создает %dir_name%.lnk делает папки скрытыми.
 

Как вы понимаете интрига раскрыта уже в названии темы. (если создал не в том разделе просьба к господам модерам перекинуть)
Имеет место такого рода лажа:
время от времени на различных компьютерах (общим количеством > 1000) наблюдается результат действия этой пакости.
Пакость проявляется следующим образом: папки становятся скрытыми, создаются ярлыки с названиями папок, в каталоге где все это происходит появляются файлы такого вида:
ярлыки в себе, естественно, содержат команду на запуск всей этой ереси (через "cmd").
Появляется эта гадость, как я уже упоминал, на совершенно случайных компах, у совершенно случайных пользователей, в случайной же папке (остальные остаются не тронутыми)


Ни один из файлов на virustotal[точка]com не распознан ни одним антивирусом как вирус.
Больше никакие следы в системе обнаружены не были, возможно не хватает прав обычным пользователям.
По настройке компов:
права у пользователя как у пользователя (не админские, не продвинутый пользователь);
права на запись у пользователей есть только в %userprofile% и на второй локальный диск (не являющийся %systemdrive%);
все *.exe которые попадают в %userprofile% прибиваются вне зависимости от того кем они являются не больше чем через 5 минут (кроме нескольких избранных, которым разрешено там находиться).

Да, этот вирус антивирусами не ловится (тело шифруется одним из файлов), я каждый месяц нахожу на приносимых флешках новую модификацию.
А где собственно вопрос?

WindowsNT, Если бы на флэшках, на флэшках оно побеждается быстренькой очисткой флэшки и восстановлением атрибутов файлов и папок.
А вот вопрос я задать и того... забыл...
Что это за хренотня и как с ней эффективно бороться?

вопрос еще один:
Не изменяет ли эта [вырезано цензурой] чего-то такого, что может не броситься в глаза?

С помощью SRP и других способов защиты.

А нам откуда знать?
Обратитесь в антивирусную компанию и поинтересуйтесь.

да заливал уже... и тем и другим и третьим. ответ у всех один: данный файл ни разу не вирус, как пострадаете обращайтесь снова. И милая улыбка, конечно...

ладно, будем ждать когда они наконец почешутся, а пока написал такую штучку.cmd, завтра закину через GP в шедуллер на исполнение каждые пять минут. Хоть последствия пользователям мозги дурить не будут, а пользователи соответственном мне.

Elven, классный скрипт. У меня на флешке лежат два линска на моунт трукриптовых вольюмов. Уже надоело после подобных самоавтивирусов типа ЗоркийГлаз из архива\карантина их подымать, а тут добрый дядя просто сносит.

ShaddyR, на текущий момент важно чтобы пользователь не дергал *.lnk, т.о. файлы, которые появляются вместе с ярлыками, остаются беззубыми. Ну и естественно логи вести чтобы потом на основании логов провести дополнительные проверки когда наконец-то антивирусописцы добавят этот шлак в список нехорошего файла.

Elven, Я Вам дал совет как избавиться от этой дряни.
Но вместо того что бы последовать ему Вы зачем-то изобретаете никому не нужный велосипед, зачем?

Lunar Wolf, SRP вариантом было бы, если бы не та жуткая груда софта, которую приходится использовать, который постоянно дописывается, изменяется, который работает на костылях, но который, мать его так, приходится использовать, потому что так сказал "глас свыше". Я бы сам с удовольствием создал белый список с двумя десятками программ, а на остальное - "лесом товагищи пользователи", но не могу. Потому и приходится, как Вы выразились, изобретать велосипед. Сорри, как-то сразу про это не отписался.

Elven, За все время использования SRP не было таких проблем, даже с самым кривым софтом.
Опишите проблемы связанные с SRP и софтом, какие ошибки возникают, а то складывается впечатления что Вы просто не работали с SRP.

В продакшене не пробовал, не разрешили начальники. Локально настраивал, и как для себя так оно вроде и очень даже замечательно, для пользователя было бы проблемнее, ну а про то что пользователи как им не запрещай все равно в какое-то гуано вляпаются:
- время от времени (от "раз в месяц" до "несколько раз в день") выходят обновления для одной из софтин. каждый пользователь должен их устанавливать самостоятельно посредством запуска EXE файла который естественно каждый раз разный, а уж о том куда каждый пользователь их складывает после скачивания это вообще отдельная песня, открыть же доступ на запуск любого файла например с диска D:, так смысл тогда вообще что-то настраивать?
- несколько программ которые управляются "из-за бугра" и к которым доступ есть буквально у трех или четырех человек. Как они изменяются я вообще без понятия, но то что изменяются - совершенно точно.
- наконец немаловажное: настраивать все это предстоит нам, а узкоспециальный софт ведут другие отделы.

начальников я убедить попробую, думаю раза с пятидесятого получится. Но для этого нужно настроить все вот это дело так, чтобы оно на 100.01% сработало правильно.

