Worm.Win32.AutoRun.aah

Материал из Total Malware Info

Worm.Win32.AutoRun.aah Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 20480 байт. Упакован при помощи PECompact, распакованный размер 73 к.б.

Содержание 1 Инсталляция 2 Деструктивная активность 3 Распространение 4 Рекомендации по удалению

Инсталляция

Копирует свой исполняемый файл как:

c:\Program Files\Common Files\Services\svchost.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“default”=”C:\Program Files\Common Files\Services\svchost.exe”

Деструктивная активность

Червь останавливает следующие службы:

Norton Antivirus Auto Protect Service
Mcshield
Windows Firewall/Internet Connection Sharing (ICS)
System Restore Service

Завершает следующие процессы:

regedit.exe
sconfig.exe
taskgmr.exe
360tray.exe
360safe.exe
WoptiClean.exe
Iparmor.exe
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
RogueCleaner.exe

Внедряет свой код в следуюшие процессы:

QQ.EXE
MSMSGS.EXE
FLASHGET.EXE
THUNDER5.EXE
IEXPLORE.EXE

внедренный код закачивает на компьютер пользователя файлы из списка ссылок, встроенного в тело червя и запускает их.

Распространение

Копирует свой исполняемый файл в корень всех разделов с именем следующего вида:

<X>:\IO.pif, где X – буква съемного раздела.

Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:

<X>:\autorun.inf, где X – буква съемного раздела.

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“default”=”C:\Program Files\Common Files\Services\svchost.exe”

4. Удалить файлы:

c:\Program Files\Common Files\Services\svchost.exe
<X>:\IO.pif, где X – буква съемного раздела.
<X>:\autorun.inf, где X – буква съемного раздела.