Вирус это или нет, но поведение его весьма нехорошее.
Ни одна программа, на мой взгляд, не должна действовать без согласия пользователя. Независимо от того, какие у нее цели.
Данный "вирь" распространяется посредством флэш-накопителей. Симптомы зараженного компьютера:
- если есть floppy дисковод, то он периодически издает шум (покрякивает), отсюда соответственно износ дисковода
-висит процесс wscript.exe (см. Диспетчер задач)
Симптомы зараженной флэшки:
Изменение название вашей флэшки на Съемный диск
На такой флэшке есть два файла:
autorun.inf
и usb.wsf
При открытии флэшки предлагается запустить с использованием программы на диске.
Если запустить то произойдет выполнение сценария "заражения" вашего компьютера:
Добавляются ветки реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Съемный диск"="\"C:\\WINDOWS\\System32\\wscript.exe\" \"C:\\Program Files\\Съемный диск\\usb.wsf\" //Job:Work"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WSFFile]
"EditFlags"=dword:00000018 (значение может меняться)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\wscript.exe"="Microsoft ® Windows Based Script Host"
создается папка с копией файла usb.wsf с флэшки:
C:\Program Files\Съемный диск\usb.wsf
Удаление данного "Виря"
в зависимости от разновидности "виря", папки с данными могут быть
usb_anti_autorun или Съемный диск
Нужно убрать процесс в диспетчере задач wscript.exe
Далее удалить папку с файлом:
C:\Program Files\Съемный диск\usb.wsf (C:\Program Files\usb_anti_autorun \usb.wsf)
Удалить ветку реестра из атозапуска: (можно все которые указанные вверху)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Съемный диск"="\"C:\\WINDOWS\\System32\\wscript.exe\" \"C:\\Program Files\\Съемный диск\\usb.wsf\" //Job:Work"
"Заражение" флешки происходит при контакте с "зараженным" компьютером:
Создается копия usb.wsf из C:\Program Files\Съемный диск\ на флэшку, а также формирует autorun.inf и все это делает процесс wscript.exe (C:\WINDOWS\system32\wscript.exe) запущенный из автозапуска.
"Вирус" распространяется очень быстро из-за недостаточных знаний компьютерной безопасности пользователей. Это хорошо заметно в организациях, офисах (где найдется хотя-бы один человек который запустит сценарий заражения(даже не на своем компьютере))
БУДЬТЕ ОСТОРОЖНЫ!
