Win32.Bundpil и как с ним бороться.

Насколько я вижу из статистики, посетители приходят на данную страницу из поисковых систем, чтобы найти как лечить Win32.Bundpil. Для вашего удобства я размещаю ответ на ваш вопрос в самом начале поста. Если интересно, можете прочитать ниже и историю о том, как я с ним столкнулся.

Как вылечить компьютер от Win32.Bundpil?

Буду краток: антивирусом. Если он у вас есть, но не "застукал" зловреда, то это значит, что его вирусная база безмерно устарела. Вирус Win32.Bundpil на сегодняшний день уже довольно старый, и о нём знают все антивирусы, ну, кроме самых дремучих. Если у вас не продлена лицензия на антивирус, то можете воспользоваться бесплатными антивирусами, вроде Avira AntiVir или Avast. Они бесплатны для рядовых пользователей и точно лечат Win32.Bundpil.

1. Обновите антивирусные базы вашего антивируса.
2. Запустите полную проверку компьютера и дождитесь её окончания.

Как вылечить флешку от Win32.Bundpil?

Ответ тот же: антивирусом. Убедитесь, что он включен, вставьте флешку и запустите проверку флешки. Обычно в антивирусах можно выбрать, какие устройства проверять. Можно совместить это с предыдущим пунктом: запустить полную проверку, имея флешку вставленной. Таким образом вылечится и она тоже.

Если же вы решили по каким-то причинам (например, у вас Linux) удалить Win32.Bundpil с флешки вручную, то вот вам порядок действий (для опытных пользователей!):

1. Если у вас есть антивирус, то убедитесь, что он включён. В противном случае, обязательно отключите автозапуск с внешних носителей (если это до сих пор не сделано), иначе можно заразить компьютер!
2. Включаем отображение скрытых файлов и папок, расширений файлов (если это ещё до сих пор не сделано).
3. Вставляем флешку.
4. Удаляем всё из корня кроме папки с "пустым" названием (она ещё может иметь иконку накопителя).
5. Заходим в вышеозначенную папку, перемещаем всё её содержимое в корень, саму её удаляем.
6. Удаляем desktop.ini из корня.

Как предохраниться от заражения Win32.Bundpil?

Вот несколько советов. следование которым позволит вам не заражаться Win32.Bundpil, как и другими вирусами.

1. Коль скоро у вас возникают такие вопросы, пользуйтесь антивирусом и всегда вовремя обновляйте антивирусные базы. Если вы пользовались платным антивирусом, а потом на него кончилась лицензия, и он не хочет больше обновлять базы, и нет возможности лицензию продлить, удалите его и воспользуйтесь бесплатными антивирусами, вроде Avira AntiVir или Avast. Лучше бесплатный "Avast" с сегодняшними базами, чем "Касперский" с прошлогодними!
2. Если вы пользуетесь ОС семейства Windows, в которой имеется UAC (а именно: Windows Vista, Windows 7, Windows 8), не отключайте UAC! Если кто-то "умный" уже отключил его до вас, включите. UAC — это ещё одна ступень защиты компьютера от вирусов, отключая его, вы даёте вирусам ещё одну возможность заразить ваш компьютер!
3. Отключите автозапуск с внешних носителей. Вирусы очень часто заражают компьютер через флешки, будучи запущенными в момент, когда флешку вставили. Чтобы это предотвратить, нужно отключить автозапуск с внешних носителей.
4. Регулярно обновляйте операционную систему! Обновления — это не только новые вещи для пользователей, но и обновление защиты против известных вирусов. У обновлённой операционной системы риск заражения минимален! Перестаньте использовать Windows XP! С апреля 2014 года обновления для неё больше не выходят, а это значит, что она уязвима для вирусов (а антивирусы — это всё же лечение симптомов, а не корня проблемы). Windfows XP — самая подверженная вирусным атакам ОС на сегодняшний день. Отложите в сторону ваш консерватизм и потратьте немного вашего времени на то, чтобы освоить Windows 7 — потом сами поймёте, что она имеет много преимуществ перед XP (и не только в отношении безопасности). Иначе так и будете постоянно удивляться "Да откуда же постоянно лезут все эти вирусы??".

На этом, пожалуй, всё. Можете прочитать мою историю о том, как я встретил и излечил Win32.Bundpil, если, конечно, интересно.

Сегодня ходил в универ показывать результаты своих охуительных усилий в области экспериментальных методов исследований ширины спектра генерации YAG:Nd-лазера, которые я принёс на флешке, уже второй раз, переделанные.

Но сия охуительная история не об экспериментальных методах исследований. В 501-й аудитории корпуса на переулке Гривцова на компах стоит XP с админскими правами и НОД32 с базами 2011 года. В-общем, результат немного предсказуем. Конечно же, флешка была тут же засрана зловредами.

