Remova o diretório RECYCLER da unidade flash infectada por vírus

15

Antes de me aconselhar sobre a opção de salvar meus arquivos e formatar a unidade usando o gparted , por favor, entenda que eu poderia ter feito isso algumas horas atrás e que levaria apenas alguns minutos. Na verdade, eu quero entender o que realmente está acontecendo aqui. A situação está destruindo todas as minhas experiências adquiridas ao longo dos anos.

Fiquei com a impressão de que, se eu inserir uma unidade flash infectada por vírus na minha máquina Ubuntu, tudo o que preciso fazer é simplesmente excluir os arquivos de vírus e estou pronto.

Hoje, coletei alguns arquivos em uma unidade flash formatada em NTFS de uma máquina Windows, sabendo que a máquina está infectada por vírus. Quando inseri a unidade flash na minha máquina, descobri que ela realmente coletava muitos arquivos e pastas. Eu apaguei a maioria deles. O único que mostra resistência total é o diretório RECYCLER (e seus subdiretórios).

Os atributos deste diretório.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Se eu executar o rmcomando,

sudo rm -rvf RECYCLER/

Eu recebo uma saída longa na linha de,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

O que é interessante, os arquivos relatados acima são mostrados pelo lscomando com alguns inúmeros conjuntos de atributos.

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Se tentar encontrar os atributos dessas pastas ofensivas,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Eu recebo,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

O comando chmodpara tornar a pasta RECYCLER gravável mundialmente falha.

sudo chmod -vR ugo+w RECYCLER/

A saída está na linha de.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Essas pastas continham vários .exee outros arquivos, dos quais muitos já foram excluídos com êxito (exceto os relatados acima).

Se eu verificar os atributos de uma dessas pastas,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

eu recebo

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Eu corri clamtkneste dispositivo como sugerido aqui . No entanto, ele não consegue encontrar uma ameaça.

Entendo que posso simplesmente salvar o conteúdo da minha unidade flash em algum lugar e depois formatá-lo. No entanto, estou mais interessado em descobrir quais atributos foram definidos nessas pastas que estão resistindo a alterações adicionais. (E, definitivamente, vou querer desinfetar minha unidade flash também.)

ATUALIZAÇÃO 1

Além do comentário de Patro .

  1. Quando as pastas são visitadas, esses arquivos com inúmeros atributos não são mostrados, mesmo quando tento visualizá-los como arquivos ocultos.
  2. A exclusão desses arquivos falha. O comando rm -rvf *dentro do diretório S-2-4-27-3777257131-1806073332-421880436-8537falha com erro de entrada / saída.

ATUALIZAÇÃO 2

Após os comentários de soulsource e girardengo , tentei correr ntfscke ntfsfix. Além disso, essa pergunta ajudou.

Aqui estão as saídas.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Mas a situação inicial ainda persiste. Não houve nenhuma melhoria.

ATUALIZAÇÃO 3 (RESOLVIDO)

Conforme recomendado neste post , inseri minha unidade em uma máquina Windows e executei (de um terminal),

chkdsk <drive letter> /R

Houve uma enxurrada de atividades sobre verificação e reparo. Havia algumas mensagens sobre setores defeituosos também. A tarefa foi concluída em menos de um minuto. Então, descobri que algumas novas pastas foram criadas para áreas recuperadas.

Reinsirai a unidade flash em uma máquina Linux e a pasta RECYCLER pode ser excluída sem nenhum problema.

Como uma etapa adicional, agora eu formatei a unidade (usando gparted, para NTFS), pois acho que obtive meu insight.

Parece que o vírus é realmente capaz de causar problemas de hardware (temporários / suaves) . Consulte o post acima mencionado para obter uma explicação técnica detalhada.

windows usb-drive ntfs malware ntfs-3g Masroor
fonte
drwx ------ 1 masroor masroor 4096 7 de maio 15:58 RECYCLER / S-2-4-27-3777257131-1806073332-421880436-8537 /; O diretório indica que apenas o proprietário do arquivo (nesse caso, o proprietário que o criou) pode excluí-lo. Tente clicar com o botão direito do mouse na pasta, clique em Propriedades e verifique a guia de permissão.
User220402
@ user220402 Tentei eliminar a pasta como raiz do utilizador utilizando o sudo, se já reparou. Eu tentei usar o sudo quando a exclusão do usuário falhou.
Masroor
Tente navegar na pasta e excluir cada arquivo individualmente e veja se isso funciona. Depois, tente excluir a própria pasta.
Parto
3
Erros de E / S geralmente significam que algo está errado no nível do hardware. Certamente é possível que eles apareçam apenas em uma única pasta ou arquivo (se os inodes correspondentes estiverem armazenados em células de memória defeituosas, mas todas as outras células de memória estiverem OK). No entanto, meu melhor palpite é que o sistema de arquivos foi corrompido pelo vírus, colocando esses arquivos em algum lugar fora do alcance da memória dos discos. Portanto, eu tentaria executar o ntfsck no sistema de arquivos. Se você possui uma instalação do Windows que pode reinstalar no pior caso (de uma infecção), também pode tentar usar o chkdsk.
Soulsource
11
conforme sugerido, tente fazer uma varredura no dispositivo. Você pode usar o comando ntfsfixpara tentar corrigir erros.
Girardengo

Respostas:

6

Ok, eu tenho que esclarecer algumas coisas aqui:

  1. A parte de engenharia reversa sobre NTFS não se aplica aqui, especialmente para uma unidade flash NTFS formatada. Mesmo que isso acontecesse, seria algo realmente fora do normal. Eu trabalhei com muitas unidades Flash formatadas em NTFS, formatadas no Windows XP, Vista, 7 e 8.

