Worm.win32.autorun.cpe
Материал из Total Malware Info
Worm.Win32.autorun.cpe Червь, создающий свои копии на съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 73728 байт.
Содержание |
Инсталляция
Копирует свой исполняемый файл как:
%System%\ssmicrco.scr
Распространение
Копирует свой исполняемый файл на съемные диски со следующим именем:
<x>:\boot.pif
Так же вместе со своим исполняемым файлом червь помещает в корень диска сопровождающий файл:
<x>:\autorun.inf
где, <x> – буква съемного диска. который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.
Деструктивная активность
Останавливает и удаляет службу “Windows Update”
Скачивает файлы по следующим ссылкам:
http://www.k******c.com/down/www.rar http://www.k******d.com/down/ppp.rar
и сохраняет их соответственно как:
%System%\xtemp1.exe %System%\xtemp2.exe
после чего запускает на выполнение. На момент создания описания ссылки не работали. Создает файл, в котором ведет протокол своей работы:
%System%\config\userevent.evt
Создает следующие папки:
%WinDir%\web\webpf %WinDir%\web\webdc %WinDir%\web\webpt %WinDir%\web\webhp %WinDir%\web\webxs
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\xtemp1.exe %System%\xtemp2.exe %System%\ssmicrco.scr <x>:\boot.pif <x>:\autorun.inf
где, <x> – буква съемного диска.
- Удалить папки:
%WinDir%\web\webpf %WinDir%\web\webdc %WinDir%\web\webpt %WinDir%\web\webhp %WinDir%\web\webxs
