RSS-каналы
Уровень опасности: 1
Worm.Win32.AutoRun.ghc
| Время детектирования | 17 июл 2009 00:09 MSK |
| Время выпуска обновления | 22 июл 2009 18:54 MSK |
| Описание опубликовано | 16 июн 2010 15:41 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 32601 байт. Упакован FSG. Распакованный размер – около 131 КБ. Написан на C++.
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
9F08-00AA002F954E}\rav32.exe
<имя зараженного раздела>:\AUTORUN.INFследующего содержания:
[AutoRun]
open=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
shell\open=+?¬e(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
shell\open\Default=1
shell\explore=+¦L+¦-Ly¦?(&X)
shell\explore\Command=recycle.
{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
- запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c sc config ekrn start= disabled /c sc config sharedaccess start= disabled
Таким образом, отменяется автоматический запуск служб "ekrn", "sharedaccess"./c taskkill.exe /im ekrn.exe /f /c taskkill.exe /im egui.exe /f
Это приводит к завершению процессов "ekrn.exe", "egui.exe"./c net stop wscsvc /c net stop SharedAccess
Это приводит к остановке служб "wscsvc", "SharedAccess". - Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:
%WinDir%\tete<rnd>t.dll
(40960 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Geral.ate")%WinDir%\extext<rnd>t.exe
(12288 байт; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Geral.aot")%System%\drivers\pcidump.sys
(11904 байта; детектируется Антивирусом Касперского как "Rootkit.Win32.Agent.fia") где <rnd> – случайное девятизначное десятичное число. - Запускает системную утилиту "rundll32.exe" со следующими параметрами:
%WinDir%\tete<rnd>t.dll testall
Это приводит к вызову функции "testall" из ранее извлеченной библиотеки "%WinDir%\tete<rnd>t.dll". - Запускает на выполнение извлеченный ранее файл "%WinDir%\extext<rnd>t.exe".
- Создает и запускает в системе службу с именем "pcidump", бинарным файлом которой является извлеченный ранее файл "%System%\drivers\pcidump.sys".
- Копирует свое тело в следующий файл:
%System%\scvhost.exe
- Для удаления своего оригинального файла после завершения его работы создает в своем рабочем каталоге и запускает на выполнение сценарий командного интерпретатора "afc90a.bat" следующего содержания:
@echo off @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @echo ad32rwhlk>>321.aqq @del 321.aqq @del "<полный путь к оригинальному файлу червя>" @del afc90a.bat @exit
При этом сам файл "afc90a.bat" также удаляется.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить ветви системного реестра (как работать с реестром?):
[HKLM\System\ControlSet001\Services\pcidump] [HKLM\System\CurrentControlSet\Services\pcidump]
- Перезагрузить компьютер.
- Удалить файлы:
<имя зараженного раздела>:\recycle.{645FF040-5081-101B-9F08-
00AA002F954E}\rav32.exe
<имя зараженного раздела>:\AUTORUN.INF
%WinDir%\tete<rnd>t.dll
%WinDir%\extext<rnd>t.exe
%System%\drivers\pcidump.sys
%System%\scvhost.exe - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Worm.
- Trojan:
Generic Dropper. gt (McAfee) - Mal/Generic-L (Sophos)
- Trojan.
Agent-121026 (ClamAV) - W32/AutoRun.
DJ. worm (Panda) - W32/KillAV.
K. gen!Eldorado (FPROT) - TrojanDropper:
Win32/Dogrobot. E (MS(OneCare)) - Trojan.
MulDrop. 32677 (DrWeb) - Trojan.
Generic. 2332751 (BitDef7) - Trojan-Downloader.
Win32. Geral (Ikarus) - BDS/Backdoor.
Gen (AVIRA) - W32.
SillyDC (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Worm.
Win32. AutoRun. six (Rising) - Worm.
Win32. AutoRun. ghc [AVP] (FSecure) - TROJ_GERAL.
SMEI (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей