---
title: "Новое чудо с флешки"
description: "Как известно, большинство вирусов, распространяющихся через переносные устройства, \"инфицируют\" сист..."
author: "undeadlyghost"
published: "2009-06-13T13:02:57+00:00"
modified: "2009-06-13T13:02:57+00:00"
locale: "ru"
canonical_url: "https://yvision.kz/post/novoe-chudo-s-fleshki-10802"
markdown_url: "https://yvision.kz/post/novoe-chudo-s-fleshki-10802/markdown"
site_name: "Yvision.kz"
---

# Новое чудо с флешки

> Как известно, большинство вирусов, распространяющихся через переносные устройства, "инфицируют" сист...

Как известно, большинство вирусов, распространяющихся через переносные устройства, "инфицируют" систему используя функцию автозапуска(при помощи autorun.inf). Конечно, если базы антивируса находятся в актуальном состоянии и он настроен на real-time защиту, то вероятность заражения невысока, но бывают особые случаи. Именно по этому я всегда стараюсь отключать функцию автозапуска на доверенных мне системах.

Сегодня принесли флешку, которая не являясь исключением, содержала целый рассадник самых разных представителей вредоносного сообщества. В качестве эксперимента было решено потестить имеющиеся на борту ESET Smart Security 4.0.424.0 (сигнатуры от 12.06.2009) и AVZ 4.30 (обновлялся сегодня). Из 26 показавшихся мне подозрительными: ESET "убил" 23; AVZ "добил" ещё двоих. Но вот один остался нетронут. Вместе с autorun.inf. Отправляю файл obsuuk.exe на "virustotal" и в "Лабораторию Касперского", но результатом не доволен - вредоносный код не обнаружен. Открываю "Свойства" файла, без всякой надежды на получение дополнительной информации, во "Внутреннем имени" обнаруживаю значение "CSRCS.Exe", которое уж больно напоминает "csrss.exe". Размер файла - 889 263 байт, великовато для вируса. Эксперимент продолжается. Запускаю подозрительный файл. Не проходит и минуты, как файервол ESET'a успешно блокирует "Detected ICMP Flooding attack" от приложения "CSRCS.Exe" (жаль адресок не запомнил). Создаю правило-запрет. Бегло просматриваю жесткий диск на наличие новых файлов. В корневой директории появился "новенький" размером 0 байт со случайно сгенерированным названием и расширением. Подключаю артиллерию - AVZ, который указывает на то, что произведена модификация explorer.exe (на запуск "CSRCS.Exe") и что этот самый файл может работать с сетью. Удаляю с чисткой всех ссылок на этот файл в системе. Перезапуск. Ошибка "файл CSRCS.Exe не найден" при запуске. Забыл пофиксить explorer.exe. При помощи AVZ устраняем и эту проблему. Перезапуск. Проверка. Всё нормально. Отправляю файлы на анализ и в ESET и автору AVZ. Чуть позже ESET обнаруживает "проблемный" файл по адресу system32\drivers\vdcxmtc.sys, который успешно помещается в карантин.

Ещё одной победой больше:) Будьте бдительны:)

---

Source: [https://yvision.kz/post/novoe-chudo-s-fleshki-10802](https://yvision.kz/post/novoe-chudo-s-fleshki-10802)