usbcash.exe или вирус под Linux? (алярм! :))

[FlySnake]

По порядку:
Имеется мой комп на сусе 10.3 и корпоративная файл-помойка на винде. На файл-помойке расшарены папки и примонтированы у меня с помощью cifs.
Имеется рабочая флешка, которую переодически приходится тырчить в завирусованые клиентские машины, посему регулярно её форматирую.
И вот отформатировал флешку. вытащил,никуда больше не совал, потом опять сунул в свой комп и обнаружил там usbcash.exe и Autorun.inf который естественно ссылается открывать usbcash.exe. Тихо офигел, но не стал разбиратся.
Сейчас нашел эти самые usbcash.exe и Autorun.inf в ~. Удалил.
Полазил немного по файл-помойке крусадером и вновь у меня в домашнем каталоге появились эти usbcash.exe и Autorun.inf. Удалил, полазил - фокус повторился.
Покуда эта гадость лежит в ~ то оно копируется на флешки.

Код:

worklinux:/home/flysnake # ps -e PID TTY TIME CMD 1 ? 00:00:03 init 2 ? 00:00:00 kthreadd 3 ? 00:00:00 migration/0 4 ? 00:00:02 ksoftirqd/0 5 ? 00:00:00 migration/1 6 ? 00:00:02 ksoftirqd/1 7 ? 00:00:08 events/0 8 ? 00:00:15 events/1 9 ? 00:00:00 khelper 29 ? 00:00:00 kblockd/0 30 ? 00:00:00 kblockd/1 31 ? 00:00:00 kacpid 32 ? 00:00:00 kacpi_notify 134 ? 00:00:00 cqueue/0 135 ? 00:00:00 cqueue/1 136 ? 00:00:00 kseriod 163 ? 00:00:07 kswapd0 164 ? 00:00:00 aio/0 165 ? 00:00:00 aio/1 394 ? 00:00:00 kpsmoused 401 ? 00:00:00 kondemand/0 402 ? 00:00:00 kondemand/1 453 ? 00:00:19 ata/0 454 ? 00:00:33 ata/1 455 ? 00:00:00 ata_aux 462 ? 00:01:26 scsi_eh_0 463 ? 00:00:00 scsi_eh_1 464 ? 00:00:00 scsi_eh_2 465 ? 00:00:00 scsi_eh_3 576 ? 00:00:00 ksuspend_usbd 579 ? 00:00:00 khubd 1072 ? 00:00:05 kjournald 1135 ? 00:00:00 udevd 1867 ? 00:00:05 kjournald 2150 ? 00:00:00 kauditd 2218 ? 00:00:04 dbus-daemon 2231 ? 00:00:00 resmgrd 2246 ? 00:00:00 syslog-ng 2249 ? 00:00:00 klogd 2259 ? 00:00:00 acpid 2279 ? 00:00:00 console-kit-dae 2342 ? 00:00:07 hald 2343 ? 00:00:00 hald-runner 2426 ? 00:00:01 hald-addon-inpu 2433 ? 00:00:00 hald-addon-acpi 2452 ? 00:01:37 hald-addon-stor 2461 ? 00:00:00 kdm 2888 ? 00:00:06 nmbd 2893 ? 00:00:00 portmap 2935 ? 00:00:01 rpc.idmapd 2952 ? 00:00:00 cifsoplockd 2953 ? 00:00:00 cifsdnotifyd 2961 ? 00:00:03 cifsd 3038 ? 00:00:00 auditd 3040 ? 00:00:00 audispd 3058 ? 00:00:00 avahi-daemon 3094 ? 00:00:00 rpc.mountd 3103 ? 00:00:00 rpc.statd 3123 ? 00:00:00 lockd 3124 ? 00:00:00 rpciod/0 3125 ? 00:00:00 rpciod/1 3149 ? 00:00:00 nfsd4 3150 ? 00:00:00 nfsd 3151 ? 00:00:00 nfsd 3152 ? 00:00:00 nfsd 3153 ? 00:00:00 nfsd 3391 ? 00:00:01 master 3428 ? 00:00:00 qmgr 3541 ? 00:00:08 httpd2-prefork 3546 ? 00:00:00 httpd2-prefork 3547 ? 00:00:00 httpd2-prefork 3548 ? 00:00:00 httpd2-prefork 3549 ? 00:00:00 httpd2-prefork 3550 ? 00:00:00 httpd2-prefork 3578 ? 