«Little» - таку назву має у вірусу, який поширюється на знімних носіях в прихованій папці «portable». Написаний цей вірус на Visual Basic і має розмір в 188 КБ.
Може бути і не варто витрачати час на вивчення цього вірусу, написаного якимось школярем на факультативних заняттях інформатики, але потрібно віддати належне творцеві вірусу: зловмисник освоїв новий розділ реєстру [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]. До цього, юні автори вірусів знали тільки про існування розділу автозавантаження програм: [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]. Пізніше, школярі здогадалися використовувати ключ «Shell» для старту вірусів разом з програмою «explorer.exe».
Таким чином, вірус Little.exe при запуску копіюється в директорію «C: \ Users \ Test-PC \ AppData \ Roaming \», де виконуваного файлу присвоюється ім'я «insnts.exe». Варто відзначити, така поведінка вірусу властиво запуску в операційній системі Windows 7. У Windows XP шлях до файлу буде іншим, так як за замовчуванням в Windows XP користувач працює під правами адміністратора, відповідно, вірус отримає більше повноважень. Проте, даний вірус запустився під правами звичайного користувача в Windows 7 і прописався для запуску в доступному йому розділі системного реєстру.
Виявивши вірус в системі, я тут же спробував його видалити і забути про нього, але вірус просто так здаватися не збирався. У списку процесів вірус не відображався, але не дозволяв себе видалити простим видаленням, так як використовувався іншим процесом, а точніше «explorer.exe».
Друге, що я спробував зробити - це редагування ключа «Shell» гілки реєстру [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon], але вірус знову додавав шлях до виконуваного файлу вірусу в ключ реєстру «Shell».
Звичайно ж, якщо спробувати вивантажити зі списку процесів «explorer.exe», то файл вірусу «insnts.exe» можна видалити без проблем, але можна поступити більш цікавим способом, про що я розповім трохи нижче.
Як ми вже з'ясували, при запуску вірус прописується в системному реєстрі в розділі [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]:
Шкідлива програма змінила параметр ключа системного реєстру «Shell» з «explorer.exe» на «explorer.exe, C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe», тобто крім запуску «explorer.exe» при старті комп'ютера завантажиться також вірус. «Test-PC» тут означає ім'я облікового запису, логічним буде припустити, що ім'я облікового запису у вас буде відрізнятися, але суть від цього не зміниться.
Якщо ви не знаєте, під який обліковим записом ви працюєте або де знайти ключ «Shell», то відкрийте системний реєстр таким чином: натисніть клавіші «Win + R» і з'явиться вікно «Виконати».
Введіть в цьому вікні команду «regedit» і натисніть «OK». Тепер послідовно розкривайте гілки реєстру [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] і, виділивши гілка «Winlogon», праворуч ви побачите ключ реєстру «Shell».
Можете поекспериментувати з видаленням або зміною параметра ключа «Shell», проте вірус буде перевіряти наявність в параметрі ключа рядки «C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe». Якщо ви спробуєте змінити або додати будь-яку букву або символ в цей рядок, то вірус негайно продублює в параметр ключа «Shell» шлях до виконуваного файлу вірусу. При видаленні ключа «Shell», вірус моментально створює його знову. Що ж тоді робити, якщо неможливо відредагувати потрібний нам ключ?
Давайте напишемо простий Bat-файл. Отже, відкривайте Блокнот і напишіть в ньому наступні два рядки:
attrib -s -h -r C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe
Давайте розберемося з нашим зміненим параметром. В лапках у нас знаходиться шлях до написаного нами Bat-файлу. Далі після коми йде запуск програми «explorer.exe», потім знову йде кома і прямий слеш, а вже тільки після нього шлях до вірусу «Little.exe».
Що ж тут відбувається і чому вірус тепер нічого не змінює? Відповідь проста: перед шляхом до виконуваного файлу ми додали прямий слеш, і вірус не помітив ніяких змін.
Другий рядок вже видаляє файл, з якого ми прибрали атрибути. Видалення відбувається за допомогою команди «del». Щоб комп'ютер знав, який саме файл потрібно видалити, команді «del» ми повідомляємо повний шлях до файлу.
Якщо зараз запустити наш файл «DelLittle.bat», то нічого не станеться, так як файл зайнятий додатком «explorer.exe». Тому ми змінили параметр ключа «Shell» таким чином: «D: \ DelLittle.bat, explorer.exe, / C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe».
При старті комп'ютера спочатку запуститься створений нами «DelLittle.bat» і тільки потім «explorer.exe», а файл вірусу не запуститься, так як ми поставили прямий слеш після коми. Будьте уважні, якщо ви поставите слеш перед коми, то програма «explorer.exe» не запуститься, і ви побачите тільки чорний екран. Хоча нічого страшного не станеться, вірус буде видалений. Тому важливо правильно поставити прямий слеш, щоб вірус не зміг запуститися, а так як все що знаходиться праворуч від слеша, буде вважатися додатковим параметром. Розумним буде припустити, що у програми «explorer.exe» немає параметра «C: \ Users \ Test-PC \ AppData \ Roaming \ insnts.exe», значить, нічого і не станеться.
Після цих маніпуляцій перезавантажуємо комп'ютер. Після включення комп'ютера ми можемо переконатися у відсутності файлу «insnts.exe» в папці «C: \ Users \ Test-PC \ AppData \ Roaming \». Нам залишається тільки підправити параметри ключа «Shell» належним чином. Видаляйте все крім «explorer.exe». Це означає, що в параметрі ключа не повинні бути ніякі коми, ніякі слеші, а тільки програма Провідник «explorer.exe».
На цьому можна поставити величезну точку, точніше натиснути кнопку «Enter» після редагування параметра ключа «Shell».