LINUX.ORG.RU
ФорумSecurity

Поднимая тему про runauto..


0

0

Доброго времени суток.

когда-то уже поднимал этот вопрос, вариантов было несколько, но ничего не помогло. Вообщем есть флешка с fat32. Побывав в зараженной этой вирусякой машинке, на ней появляются файл autorun.inf и папка runauto.. При вставке в виндовую машинку, если не отключен автозапуск, из autorun.inf запускается вирусяка, лежащая в папке runauto.. Команда запуска выглядит типа runaut~1\тело_вирусяки (точно не помню, но по такому типу. Хотя в проводнике эта папка видится как runauto.. При попытке в нее просто зайти, ругается, что нет такого файла. Ладно, как удилять ее из виндовой консоли я нашел- rd runaut~1 /s /q А вот вопрос, как ее удалить из под линукса. Пока я решение не могу найти.

ls -l говорит так (вывод пары нормальных файлов и директорий и этой неудаляемой)

drwxrwxrwx 2 deys root 32768 Авг 12 12:47 Ferm

drwxrwxrwx 4 deys root 32768 Июн 23 11:08 NOD

-rwxr-xr-x 1 deys root 34045136 Авг 24 17:43 Nokia_PC_Suite_7_1_30_9_rus_web.exe

d????????? ? ? ? ? ? runauto..

вот он последний злодей. Тоесть ни даты создания, ни прав доступа на него нет.

если напать так (run [Tab] дописывает назвние) ls -l ./runauto..

ls: невозможно получить доступ к ./runauto..: Нет такого файла или каталога

если попытаться сделать cd run[Tab], то дописывание уже не работает

если так, то:

cd ./runauto.. bash: cd: ./runauto..: Нет такого файла или каталога

rm runauto.. rm: невозможно удалить `runauto..': Нет такого файла или каталога

chmod 777 runauto.. chmod: невозможно получить доступ к `runauto..': Нет такого файла или каталога

вопрос - как удалить такой файл из под линукса? А то искать виндовую машину как-то не прикольно, чтоб удалить одну папку

★★★

Ответ на: комментарий от Xenius

dosfsck ничего критического не находит. А если еще и с параметром -l запускать, то про эту папку вот такое выводит

Checking file /runauto../.

Checking file /runauto../..

deys ★★★
() автор топика
Ответ на: комментарий от Deleted

не - всеравно такая же фигня

for i in run*; do rm -vir "${i}"; done

rm: невозможно удалить `runauto..': Нет такого файла или каталога

deys ★★★
() автор топика
Ответ на: комментарий от deys

наткнулся в поиске, но это касательно винды. Попробовал, из под линукса на флешке (с фатом) создать папку с двумя точками в конце - не дает!

Почему не удается удалить папку «runauto..»

Папку runauto.. нельзя удалить потому, что по «Соглашению об именованиях», имя файла или каталога не может содержать «.» (точку).

Поэтому папки «runauto.», «runauto..» и «runauto...» ни создать, ни удалить штатными средствами Windows не удастся. Для этого нужно исхитриться.

Например, папку «runauto.» можно создать командой mkdir .\runauto..\

Папку «runauto..» можно создать командой mkdir .\runauto...\

Папку «runauto...» можно создать командой mkdir .\runauto....\

http://netler.ru/pc/runauto.htm

deys ★★★
() автор топика
Ответ на: комментарий от deys

Можно попробовать написать программу на пару строк, которая прочитает настоящее название файла с помощью readdir и сделает на него unlink. Если и это не пройдёт, значит на флешке как-то хитро исковеркана структура FAT.

Самый простой выход - перенести важные файлы и отформатировать флешку =).

Deleted
()

> Команда запуска выглядит типа runaut~1\тело

Попробуй dos?