00:00:00 avahi-dnsconfd 3601 ? 00:00:00 cron 3620 ? 00:00:00 cupsd 3627 ? 00:00:04 nscd 3656 ? 00:00:00 powersaved 3695 ? 00:00:00 smartd 3698 ? 00:00:00 sshd 3716 ? 00:00:00 smbd 3728 ? 00:00:00 smbd 3729 ? 00:00:00 xinetd 3748 tty1 00:00:00 mingetty 3749 tty2 00:00:00 mingetty 3750 tty3 00:00:00 mingetty 3751 tty4 00:00:00 mingetty 3753 tty5 00:00:00 mingetty 3755 tty6 00:00:00 mingetty 6746 ? 00:00:17 gpg-agent 11508 ? 00:00:00 sh 11509 ? 00:00:08 appserverclient 12289 ? 00:00:00 httpd2-prefork 12290 ? 00:00:00 httpd2-prefork 12300 ? 00:00:00 httpd2-prefork 12301 ? 00:00:00 httpd2-prefork 12302 ? 00:00:00 httpd2-prefork 12340 ? 00:00:05 konqueror 12672 ? 00:00:00 firefox 12677 ? 00:02:57 firefox 12679 ? 00:00:00 gconfd-2 12811 ? 00:00:00 pickup 12854 ? 00:00:00 kio_http 13005 ? 00:00:00 kio_file 13077 ? 00:00:00 konsole 13078 pts/1 00:00:00 bash 13097 pts/1 00:00:00 su 13100 pts/1 00:00:00 bash 13115 ? 00:00:00 kio_http 13116 ? 00:00:00 kio_http 13117 ? 00:00:00 kio_http 13118 ? 00:00:00 kio_http 13119 ? 00:00:00 kio_http 13120 pts/1 00:00:00 ps 23954 tty7 00:50:39 Xorg 23955 ? 00:00:00 kdm 23980 ? 00:00:00 kde 24040 ? 00:00:00 ssh-agent 24043 ? 00:00:00 dbus-launch 24044 ? 00:00:01 dbus-daemon 24083 ? 00:00:00 start_kdeinit 24084 ? 00:00:00 kdeinit 24087 ? 00:00:03 dcopserver 24089 ? 00:00:01 klauncher 24091 ? 00:00:25 kded 24096 ? 00:00:00 kwrapper 24098 ? 00:00:00 ksmserver 24101 ? 00:00:13 kdesktop 24103 ? 00:00:45 kicker 24114 ? 00:02:04 kget 24116 ? 00:00:02 knotes 24119 ? 00:01:26 akregator 24120 ? 00:01:40 pidgin 24122 ? 00:00:10 knotify 24137 ? 00:00:01 fusion-icon 24154 ? 00:00:01 kxneur 24156 ? 00:00:00 kmix 24179 ? 00:00:01 korgac 24209 ? 00:04:51 xneur 24304 ? 00:00:00 kdesud 24371 ? 00:06:11 compiz 24372 ? 00:00:59 emerald 24457 ? 00:00:35 krusader 24579 ? 00:00:01 kio_uiserver 25719 ? 00:00:00 pdflush 26189 ? 00:00:00 pdflush worklinux:/home/flysnake # worklinux:/home/flysnake # ps -e PID TTY TIME CMD 1 ? 00:00:03 init 2 ? 00:00:00 kthreadd 3 ? 00:00:00 migration/0 4 ? 00:00:02 ksoftirqd/0 5 ? 00:00:00 migration/1 6 ? 00:00:02 ksoftirqd/1 7 ? 00:00:08 events/0 8 ? 00:00:15 events/1 9 ? 00:00:00 khelper 29 ? 00:00:00 kblockd/0 30 ? 00:00:00 kblockd/1 31 ? 00:00:00 kacpid 32 ? 00:00:00 kacpi_notify 134 ? 00:00:00 cqueue/0 135 ? 00:00:00 cqueue/1 136 ? 00:00:00 kseriod 163 ? 00:00:07 kswapd0 164 ? 00:00:00 aio/0 165 ? 00:00:00 aio/1 394 ? 00:00:00 kpsmoused 401 ? 00:00:00 kondemand/0 402 ? 00:00:00 kondemand/1 453 ? 00:00:19 ata/0 454 ? 00:00:33 ata/1 455 ? 00:00:00 ata_aux 462 ? 00:01:27 scsi_eh_0 463 ? 00:00:00 scsi_eh_1 464 ? 00:00:00 scsi_eh_2 465 ? 00:00:00 scsi_eh_3 576 ? 00:00:00 ksuspend_usbd 579 ? 00:00:00 khubd 1072 ? 00:00:05 kjournald 1135 ? 00:00:00 udevd 1867 ? 00:00:05 kjournald 2150 ? 