Malware "Houdini" a jeho odstranění

Z HelpDesk

Houdini je malware (virus) v podobě .wsf (Visual Basic) skriptu s názvem Microsoft Excel.WsF, který se šíří pomocí flashdishků a jiných vyměnitelných médií.

Chování

Pokud je k nakaženému stroji připojeno jakékoli médium, skript se na něj nakopíruje, nastaví všechny soubory v jeho kořenové složce jako skryté a nahradí je zástupci, které po dvojkliknutí kromě otevření původního souboru spustí právě i nebezpečný skript. Pro jeho rozšíření na další stroj tedy stačí, aby k němu nepozorný uživatel připojil takto infikované médium a pokusil se otevřít jakýkoli soubor.

Na napadeném stroji se skript nakopíruje do složky %AppData%\Microsoft Office (např. na Windows 7 typicky C:\Users\[Uzivatelske_jmeno]\AppData\Roaming\Microsoft Office) a pomocí zápisu do registrů (HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\, HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\) si zajistí spuštění po každém startu. Je-li spuštěn, periodicky se pokouší infikovat připojená vyměnitelná média, automaticky se obnovuje při pokusu o ruční smazání a poskytuje velmi široká zadní vrátka do systému.

Odstranění ze systému a flashdisků

  • Z následujícího odkazu si rozbalte a stáhněte skripty, určené k odstranění tohoto viru. Pozor, některé prohlížeče a antiviry mohou soubor považovat za škodlivý - jedná se o falešný poplach a je potřeba jej obejít tak, aby bylo možné soubor rozbalit a skripty použít.
https://download.zcu.cz/secure/software/windows/houdini.zip
  • Na infikovaném systému spusťte skript uninstall.vbs - dojde k vyčištění systému od viru.
  • Připojte veškerá infikovaná vyměnitelná média (flashdisky...) a spusťte skript clean.vbs - dojde k vyčištění všech těchto médií, původní data budou zachována.