Про вирус aadrive32.exe

На прошлой неделе нарвался на вирус, от которого еле избавился. Самое интересное, что антивирус был установлен, поэтому я даже не помню, когда последний раз подцеплял какую-то подобную гадость. На момент заражения ни Nod32, ни Avira, ни LiveCD drWeb’а этот вирус не признавали (хотя Avira ругался на следы жизнедеятельности этой твари). По реакции сайта virustotal.com оказалось, что еще несколько дней назад, эту гадость ловили только каждый четвертый антивирус (в их числе, кстати, были Касперский и Comodo). Вчера количество антивирусов, которые этот вирус ловили, уже заметно возросло, но Nod32, например, еще вчера еще пропускал.

Симптомы

Этот вирус распространяется через флешки, стоит их вставить в зараженный комп (или даже примонтировать какой-нибудь образ, например, из TrueCrypt), как вирус делает следующее:

• Создает на флешке папку Recycler (якобы корзину), куда копирует свой exe-шник, судя по всему со случайным именем.
• Все папки, находящиеся в корне флешки, делает скрытыми и системными.
• Вместо папок создает ярлыки (*.lnk) с теми же именами, но суть их состоит в том, что при попытке их открыть будет не просто открыта папка, а будет запущен вирус из корзины (потом может быть нужная папка и откроется, запускать ярлык я не пробовал, но имя открываемой папки вирусу передается через командную строку).
• В завершение всего создается файл autorun.ini в корне флешки, причем этот файл содержит какие-то бинарные данные.

Зараженный компьютер можно опознать по следующим признакам:

• В списке процессов есть процесс aadrive32.exe (по крайней мере Process Explorer его без труда показывает и прибивает.
• В папке windows расположен файл aadrive32.exe. Если этот файл удалить, то он восстановится во время следующей загрузки системы.
• В папке windows\system32 есть файлы вида 14.exe, 38.exe и т.п. Что это за файлы я не понял, потому что после их удаления они не восстанавливаются.
• В папке Documents and Settings\USERNAME\Application Data (под Windows XP, не помню, как эта папка называется под Windows 7) расположены файлы 3.tmp, 4.tmp и т.п. Эти файлы восстанавливаются после перезагрузки. Именно на них и ругался Avira, хотя в тот момент на основные файлы вирусов он не реагировал.
• В одной из подпапок папки Recycler есть подозрительный exe-шник.
• В папке Documents and Settings\USERNAME\Application Data расположен еще один файл *.exe (его имя скорее всего будет случайным). Причем этот файл я не видел под Windows (даже во FreeCommander’е, не говоря уж про проводник), а заметил, когда перезагрузился под Linux’ом.
• С зараженного компьютера невозможно открыть сайты антивирусов и сайт virustotal.com. Причем, вирус как-то хитро блокирует эти сайты, а не просто добавляет свои записи в hosts.

Лечение

Избавиться от вируса можно довольно легко, если есть загрузочный диск с Linux’ом. Для этого после загрузки (например, с Live CD) нужно:

• Удалить файлы *.exe и *.tmp из Documents and Settings\USERNAME\Application Data.
• Удалить файлы вида 14.exe, 38.exe и т.п. из windows\system32.
• Удалить файл windows\aadrive32.exe.
• Удалить все подозрительные файлы из папки c:\Recycler. Там внутри будут папки вида S-1-5-21-1229272821-1390067357-839522115-1003, по ним надо пройтись, хотя можно грохнуть прям эти папки, если у вас в Корзине не лежит ничего ценного.

После этого перезагружаемся в винду (вирус уже не должен запускаться, можете для проверки зайти, например, на сайт Касперского, если сайт открывается, значит, вирус побежден), и можно почистить реестр от следов вируса. Самое простое – это запустить файл regedit и поудалять все записи, где содержится строка aadrive32.exe.

В реестре ссылка на aadrive32.exe будет как минимум в ветках:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver и

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup.

После этого радуемся, что вирус побежден, до момента, пока не попадется следующая зараза. Или переходим на Linux

Эта запись у меня в блоге