    Portanto, não é um problema com o Linux não detectar o NTFS corretamente. como o projeto NTFS-3G não é lento nem incompatível com esse nível, você pode até ver que a última atualização ocorreu alguns meses atrás no mesmo ano . Com certeza, há alguns problemas de tempos em tempos, como suporte a cache e enorme uso da CPU, mas como eu disse, para uma Unidade Flash, seria algo improvável que acontecesse ou teria uma chance muito pequena.

  2. Eu tive problemas semelhantes com as unidades Flash mostrando ????? símbolos ou simplesmente símbolos errados por completo (EG:! @ #% $ @% # @ em vez do nome do arquivo). Alguns usuários recomendam o uso ntfsfixou, ntfckse você não puder corrigi-los, execute o chkdsk no Windows na unidade. O sistema de arquivos / registro de inicialização pode estar com alguns problemas.

  3. O proprietário do arquivo / pasta não importa, desde que ele use sudo. Pode ser qualquer usuário, mas quando ele usa o sudocomando rmo remove, independentemente de quem o possui. Novamente, isso se aplica a esta unidade Flash formatada em NTFS.

  4. Quando vi a pergunta pela primeira vez, pedia para executar o comando, sudomas li que você já o fez. Então ia sugerir as ferramentas de reparo do NTFS, mas você já o fez. então eu vi o erro de entrada / saída no final. Isso e ver como o nome dos arquivos apareceu todo bagunçado simplesmente me disse que havia um problema real no sistema de arquivos que pode ser corrigido apenas por:

    • Usando chkdsk no Windows. Nem ntfsfixnem ntfsckirá corrigir um par de questões que chkdsk só pode corrigir.

    • Neste momento, não parece um problema de hardware, provavelmente um problema no sistema de arquivos. Se o chkdsk não funcionar, a única solução é formatar a unidade flash novamente (não é necessário nível baixo). No caso de um formato simples não ajudar (e testado no Windows e no gparted), estamos analisando um problema no nível do hardware.

Se um vírus realmente tivesse que fazer alguma coisa com esse problema, seria porque ele foi afetado / anexado à tabela de sistema de arquivos (MFT). Isso criaria problemas como ver partes do sistema de arquivos OK e outras ruins. Não vendo arquivos em um sistema e vendo-os em outro. Ver todos os arquivos ou alguns arquivos corrompidos (por exemplo:! @ #! #! LOL! @ #!) E outras coisas estranhas que podem acontecer se a tabela do sistema de arquivos estiver corrompida. Pode ser tão simples quanto o vírus alterar um dos campos da tabela do sistema de arquivos ou ser tão horrível quanto o vírus alterar o tamanho da MFT ou de vários arquivos.

Além de vírus, você deve saber que, se o problema é tão grave que você não pode formatar a unidade (sistema de arquivos fresco), o que seria raro ao ver um vírus fazer isso, é mais provável que você tenha um problema de hardware da unidade flash causado por calor, impacto, etc.

Para a corrupção de dados na unidade flash, ou em qualquer unidade de armazenamento, mas especialmente em unidades flash, a causa em muitos casos é a remoção da unidade antes que todas as informações sejam salvas corretamente. Isso pode acontecer no Windows e no Linux se um usuário remover a unidade flash sem ter certeza de que tudo terminou de gravar e a sessão do dispositivo está fechada.

No caso do Linux, você começará a receber avisos sobre operações de leitura / gravação não permitidas em toda a unidade flash ou arquivos (como filmes) com 50% de falta do tamanho total (como um filme de 1,2 GB com apenas 500 MB e tudo) corrompido). O fsck pode corrigir isso na maioria dos casos. No caso do Windows, ele mostrará erros de entrada / saída e pode danificar toda a unidade porque o MFT não salvou corretamente as informações. Portanto, é recomendável aguardar o encerramento da sessão ou usar a opção "remover com segurança" quando disponível.

Luis Alvarado
fonte
Por favor, veja minha ATUALIZAÇÃO 3. Parece que recebi minha resposta. Mas vou esperar mais alguns dias antes de conceder a melhor resposta. :-)
Masroor
@MMA Ótimo trabalho. Chkdsk cria essas pastas porque essas eram partes do sistema de arquivos (arquivos ou pastas) que não foram atribuídas a nada, então ele cria essas pastas temporárias para que você possa escolher onde colocar os arquivos recuperados. Vou adicionar algumas dicas que podem criar esse problema além de um vírus.
Luis Alvarado
5

Penso que o problema é que a implementação do NTFS no Linux tem engenharia reversa e não está completa --- solicite à Microsoft o código fonte ;-).

Você tem dicas com o aviso "Caso não suportado encontrado". Provavelmente, o antivírus da máquina Windows usou algumas características avançadas / obscuras do sistema de arquivos NTFS que o driver do Linux não é capaz de entender.

Você deve fazer o gerenciamento de baixo nível de um sistema de arquivos apenas no sistema nativo (pesquise aqui com que frequência o gparted redimensionou uma partição NTFS apenas para tornar o sistema não inicializável ...).

Consulte também a página principal do NTFS-3g e, especialmente, esta seção de perguntas e respostas .

Rmano
fonte