Worm.Win32.AutoRun.bhx

Материал из Total Malware Info

Worm.Win32.AutoRun.bhx Червь с троянским функционалом, создающий свои копии на съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 115760 байт. Упакован неизвестным упаковщиком, распакованный размер 229 к.б.

Содержание 1 Инсталляция 2 Распространение 3 Деструктивная активность 4 Рекомендации по удалению

Инсталляция

Копирует свой исполняемый файл как:

%System%\kavo.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
kava=%System%\kavo.exe

Извлекает из своего исполняемого файла следующий файл:

%System%\kavo0.dll

данный файл имеет размер 89088 байта и детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.mbs Извлекает из своего исполняемого файла следующий файл:

%Temp%\<rnd>.dll

данный файл имеет размер 31545 байта.

Распространение

Копирует свой исполняемый файл в корень каждого раздела:

<X>:\XAdeIect.com

где, X – буква раздела. Так же вместе со своим исполняемым файлом червь помещает в корень диска сопровождающий файл:

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Деструктивная активность

Подгружает извлеченную библиотеку во все запущенные в системе процессы. Перехватывает нажатия клавиш и мыши, если запущены процессы:

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

Анализирует траффик идущий к следующим адресам:

61.220.60.36
61.220.62.116
61.220.56.147
61.220.56.132
61.220.62.30
61.220.62.25
203.69.46.166
203.69.46.167
220.130.113.238

Таким способом червь пытается похитить информацию о учетных записях игроков для игр:

ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver

и некоторых других. Так же червь анализирует файлы настроек вышеупомянутых игр и пытается извлечь из них информацию о учетных записях игрока на игровых серверах. Собранные данные отправляются на сайт злоумышленникам. Червь изменяет значения следующих параметров ключей реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файл:

%System%\kavo.exe

2. Перезагрузить компьютер
3. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить параметр в ключе системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
kava=%System%\kavo.exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"

5. Удалить файлы:

%Temp%\<rnd>.dll
%System%\kavo0.dll

6. Удалить файлы со всех съемных дисков:

<X>:\XAdeIect.com
<X>:\autorun.inf

где, X – буква диска.