На предприятии на котором я работал у пользователей вообще проблем не было, а мне вот наскучило и пришлось уволиться :)

Я верно понимаю у Вас пользователи имеют права администратора на ПК?
Это не есть гуд.
В вашем случае будет достаточно сделать папку в которую сами пользователи писать не могут а с помощью GPO сделать копирования обновления в данную папку.
Все что остается пользователю это просто запустить exe
Скорее всего есть варианты и удобнее но я их сходу не придумал.
Вообще у разработчиков можно поинтересоваться возможностью sillent установки и msi пакета и сделать OU для развертывания обновлений.

В общем я не вижу особых проблем для использования SRP.

Lunar Wolf, . Апдейты ставятся на компьютеры на удаленных точках (на каждой от 2 до 10 машин) и на довольно дохлых каналах, в связи с чем файло заливается на один комп по FTP и уже оттуда забирается на остальные. Компьютеры ставились в разное время и потому живут с разными параметрами. Плохо представляю как заставить файл даже название которого трудно предсказать расбрасывался на разные компьютеры в разных подсетях, не говоря о том, что первые точки настраивались как попало, IP выдавались без всякой структуры и угадать что кому куда копировать - нет уж, увольте. По поводу silent mode, как и по поводу обновлений без участия пользователей - тот отдел который ведет эту программу утверждает что разработчики задумчиво чешут тыковки и многозначительно всматриваются в потолок вот уже третий если не четвертый год.

Elven, Тогда может стоит заняться сетью и компьютерами?
А то вместо основных дел Вы занимаетесь каким-то файлом.
Так же возможно использовать SRP для всех пользователей которые не работают с данным ПО, а когда разберетесь с остальным то займетесь оставшимися пользователями.
Насчет имени файлы то возможно придется качать его в ручную, вот и все.

Lunar Wolf, вообще не понял с какой стороны заниматься сетью и компьютерами. Приводить к общему виду все компы на всех точках? Вот это-то как далеко не основное. Подсети точек различаются только третьим октетом, какая разница если на одной точке первый компьютер висит на x.x.x.11 а на второй x.x.y.21? на работе сети как и самих компьютеров это никак не влияет.
С этим софтом необходимо работать приблизительно 75% всех пользователей, можно, конечно, для остальных нарисовать отдельную GP с SRP, и пожалуй с этого и начнем, может быть, но основной проблемы это не решит.

Зато не будет "само" запускаться из кэша ИЕ, %temp% и прочих флешек.
И вот ещё одно — да, слово "безопасность" является синонимом слова "ограничения", как ни крути.

Так, давайте отвлечемся от SRP и запуска EXE, вы, господа хорошие, так технично увели разговор в сторону, что я даже ввязался в спор. Изначальный был вопрос про гадские ярлыки в которых прописан запуск через CMD. Предлагаете мне запретить запуск пользователем CMD? Меня заживо сожрут сразу три отдела, а четвертый будет стоять наготове держа в руках дубины, а в ногах берцы с железными нашлепками.

WindowsNT, насчет запуска из кэша, темпов и странных источников - согласен, таки это можно даже сразу в продакшн как блэк-лист и часть проблем разом закроется. Спасибо.

Вы технично не замечаете, что ярлыки появляются в результате ЗАПУСКА исполняемого модуля зловредной программы, и этот запуск нужно ПРЕДОТВРАЩАТЬ, чтобы потом не бегать с криками "помогите, lockdir зашифровал документы и вымогает деньги за расшифровку".

Что именно исполняется из CMD, вы не показали. Но сам по себе CMD - всего лишь командный интерпретатор, поэтому вам сразу выдали готовый ответ, чем блокируется запуск левых программ. Не пробовали — идите настраивайте и пробуйте, вникайте в логику, почему эта защита работает.

Вот именно предотвращать и нужно запуск через ярлык. К сожалению содержимое ярлыка, за неимением оных, предоставить не могу. А вы мне старательно втираете, что нужно блокировать исполняемое файло. Да графикалюзеринтерфейс с EXE'шниками! Появляются ярлыки не из-за запуска EXE, что было бы логично предположить, а именно после запуска такого ярлыка (проверил на тестовой виртуалке). Весьма вероятно EXE файлы пытаются создаться и запуститься, но, очевидно, у них не хватает прав.

Ярлыки создаются не вручную. Их делает вирус. Успешно отработавший ехе-файл вируса. Поэтому вам следует блокировать запуск неизвестных ехе-файлов. Так это работает.

Чъорт пъобери, мне даже жаль что сейчас у меня нету ни одного из этих линков (прибил, и пока нигде не появлялись), скинул бы архивчик с этой гадостью дабы вы таки убедились: УЖЕ НЕТУ EXE'шников, и для создания линков ТЕПЕРЬ они не нужны. И к слову тему отмечаю решенной, с пятницы, судя по логам, не было больше прецедентов, "беззубые останки" добил вручную, благо их было не многим больше полусотни - справился за минут сорок.
з.ы. WindowsNT, знания доступные Вам хоть и являются весьма ценными, все же не всегда будут истиной в последней инстанции, помните: не все то долото, что блестит (с), не только то опасно, что является EXE'шником.