Ostatnio spotkałem się z problemem usunięcia śmieci po W32.Downadup.B na serwerze Windows 2008. Problem w sumie to za duże słowo jednak trochę zepsuł mi krwi.
W systemach, które obserwuje robaczek głównie rozprzestrzenia się poprzez „domowe” pendriv-y, które przekazywane z ręki do ręki potrafią zarobaczyć kilka stacji. Zainfekowana stacja tworzy na wszystkich dyskach głównych (do których ma prawo zapisu) pliczek „autorun.inf” oraz ukryte katalogi „RECYKLER\S-5-3-42-2819952290-8240758988-879315005-3665\”, do którego trafia pliczek „jwgkvsq.vmx”. Robaczek uruchamia się po wejściu na dany dysk przez explorator Windows, który domyślnie uruchamia autorun-a, ten zaś stara się uruchomić bibloteke ukrytą pod nazwą pliku jwgvsq.vmx (Open=RUNDLL32.EXE .\RECYCLER\...\jwgvsq.vmx).
Jak wcześniej wspomniałem robak mnoży się poprzez dyski , na których może zapisywać w katalogu głównym. Dotyczy to dysków lokalnych, pendrivów, udostępnionych udziałów zamapowanych jako root. I właśnie zamapowane udziały serwera stworzyły największy problem, mimo że sam serwer nie jest zainfekowany pliki pozostawione przez robaczka są trudne do usunięcia.
Nie będę tutaj się rozwodził jakim cudem plik robaka przeszedł przez skanery antywirusowe bo to oddzielny temat :/. Tak czy inaczej trzeba te śmieci usunąć, czyli logowanie jako admin i usuwamy "autorun.inf" w katalogu głównym a dalej ukryty katalog z dll-ką i tu pojawia się niespodzianka Access „Destination Folder Access denied” i tu troszke się zdziwiłem przecież „Admin może wszystko” …
Przyglądając się naszemu plikowi widać , że ustawione uprawnienia umożliwiają dostęp do odczytu i wykonania dla „wszystkich” natomiast reszta praw jest odebrana nawet dla właściciela co uniemożliwia ingerencje w prawa NTFS .
Aby do niego się dobrać należy przejąć plik na własność (Properties->Security->Advanced->Owner->Edit->Administrators Ok). Będąc właścicielem pliku możemy już manipulować prawami NTFS, więc możemy nadać sobie lub wszystkim prawo do jego usunięcia (np. dla wszystkich Properties->Security->Edit->Modify ). Po korekcie praw możemy pliczek usunąć.
Podobnie należy postąpić z katalogiem S-5-3-42-2819952290-8240758988-879315005-3665. I Na koniec usuwamy folder „RECYCLER”.
Należy pamiętać że operowanie na zawirusowanym katalogu z exploratora jest ryzykowne, dlatego też proponował bym tego typu tematy załatwiać z command prompt-a (okno poleceń). Od strony okna poleceń operacja wyglądała by następująco:
Wersja dłuższa:
(uwaga cacls nie jest już wspierany )
Otwieramy okno poleceń, przechodzimy do katalogu gdzie jest plik autorun.inf, i go usuwamy – d:\del autorun.inf.
Przechodzimy do katalogu z plikiem jwgvsq.vmx – d:\cd RECYKLER\S-5-3-42-2819952290-8240758988-879315005-3665\ (użycie tab podpowie przydługą nazwę).
Przejmujemy plik – takeown /f jwgkvsq.vmx.
Nadajemy sobie prawa do pliku – d:\cacls jwgkvsq.vmx /e /p Administrators:F.
Usuwamy plik – d:\del jwgkvsq.vmx.
Wykonujemy te same operacje do katalogu S-5-3-42-2819952290-8240758988-879315005-3665.
Wersja krótsza:
Administratorzy przejmują na własność pliki i foldery w interesującej nas lokalizacji – d:\takeown /f RECYCLER /r /a
Nadajemy prawo modyfikacji administratorom – d:\icacls RECYCLER /t /Grant Administrators:(OI)(CI)M
Usuwamy wszystko – d:\rmdir RECYCLER /s
Przedstawiony tutaj sposób kasowania "trudnych" plików dotyczy systemów klienckich od Visty do 7 oraz systemów serwerowych od 2003 do 2008.
W32.Downadup.B więcej o robaku tu.
Więcej o takeown tu.
Więcej o icacls tu.
