Worm.Win32.AutoRun.gju

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 32768 байт. Написан на Visual Basic.

Инсталляция

После запуска червь копирует свое тело в следующие файлы:

c:\YiHui.exe
d:\YiHui.exe
e:\YiHui.exe
f:\YiHui.exe
g:\YiHui.exe
h:\YiHui.exe

Для автоматического запуска созданной копии червь создает следующий ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"YiHui" = "c:\YiHui.exe"

Кроме того, червь создает в своем рабочем каталоге файл

%WorkDir%\YiHui.inf

следующего содержания:

[AutoRun]
open=YiHui.exe
shell\open=??(&O)
shell\open\Command=YiHui.exe
shell\open\Default=1
shell\explore\Command=YiHui.exe

Для удаления своего оригинального файла червь создает в своем рабочем каталоге файл командного интерпретатора "YiHui.bat", запускает его и завершает свою работу. Созданный файл удаляет оригинальный файл червя и самоуничтожается.

Распространение

Червь копирует свое тело под именем "yihui.exe" в следующие разделы жесткого диска компьютера пользователя:

c:\yihui.exe
d:\yihui.exe
e:\yihui.exe
f:\yihui.exe
g:\yihui.exe
h:\yihui.exe

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\autorun.inf

что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" и "только чтение".

Деструктивная активность

После запуска червь загружает из сети Интернет файл по следующей ссылке:

http://weif******ian.5944vip.com/1.exe

(На момент создания описания ссылка не работала)
Загруженный файл сохраняется в корневом каталоге диска C: как

c:\love.exe

После успешной загрузки файл запускается на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "yihui.exe".
2. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "YiHui" = "c:\YiHui.exe"
   

3. Удалить файлы:

   c:\yihui.exe
   d:\yihui.exe
   e:\yihui.exe
   f:\yihui.exe
   g:\yihui.exe
   h:\yihui.exe
   %WorkDir%\YiHui.inf
   <имя зараженного раздела>:\autorun.inf
   c:\love.exe
   

4. Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).