztül. Erre a napra ütemezzünk egy teljes vizsgálatot, tehát mindent pipáljunk ki. Célszerű a gyors és teljes vizsgálat esetében is pipálni azt a lehetőséget, hogy automatikusan karanténba kerüljön a vírus, illetve ha szükséges az újraindítást is végezze el automatikusan, ne maradjon el, mert akkor nem értünk el semmit.
  • Ha tudjuk egy pendrive-ról, hogy fertőzött, a következő parancssorral leirtható: meghajtó betüjele:/ pl: (f:) zárójel nélkül, majd enter.
  • del *.lnk* (könnyen meglehet, hogy írásvédetté teszi magát a cucc, így ha nem törlődött, jobb egérgomb a parancsikonra, tulajdonságok és az írásvédelemről vegyük le a pipát). A * azért szükséges, mert így nem egy konkrét fájlt töröl, hanem az összes lnk fájlt a meghajtóról.
  • Következő pedig a fájljaink visszaszerzése: f: majd enter és:  attrib -s -r -h *.* /s /d /l

 

 

  • A két parancsot egymás után írjuk be! Nagyon fontos, hogy ne a c meghajtón hajtsuk végre, mert ezzel  nagyobb gondot okozhatunk, mint maga a vírus.
  • Ha pendrive-nk visszakerül egy fertőzött gépbe, sajnos újra fertőzött lesz. Erre pedig készítettem egy kis programot, mely a háttérben folyamatosan ugrik az lnk fájlokra bármelyik meghajtón jönne is létre amellett, hogy az attrib parancsot is végrehajtja, így fájljaink is újra láthatóvá válnak. Ennek a kis programnak inkább az a célja, hogy a mi gépünk teljes védelmet élvezhessen, és ha már a vírusirtók egyike sem írtja le külső adathordozóról, akkor ezt a készített kis programom hajtsa végre. A program kezdetleges fázisban van, tehát terjeszthető formában egyenlőre semmi esetre sem kiadható. TempDel bővítményként elérhető. Különösebb optimalizálások valószínűleg nem lesznek, így ha csak egy sima parancsikont hozunk létre egyik meghajtón azonnal törlésre kerül. Ennek az az oka, hogy a vírus parancsikonnak álcázza magát, tehát nem is lehetne kiszűrni, hogy valóban csak egy ártatlan parancsikon, vagy maga a vírus. Ez a vírusirtó 2 héten belül kellett elkészüljön, minden elvesztett perc plusz terjedési esélyt hozott. Azóta kapja a frissítéseket, és igyekszem tökéletesíteni. Más vírus ellen nem lép fel, tehát egy Malwarebytes mindenképp javasolt mellette.
  • Amennyiben találkoztál ezzel a vírussal írj egy e-mailt melyet az elérhetőségek menüponton találhatsz és átadom a kis programot és leírom miként működik. Már nem kell átadnom, TempDel bővítményként szabadon hozzáférhető bárki számára. Eddig a tapasztalt legnagyobb RAM fogyasztás 11 mb volt. Processort pedig szinte nem is terheli. Merevlemezt nem pörgeti. Frissítéseket aktív internet mellett automatikusan megkapja, tehát különösebben észre sem lehet venni, hogy a háttérben fut, még frissítés közben sem.
  • Mondhatni licencelt terméknek terveztem, ugyanis minden frissítéskor kap egy dátumot amíg a kis vírusirtó működhet. Az adott dátum után egyszerűen eltávolítja saját magát. Ez azért így lett kitalálva, hogy kompatibilitási hiba ne léphessen fel frissítés elhalasztás miatt.
0
0

MINDEN VÉLEMÉNY SZÁMÍT!

Email cím (nem tesszük közzé) A kötelezően kitöltendő mezőket * karakterrel jelöljük

*

A következő HTML tag-ek és tulajdonságok használata engedélyezett: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>