Подобные вещи в народе часто называют "вирусами". Тем не менее, не люблю я это слово, т.к. оно обозначает класс вредоносного ПО с вполне определённым функционалом, и нельзя, не зная истинного предназначения вредоносной программы и её возможностей, называть её именно вирусом. Так что буду говорить "зловред", а если где-то далее я и скажу "вирус", то стоит понимать под этим "вредоносное ПО", если только в контексте не указано иное.

На заражённом компе это выглядело как ярлык "Removable Device" в корне накопителя, но, включив на ХРюхе отображение скрытых файлов, я нашёл ещё пяток объектов, но трогать их не стал.

Кроме как через этот ярлык добраться до моих файлов было никак.

Принёс домой. Как и ожидалось, на 8.1 с включённым UAC автозапуск зловреда не сработал. Но вот теперь надо придумать как мне до моих файлов теперь добраться в обход этого ярлыка. Кстати, в его свойствах написан путь:

C:\WINDOWS\system32\rundll32.exe ~$WWHJ.NFC,crys pupupupupupupupupupup kfkfkfkfkfkfkfpaup

Налицо явный пример эксплойта переполнения стека у необновлённого хост-процесса винды ХР. Сам файл ~$WWHJ.NFC лежал рядышком с атрибутом "Скрытый" и был отправлен мною на Вирустотал с таким результатом:
https://www.virustotal.com/ru/file/f531a86c9bfa4b0f402092c2860a0d94d340281581aafcb0aa106ad0b6d80e73/analysis/1390587014/

Win32.Bundpil, стало быть.

Прежде чем пытаться что-то делать самому, скачал CureIt: авось демонстрационная версия Dr.Web'а продемонстрирует свои самые лучшие стороны да и очистит несчастный накопитель. CureIt пропердолила мне мною же редактированный хостс (чуть не удалила, кстати результаты моих стараний!), а на флешке ничего не нашла (хоть и был выставлен поиск по ней). Я уже говорил, что антивирусы — это шарлатанские программы? Нет? Не говорил? О, тогда надо будет в другой раз об этом рассказать! А флешку в итоге я вилкой вычистил сам.

Короче, что этот зловред делает? Он создаёт в корне папку с "пустым" названием (на самом деле там какой-то символ в названии есть, просто отображается он как пустое место), кладёт туда всё содержимое флешки, ставит ей атрибут "скрытый" и ещё делает ей иконку значка накопителя при помощи desktop.ini. Непонятно, правда, зачем, ведь всё равно папка скрытая. Кроме того, создаёт ещё несколько скрытых файлов в числе которых само тело зловреда, ярлык, его запускающий и открывающий вышеозначенную папку (типа, кликнул — открылась папка и незаметно запустился зловред, на случай если авторан отключен), ну, и autorun.inf чтоб всё это добро запускалось сразу по втыкании.

Конечный алгоритм ручного очищения флешки таков:
1. Включаем отображение скрытых файлов и папок, расширений файлов (если это ещё до сих пор не сделано).
2. Удаляем всё из корня кроме папки с "пустым" названием (она ещё может иметь иконку накопителя).
3. Заходим в вышеозначенную папку, перемещаем всё её содержимое в корень, саму её удаляем.
4. Убираем desktop.ini из корня.
Проделывать с отключённым автозапуском с внешних носителей и включённым UAC.

В апреле 2014 года компания Майкрософт, как она уже неоднократно сообщала, прекратит поддержку Windows XP. Многие разводят руками: а зачем, дескать, мне эта поддержка, если я ни разу в ихнюю службу и не звонил, да и винда у меня кряченная, так что они всё равно не ответят? Подобные утверждения могут делать только совсем уж некомпетентные люди, многие из которых, к сожалению, мнят себя "компьютерщиками". В этот же ряд становятся и всякие дурни, сразу после установки отключающие обновления и UAC (если речь идёт о более поздних версиях ОС) — ну, нельзя же каждому такому гражданину свои мозги вставить. Ведь помимо телефонной справки, поддержка Windows — это ещё и регулярное обновление файлов ОС, прежде всего чтобы не допустить подобных заражений.

Вот ещё один пример из истории — вирус Conficker. Цитируем Википедию:

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устраненным критическими обновлениями MS08-067, MS08-068 и MS08-069.

Ну, то есть заразились как раз самые умные, т.е. кто не обновлял систему, хотя всё было уже давно исправлено.

Кстати, обновления безопасности могут получать и пользователи пиратских копий. Всё-то ругают Майкрософт, а они вон даже пиратам обновления не отключают. Родина дала тебе обновления! Не хочу, отключу!

Бдительность, обновлённый софт и прямые руки — это и есть основа информационной безопасности, а вовсе не антивирусы. К сожалению, понимают это ещё далеко не все.

Вы всё ещё считаете, что обновления ОС — плохая идея? Тогда мы идём к вам.