Меню
Категории
Вирус прячет папки, но их нет на флешке
17 января, 2012 Вирусы

Принесли мне давеча флешку, заражённую троянцем, прячущим папки пользователя и заменяющим их на исполняемые файлы вредоноса с иконками папок. Обычное дело, но оказалось не всё так просто. Прошлая версия вредоноса просто-напросто делала папки пользователя скрытыми с атрибутом «системные».

Тут же оказалось всё куда интереснее: папки пользователя отсутствовали вовсе, но место на флешке явно занимали. Ни проводник, ни любые другие файловые менеджеры никаких скрытых или же системных папок не видели в упор. CHKDSK спокойно рапортовал, что с файловой системой всё в порядке. Файлов нет — а место занято.
Взялся препарировать ФС с помощью сторонних утилит. Автор вируса использовал гениальное в своей простоте решение: вирус создавал в корне флешки папку с именем из двух точек и прятал в неё файлы пользователя. Папка эта благодаря своему нетривиальному имени воспринималась как проводником, так и всеми остальными файловыми менеджерами как переход к корневой директории, а так как папка уже находилась в корне, её просто не было видно. Вуаля. Видишь файлы, юзер? Нет? А они есть!

Извлечь спрятанные данные оказалось довольно просто: понадобилось просто найти утилиту, которая сама строит древо ФС, а не полагается на функции ОС. Но какое красивое и простое решение! Респект писавшему, хоть он и засранец.

4 комментария
  1. Да, видал такой вирус. Если флешка с телефона то можно найти фотки, видео и музыку через плеер. (у меня нокиа х3) спс. За инфу на вашем сайте!

  2. А я в таких случаях пользуюсь Тоtal Commander Podarok Edition. Он всё прекрасно видит даже когда обычный Total не видит, так что оч. рекомендую.

  3. А как можно самому создать папку с именем “..”? Система не позволяет этого сделать ни в проводнике, ни через командную строку..

  4. cmd mkdir \\.\F:\..

Добавить комментарий




*