00:00:00 kauditd 2218 ? 00:00:04 dbus-daemon 2231 ? 00:00:00 resmgrd 2246 ? 00:00:00 syslog-ng 2249 ? 00:00:00 klogd 2259 ? 00:00:00 acpid 2279 ? 00:00:00 console-kit-dae 2342 ? 00:00:07 hald 2343 ? 00:00:00 hald-runner 2426 ? 00:00:01 hald-addon-inpu 2433 ? 00:00:00 hald-addon-acpi 2452 ? 00:01:37 hald-addon-stor 2461 ? 00:00:00 kdm 2888 ? 00:00:06 nmbd 2893 ? 00:00:00 portmap 2935 ? 00:00:01 rpc.idmapd 2952 ? 00:00:00 cifsoplockd 2953 ? 00:00:00 cifsdnotifyd 2961 ? 00:00:03 cifsd 3038 ? 00:00:00 auditd 3040 ? 00:00:00 audispd 3058 ? 00:00:00 avahi-daemon 3094 ? 00:00:00 rpc.mountd 3103 ? 00:00:00 rpc.statd 3123 ? 00:00:00 lockd 3124 ? 00:00:00 rpciod/0 3125 ? 00:00:00 rpciod/1 3149 ? 00:00:00 nfsd4 3150 ? 00:00:00 nfsd 3151 ? 00:00:00 nfsd 3152 ? 00:00:00 nfsd 3153 ? 00:00:00 nfsd 3391 ? 00:00:01 master 3428 ? 00:00:00 qmgr 3541 ? 00:00:08 httpd2-prefork 3546 ? 00:00:00 httpd2-prefork 3547 ? 00:00:00 httpd2-prefork 3548 ? 00:00:00 httpd2-prefork 3549 ? 00:00:00 httpd2-prefork 3550 ? 00:00:00 httpd2-prefork 3578 ? 00:00:00 avahi-dnsconfd 3601 ? 00:00:00 cron 3620 ? 00:00:00 cupsd 3627 ? 00:00:04 nscd 3656 ? 00:00:00 powersaved 3695 ? 00:00:00 smartd 3698 ? 00:00:00 sshd 3716 ? 00:00:00 smbd 3728 ? 00:00:00 smbd 3729 ? 00:00:00 xinetd 3748 tty1 00:00:00 mingetty 3749 tty2 00:00:00 mingetty 3750 tty3 00:00:00 mingetty 3751 tty4 00:00:00 mingetty 3753 tty5 00:00:00 mingetty 3755 tty6 00:00:00 mingetty 6746 ? 00:00:17 gpg-agent 11508 ? 00:00:00 sh 11509 ? 00:00:09 appserverclient 12289 ? 00:00:00 httpd2-prefork 12290 ? 00:00:00 httpd2-prefork 12300 ? 00:00:00 httpd2-prefork 12301 ? 00:00:00 httpd2-prefork 12302 ? 00:00:00 httpd2-prefork 12340 ? 00:00:05 konqueror 12672 ? 00:00:00 firefox 12677 ? 00:03:38 firefox 12679 ? 00:00:00 gconfd-2 12811 ? 00:00:00 pickup 13005 ? 00:00:00 kio_file 13077 ? 00:00:00 konsole 13078 pts/1 00:00:00 bash 13097 pts/1 00:00:00 su 13100 pts/1 00:00:00 bash 13244 pts/1 00:00:00 ps 23954 tty7 00:52:00 Xorg 23955 ? 00:00:00 kdm 23980 ? 00:00:00 kde 24040 ? 00:00:00 ssh-agent 24043 ? 00:00:00 dbus-launch 24044 ? 00:00:01 dbus-daemon 24083 ? 00:00:00 start_kdeinit 24084 ? 00:00:00 kdeinit 24087 ? 00:00:03 dcopserver 24089 ? 00:00:01 klauncher 24091 ? 00:00:25 kded 24096 ? 00:00:00 kwrapper 24098 ? 00:00:00 ksmserver 24101 ? 00:00:13 kdesktop 24103 ? 00:00:46 kicker 24114 ? 00:02:04 kget 24116 ? 00:00:02 knotes 24119 ? 00:01:26 akregator 24120 ? 00:01:40 pidgin 24122 ? 00:00:10 knotify 24137 ? 00:00:01 fusion-icon 24154 ? 00:00:01 kxneur 24156 ? 00:00:00 kmix 24179 ? 00:00:01 korgac 24209 ? 00:05:03 xneur 24304 ? 00:00:00 kdesud 24371 ? 00:06:25 compiz 24372 ? 00:01:00 emerald 24457 ? 00:00:42 krusader 24579 ? 00:00:01 kio_uiserver 25719 ? 00:00:00 pdflush 26189 ? 00:00:00 pdflush

