Worm.Win32.AutoRun.ami
Материал из Total Malware Info
Worm.Win32.AutoRun.ami Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 73728 байт.
Содержание |
Инсталляция
Копирует свой исполняемый файл как:
%System%\kbdoxhelp.dll %WinDir%\realshade.exe %System%\taskmonitor.exe %System%\imsinss.dll %WinDir%\vmmwia.exe %System%\kbdoxhelp.dll
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] Realshade=%WinDir%\realshade.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] TaskMonitor=%System%\taskmonitor.exe
После успешной инсталляции червь удаляет свой оригинальный файл.
Распространение
Копирует свой исполняемый файл в корень каждого раздела со следующим именем:
<X>:\sysboot.scr
где, X – буква раздела. Так же вместе со своим исполняемым файлом червь помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.
Деструктивная активность
Периодически делает снимки экрана рабочего стола пользователя и отправляет их во вложениях на электронную почту:
err8@163.com e3er@163.com
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить параметры в ключе системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] Realshade=%WinDir%\realshade.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] TaskMonitor=%System%\taskmonitor.exe
- Удалить файлы:
%System%\kbdoxhelp.dll %WinDir%\realshade.exe %System%\taskmonitor.exe %System%\imsinss.dll %WinDir%\vmmwia.exe %System%\kbdoxhelp.dll <X>:\sysboot.scr <X>:\autorun.inf
где, X – буква раздела.