А вообще, удали файл autorun.inf и создай файл autorun.inf/com3

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

ребят, да из виндовой командной строки он спокойно удаляется командой rd runaut~1 но дело в том, что у меня рабочая машинка под линуксом, а с такими флешками не редко приходят и просят удалить такие люди, которые слова командная строка не то что не слышали, а еще и пугаются. Приходится либо к ним топать, либо искать ближайшую ХРюшку. Вопрос то собственно как грохнуть из под линукса...

deys ★★★
() автор топика
Ответ на: комментарий от sin_a

а если там двух-четырех-восьми гиговая флешка, забитая кучей мелких файлов? Долго это будет:(

deys ★★★
() автор топика
Ответ на: комментарий от deys

делай образ флешки, выкладывай, будет тебе команда

x905 ★★★★★
()

действительно, метров на 10-15 образ в FAT с проблемным файлом выложи...

sda00 ★★★
()
Ответ на: комментарий от Deleted

ну образ теперь ток в понедельник выложу. И такая фигня не только с фатом, а и с нтфс тоже. Дома на ноуте стоит ХР. Решил поэкспериментировать вообще с с такими кривыми именами папок с точками в конце. из командной строки создается по вышеуказаной досовкой команде без проблем такие файлы. Так же и удаляются, если с ~1. (эксперименты делал на винте с нтфс и флешке с фат32). В эту папку спокойно можно скопировать файл, если опять же путь по хитрому указать. Открыть или этой папки файл тоже можно, если так же по хитрому указывать полный путь к файлу (собственно вирусяка эта флешечкая так из авторун_инф и запускается, с указанием полного пути runaut~1\virus.exe). Но ни средствами винды, ни с командной строки в такую папочку зайти нельзя, переименовать и удалить тоже нельзя. Зато с помощбю Far Manager уже можно более хитрые операции делать. Можно любую папку переименовать в такую с точками на конце и можно обратно. Соответственно, когда она будет с точками, то в нее нельзя ни зайти, ни удалить, да и вообще ничего сделать обычными средствами. Причем опять же у меня два фара - один 1.70 build 2087 второй 2.0 build 1013 x86 (не помню точно где его нашел). С помощью 1.7 далеко не все манипуляции с таким файлом можно делать, а вот с помощью 2.0 влегкую переиминовать "папка" в "папка..." и обратно можно. Соответственно в "папка..." уже войти никак не получается, даже самим фаром. с помощью 2.0 можно вернуть в нормальный вид или спокойно удалить. Так что в поисках решения одной проблемы найден легкий способ скрыть от посторонних глаз то, что не хочется показывать:)

ЗЫЖ.. по поводу того, что делать в линукск, вопрос отстется в силе

deys ★★★
() автор топика
Ответ на: комментарий от Xenius

mc не понимает такое, к сожалению, а вот через FreeDOS с виртуалки не пробовал. Вайновский cmd вообще не видет такую папку. Виндовый cmd из под вайна не зупускается. С ФриДОС до понедельника испробовать не смогу

deys ★★★
() автор топика
Ответ на: комментарий от deys

А, еще DOSemu и DOSBox есть.
Все же нужен бы образ. Получить можно, почистив нулями любую флэшку, сделав там mkdosfs -I /dev/sdX и воткнув в зараженный комп. Тогда можно будет образ сжать гзипом и получить небольшой файл. Еще можно просто сделать на флэшке раздел порядка (размер трояна + авторан) * 1,5, его обнулить и mkfs-нуть. Тогда можно, если флэшка большая, сохранять только ее начало и восстанавливать.

Xenius ★★★★★
()
Ответ на: комментарий от deys

Провел эксперимент. rmdir RUNAUT~1 прекрасно удаляет зловредную директорию. Досбокс тоже удаляет.
Ещё проще это делается, если монтировать с -t msdos
Но вот, как удалить файл TST.. пока не придумал.
Получал файлы следущим образом:
dd if=/dev/zero of=test.img bs=512 count=128
/sbin/mkdosfs test.img
mount test.img /mnt
mkdir runautoxx
mkdir tstxx
umount /mnt
khexedit test.img # заменить xx на ..
Вот результат:
% gzip -c test.img | base64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Xenius ★★★★★
()
Ответ на: комментарий от isden

как вариант: можно поправить имя файла на флешке с помощью hexedit, а затем удалить

x905 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security