Worm.Win32.AutoIt.c

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.AutoIt.cчервь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 272 384 байт. Упакован UPX, распакованный размер около 653 КБ.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%WinDir%\RVHOST.exe
%System%\RVHOST.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Yahoo Messengger=”%System%\RVHOST.exe”

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=”Explorer.exe RVHOST.exe”

Распространение

Копирует свой исполняемый файл в корневую папку на съемные диски с именем: 

New Folder.exe

так же рекурсивно копирует свой исполняемый файл во все папки на съемных дисках. Копии червя имеют такое же имя файла как и у папок в которых они находятся и расширение “.exe”.

Деструктивная активность

Создает параметры в ключе реестра: 

[HKCU \Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools=1
DisableTaskMgr=1

которые отключают системный Редактор реестра и Диспетчер задач. Так же червь завершает процессы антивирусных программ и сетевых экранов.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Завершить процесс червя любым доступным способом.
  2. Удалить оригинальный файл червя (возможное расположение – съемные диски, возможное имя файла – “New Folder.exe”).
  3. Удалить параметры в ключах реестра:
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Yahoo Messengger=”%System%\RVHOST.exe”
[HKCU \Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools=1
DisableTaskMgr=1
  1. Изменить значение ключа реестра на следующее:
    2. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=”Explorer.exe RVHOST.exe”
  2. Удалить файлы:
    3. %WinDir%\RVHOST.exe
%System%\RVHOST.exe
  3. Удалить все копии червя на съемных дисках.
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.AutoIt.c»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.