Если для темы есть более подходящий раздел - на суд модерам

[devilr]

Ну, если exe, то вряд ли для linux.
А вообще, если есть вайн - то надо бы посмотреть, куда какие "диски" смотрят.
cifs, насколько я помню - продолжатель samba? Может и ваш домашний каталог открыт для записи наружу?

[FlySnake]

фича в том, что сам файл исполняемый виндовый и вредит винде, а тут он не вредит а только размножается, что уже есть вирус
cifs = common internet file system, применяется для монтирования сетевых шар (не только самбовских). доступа из сети на запись нету, посему подозрение что какая-то гадость сидит у меня локально. вобщем тенденция очень не нравится мне эта

[Nymin]

какой нибудь антивирус пробовали?

[FlySnake]

какой нибудь антивирус пробовали?

нет ещё

[yaleks]

удалить WINE тогда перестанет запускаться

[drBatty]

usbcash.exe и Autorun.inf

у меня был этот вирус. дети в мп3 плеере принесли. В среди виндовс скачал спец утилитку, покилял. Сейчас стоит там NOD32, он сам киляет. В на моей машине файлы видел, но они не запускались. wine стоит, а вот всякие самбы и тп считаю злом великим, даже ребёнок может научится качать по фтп(это я проверил).

[devilr]

...а вот всякие самбы и тп считаю злом великим, даже ребёнок может научится качать по фтп(это я проверил).

Там ключевое слово было

корпоративная файл-помойка на винде

сомнительно, что кто-то там будет поднимать FTP

Локально вирус может разве что в wine сидеть. Вирус то явно для windows. Если ставить wine по умолчанию, то один из "дисков" будет указывать на ваш домашний каталог. А, так как wine запущено от вашего имени, то и пишет он туда - autorun как раз и показывает, что вирус видит направление записи как диск. Кстати, можно качнуть "лечащую утилиту drweb" и прогнать в wine - найдет и прибьет. Это НЕ реклама drweb - просто самое простое!

[FlySnake]

отказ от самбы неприемлим по многим причинам. но вайн тут вроде и непричем, ведь запускается не usbcash.exe (его нет в процесах, и вайна там вообще нет) а что-то другое. уходя вечером оставил сканить комп + все сетевые шары с помощью clamav, посмотрим завтра чего он унюхает

[FlySnake]

...а вот всякие самбы и тп считаю злом великим, даже ребёнок может научится качать по фтп(это я проверил).

Там ключевое слово было

корпоративная файл-помойка на винде

сомнительно, что кто-то там будет поднимать FTP

... а так же всю контору переводить на фтп, возится с монтированием фтп-шных шар и всё это из-за меня одного такого линуксоида которому вирусы не страшны более того я не админ тут. лучше посоветуйте сразу всю контору перевести на линукс и нфс

Локально вирус может разве что в wine сидеть. Вирус то явно для windows. Если ставить wine по умолчанию, то один из "дисков" будет указывать на ваш домашний каталог. А, так как wine запущено от вашего имени, то и пишет он туда - autorun как раз и показывает, что вирус видит направление записи как диск. Кстати, можно качнуть "лечащую утилиту drweb" и прогнать в wine - найдет и прибьет. Это НЕ реклама drweb - просто самое простое!

