McAfee heeft vandaag een ExtraDAT uitgebracht voor [b]W32/Autorun.worm.aaeb-h[/b].

Het gaat hierbij om een trojan die [i]onder andere[/i] mappen op USB sticks en op netwerkschijven hernoemt en "hidden" maakt, waarna er malware executables met de naam van de mappen op de USB./stick netwerkdrive worden geplaatst. Om te voorkomen dat hidden mappen toch worden getoond wordt in het register, onder HCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\, de DWORD waarde ShowSuperHidden op 0 gezet. Helaas lijkt deze truc zeer succesvol te zijn.

Een vergelijkbare worm is op 2012-11-19 hier beschreven: [url]https://secure.security.nl/artikel/43984/1/USB-worm_verspreidt_zich_via_snelkoppeling.html[/url]

Het aanzetten van filename extensies heeft maar deels zin; [i]oude_mapnaam.exe[/i] files zul je dan herkennen, maar de zogenaamde "superhidden" extensies, onder andere .lnk en .pif, worden dan nog steeds niet getoond. Desgewenst kun je die superhidden extensies toch tonen door het verwijderen van een flink aantal "NeverShowExt" values (type REG_SZ, zonder waarde) in het register, maar dan worden je bureaublad en startmenu ook "vervuild" met die extensies.

Meer info:
[url]https://kc.mcafee.com/corporate/index?page=content&id=KB76807&actp=LIST_RECENT[/url]
[url]https://kc.mcafee.com/corporate/index?page=content&id=PD24169[/url] (pagina met info PDF bestand)
Tonen van "superhidden" extensies: [url]http://forums.techguy.org/tech-tips-tricks/384336-show-super-hidden-file-extensions.html[/url]

Bron: [url]https://isc.sans.edu/diary/McAfee+releases+extraDAT+for+W32+Autorun+worm+aaeb-h/14584[/url]