Virus.Win32.AutoRun.xf

Материал из Total Malware Info

Перейти к: навигация, поиск

Virus.Win32.AutoRun.xf Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 27692 байт. Упакован при помощи UPX, распакованный размер 82 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%Program Files%\Internet Explorer\PLUGINS\NewTemp.bak

Извлекает из своего тела библиотеку: 

%Program Files%\Internet Explorer\PLUGINS\NewTemp.dll

Данный файл имеет размер 18476 байта и детектируется Антивирусом Касперского как Worm.Win32.AutoRun.amj Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{0EA66AD2-CF26-2E23-532B-B292E22F3266}
[HKCR\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\InProcServer32]
“default”=”C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll”

Распространение

Копирует свой исполняемый файл в корень каждого раздела со следующим именем: 

<X>:\PegeFile.exe

где, X – буква раздела. Так же вместе со своим исполняемым файлом вирус помещает в корень диска сопровождающий файл: 

<X>:\autorun.inf

который запускает исполняемый файл вируса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{0EA66AD2-CF26-2E23-532B-B292E22F3266}
  4. Удалить ключ системного реестра:
    5. [HKCR\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}]
  5. Удалить файлы:
    6. %Program Files%\Internet Explorer\PLUGINS\NewTemp.bak
%Program Files%\Internet Explorer\PLUGINS\NewTemp.dll
<X>:\PegeFile.exe
<X>:\autorun.inf

где, X – буква раздела.

Источник — «http://www.totalmalwareinfo.com/rus/Virus.Win32.AutoRun.xf»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.