мысль. спасибо

[Ben Aceler]

...а вот всякие самбы и тп считаю злом великим, даже ребёнок может научится качать по фтп(это я проверил).

Там ключевое слово было

корпоративная файл-помойка на винде

сомнительно, что кто-то там будет поднимать FTP

Локально вирус может разве что в wine сидеть. Вирус то явно для windows. Если ставить wine по умолчанию, то один из "дисков" будет указывать на ваш домашний каталог. А, так как wine запущено от вашего имени, то и пишет он туда - autorun как раз и показывает, что вирус видит направление записи как диск. Кстати, можно качнуть "лечащую утилиту drweb" и прогнать в wine - найдет и прибьет. Это НЕ реклама drweb - просто самое простое!

Если у вас есть wine, вирус будет запускаться вместе с запуском любой программы.

[FlySnake]

clamav нашел 31 вирус и все на файл помойке - убил. не помогло
drweb находит его, прибивает но потом он всё равно вылазит
вижу единственный способ: снести вайн, вручную вычистить его каталоги, и установить заново

[drBatty]

вижу единственный способ: снести вайн, вручную вычистить его каталоги, и установить заново

я кстати помню подхватив вирус какой-то снёс вайн, а потом и каталоги, а затем поставил вайн на место - нормально.
ЗЫЖ ещё я на всякий на руткиты проверился, чисто.

[Portnov]

Ну самое надежное - rm -rf ~/.wine
А вообще, забавно. Называется, за что боролись, на то и напоролись

[drBatty]

А вообще, забавно. Называется, за что боролись, на то и напоролись

ну да. я подумал, что раз много лет я переустанавливал венду, почему бы не переставить вайн?
а что? просто и результативно

[devilr]

Кстати, я видел файл на windows, который, вирусом не являясь, устанавливал вирусы в корень дисков. Он, правда, светился в диспетчере задач, за что и был придушен руками.
Кстати, а какой смысл в удалении самого wine? Каталог ~/.wine еще есть смысл удалить, а сам wine... я думаю, что нет.

P.S. Вообще, в корпоративных файлопомойках чего только не увидишь. Не так давно dir видел... я уже и забыл, насколько он страшен был в свое время, этот dir. Про OneHalf уж и не говорю!

[drBatty]

Кстати, а какой смысл в удалении самого wine? Каталог ~/.wine еще есть смысл удалить, а сам wine... я думаю, что нет.

никакого. я просто подмал переставить "виндовс" и срыл вайн, уже потом догадался
стёр ~/.wine и поставил вайн обратно

[FlySnake]

P.S. Вообще, в корпоративных файлопомойках чего только не увидишь. Не так давно dir видел... я уже и забыл, насколько он страшен был в свое время, этот dir. Про OneHalf уж и не говорю!

тьфу-тьфу-тьфу не сталкивался с ними, и хорошо, наверное что-то очень страшное я так самое страшное что видел это Penetrator

[Ben Aceler]

P.S. Вообще, в корпоративных файлопомойках чего только не увидишь. Не так давно dir видел... я уже и забыл, насколько он страшен был в свое время, этот dir. Про OneHalf уж и не говорю!

тьфу-тьфу-тьфу не сталкивался с ними, и хорошо, наверное что-то очень страшное я так самое страшное что видел это Penetrator

Каждый год 26-го апреля виндовые админы рекомендуют не включать компьютер...

[/dev/random]

Каждый год 26-го апреля виндовые админы рекомендуют не включать компьютер...

А что, CIH ещё жив?!?

[devilr]

Каждый год 26-го апреля виндовые админы рекомендуют не включать компьютер...

А что, CIH ещё жив?!?

А куды ж он денется? Попадается еще! Тем более, что его - несколько модификаций.
Хотя сейчас мода на вирусы почти прошла - чтобы написать вирус, надо думать! Сейчас модно после 3-х уроков информатики написать трояна на VB.

