Worm.Win32.AutoRun.gdi

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на съемных дисках компьютера пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 24064 байта. Написана на Delphi.

Инсталляция

При первом запуске червь создает копию своего файла во временном каталоге текущего пользователя Windows с именем "dildo.pif":

%Temp%\dildo.pif

Для автоматического запуска данного файла червь запускает службу "Планировщик задач" следующей командной:

net start schedule

И создает задачу, запускающую копию червя каждую минуту:

%WinDir%\Tasks\system.job

Своей копии и файлу-задаче для ее запуска червь устанавливает атрибуты "скрытый" и "системный".

Деструктивная активность

Далее червь добавляет информацию в ключи системного реестра для блокировки отображения файлов с атрибутами "скрытый" и "системный" при использовании Проводника Windows:

При повторном запуске, то есть при запуске с помощью службы "Планировщик задач", червь проверяет наличие файла "stub.exe":

%Temp%\stub.exe

Если данный файл присутствует на компьютере пользователя, тогда червь расшифровывает его и запускает на исполнение, после чего создает файл с именем "stub.lock":

%Temp%\stub.lock

Данный файл содержит строку:

stop

и является флагом, его присутствие означает, что червь не будет запускать на исполнение файл с именем "stub.exe".
Далее червь создает в корне всех съемных дисков каталог с именем:

<X>:\System Volume Information.

Где <X> - буква съемного диска.
В созданный каталог червь записывает копию своего тела с именем "dildo.pif":

<X>:\System Volume Information.\dildo.pif

Для автоматического запуска данного файла при использовании Проводника Windows в корне всех съемных дисков червь также создает файл с именем "autorun.inf":

<X>:\autorun.inf

Созданному каталогу и файлу автозапуска копии вредоноса, червь устанавливает атрибуты "скрытый" и "системный".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ( "Диспетчера задач") завершить процесс червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить файлы:

   %Temp%\dildo.pif
   %WinDir%\Tasks\system.job
   %Temp%\stub.lock
   :\autorun.inf
   

4. Удалить каталоги на съемных дисках:

   <X>:\System Volume Information.

5. Если на компьютере не была запущена служба "Планировщик задач", завершить данную службу следующей командой:

   net stop schedule

6. Удалить параметры или восстановить значения ключей системного реестра:
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "2"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "2"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden" = "0"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden" = "0"
   
   [HKLM\SOFTWARE\Microsoft\SchedulingAgent] "ViewHiddenTasks" = "0"
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).