Worm.Win32.AutoRun.amv
Материал из Total Malware Info
Worm.Win32.AutoRun.amv Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 60932 байт. Упакован при помощи FSG, распакованный размер 139 к.б.
Содержание |
Инсталляция
Копирует свой исполняемый файл как:
%Program Files%\Common Files\Microsoft Shared\<rnd>.exe %Program Files%\Common Files\System\<rnd>.exe %Program Files%\meex.exe
где, <rnd> - последовательность из 7 прописных латинских букв. Для автоматического запуска при следующем старте системы вирус добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] <rnd>=%Program Files%\Common Files\System\<rnd>.exe <rnd>=%Program Files%\Common Files\Microsoft Shared\<rnd>.exe
где, <rnd> - последовательность из 7 прописных латинских букв.
Распространение
Копирует свой исполняемый файл в корень следующих разделов:
d:\ e:\ f:\ g:\ h:\ i:\ j:\ k:\ l:\ m:\ n:\ o:\ p:\ q:\ r:\ s:\ t:\ u:\ v:\ w:\ x:\ y:\ z:\
с именем следующего вида:
<rnd>.exe
где, <rnd> - последовательность из 7 прописных латинских букв. Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:
E:\autorun.inf
который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.
Деструктивная активность
Завершает процессы со следующими именами:
Ras.exe avp.com avp.exe runiep.exe PFW.exe FYFireWall.exe rfwmain.exe rfwsrv.exe KAVPF.exe KPFW32.exe nod32kui.exe nod32.exe Navapsvc.exe Navapw32.exe avconsol.exe webscanx.exe NPFMntor.exe vsstat.exe KPfwSvc.exe RavTask.exe Rav.exe RavMon.exe mmsk.exe WoptiClean.exe QQKav.exe QQDoctor.exe EGHOST.exe 360Safe.exe iparmo.exe adam.exe IceSword.exe 360rpt.exe 360tray.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe Iparmor.exe isPwdSvc.exe kabaload.exe KaScrScn.SCR KASMain.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KRepair.com KsLoader.exe KVCenter.kxp KvDetect.exe KvfwMcl.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe mmqczj.exe nod32krn.exe PFWLiveUpdate.exe QHSET.exe RavMonD.exe RavStub.exe RegClean.exe rfwcfg.exe RfwMain.exe RsAgent.exe Rsaupd.exe safelive.exe scan32.exe shcfg32.exe SmartUp.exe SREng.EXE symlcsvc.exe SysSafe.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpLive.exe upiea.exe AST.exe ArSwp.exe USBCleaner.exe rstrui.exe
Скачивает файлы по следующим ссылкам:
http://www.******.com/TDown1.exe http://www.******.com/ReadDown.txt
на момент создания описания ни одна из ссылок не работала. и сохраняет их в папку:
%WinDir%\Program Files
после чего запускает на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключе системного реестра:
- Удалить файлы:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] <rnd>=%Program Files%\Common Files\System\<rnd>.exe <rnd>=%Program Files%\Common Files\Microsoft Shared\<rnd>.exe
%Program Files%\Common Files\Microsoft Shared\<rnd>.exe %Program Files%\Common Files\System\<rnd>.exe %Program Files%\meex.exe <X>:\<rnd>.exe E:\autorun.inf
где X – буква съемного диска.
- Удалить папку и все ее содержимое
%WinDir%\Program Files