[FlySnake]

Вылечился переустановив wine и почистив ~/.wine
Вот так даже маленький кусочек винды в линуксе может поймать вирус и доставить хлопоты

[inkvizitor68sl]

понимаю что мб не в тему, но в универе у нас бушует подобный вирус... при том люто бушует.... (МГУ-ПС если кто там ещё учиццо).

по причине обучения на специальности "Прикладная информатика" и долбанного дельфи (про Kylix попрошу не выражаться - он мёртв давно уже) приходиццо держать в вм варьке винду... естессна заразил этим же вирусом.

как вылечил - просканил всё авастом (поплевался на кучу файлов в D&S ) и нашёл заражённые файлы в %system%/system32, среди которых был amvo32.exe и ещё какой то экзешник (навскидку не вспомню). так вот - пока не вынес их из под безопасного - заражённые файлы на флешке респаунились и респаунились) . сами экзешники в процессах не висели и вообще вели себя как нормальные файлы....

сама сия фигня ничего по сути не делает. по идее она должна блокировать доступ к флешке.... но пользователям тунаров, наутилусов, да и даже банально эксплорера с деревом файлов на это пофиг.

обидно что распространяется оно просто лавинообразно(

[Ali1]

...
обидно что распространяется оно просто лавинообразно(

Видимо речь о Worm.Win32.AutoRun
Кроме %system%/system32 и autorun.inf оно есть еще и внутри System Volume Information.

[vbif]

Блин, сколько разных авторанов с флешки в последнее время развелось. А я когда-то сетоал, что у меня на винде с флешки автозапуск не работает (была XP SP1, авторан на флешку похоже придумали позже).

[--=Civil696=--]

Блин, сколько разных авторанов с флешки в последнее время развелось.

кстати да
после каждого похода в инст, с флешкой, на ней появляется нечто вроде

Код: Выделить всё

navi ~ $ cat /mnt/flash/autorun.inf
[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\\nvrsfk.dll,InstallM
shell\open\Default=1

nvrsfk.dll соответственно тоже прилагается...
интересно чё эта

[Bluetooth]

Блин, сколько разных авторанов с флешки в последнее время развелось.

кстати да
после каждого похода в инст, с флешкой, на ней появляется нечто вроде

Код: Выделить всё

navi ~ $ cat /mnt/flash/autorun.inf
[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\\nvrsfk.dll,InstallM
shell\open\Default=1

nvrsfk.dll соответственно тоже прилагается...
интересно чё эта

в инсте нет антивиря?))

[--=Civil696=--]

в инсте нет антивиря?))

честно говоря понятия не имею, как то внимания не обращал, я к компам подхожу раз в неделю, исключительно чтобы на один из них файлы с дз по информатике с флешки слить... для всей остальной деятельности свой eee pc таскаю

кстати как раз сегодня я этим и занимался, на моей флешке пополение

Код: Выделить всё

navi ~ $ cat /mnt/flash/autorun.inf
[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\desktop.dll,InstallM
shell\open\Default=1

так же имеются desktop.dll, netapi3m.dll и самопроизвольно появившаяся папка Recycled (в которой живут ctfmon.exe desktop.ini info2)

[Bluetooth]

в инсте нет антивиря?))

честно говоря понятия не имею, как то внимания не обращал, я к компам подхожу раз в неделю, исключительно чтобы на один из них файлы с дз по информатике с флешки слить... для всей остальной деятельности свой eee pc таскаю

кстати как раз сегодня я этим и занимался, на моей флешке пополение

Код: Выделить всё

navi ~ $ cat /mnt/flash/autorun.inf
[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\desktop.dll,InstallM
shell\open\Default=1

так же имеются desktop.dll, netapi3m.dll и самопроизвольно появившаяся папка Recycled (в которой живут ctfmon.exe desktop.ini info2)

дык снести это все и забыть

[Ali1]

С флешкой проблем нет - "снести это все и забыть ". А вот с вистой есть.

Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель в системной трее при старте операционной системы, и работает в фоновом режиме даже после закрытия всех программ пакета Microsoft Office, независимо от того, запускались ли программы Office XP.

и он битый.