Worm.Win32.AutoRun.hja

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 142336 байт. Написан на C++.

Инсталляция

После запуска червь копирует свое тело в следующий файл:

%USERPROFILE%\Application Data\rmhzb.exe

Файл создается с атрибутами "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Для автоматического запуска созданной копии при каждом следующем старте системы червь создает ключ системного реестра:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"

Таким образом, копия червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке компьютера в "безопасном режиме".

Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:

<имя зараженного раздела>:\SLOBODAN\vasic.exe

Файлу присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\autorun.inf

который позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

После запуска червь внедряет в адресное пространство процесса "EXPLORER.EXE" исполняемый код, выполняющий следующие действия:

• в бесконечном цикле создается ключ системного реестра:

  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
  

• Блокируется удаление файлов:

  %USERPROFILE%\Application Data\rmhzb.exe
  <имя зараженного раздела>:\SLOBODAN\vasic.exe
  <имя зараженного раздела>:\autorun.inf
  

• Устанавливается соединение со следующими хостами:

  jebena.anan***ic.su
  peer.pickeklo***ke.ru
  

• Если соединение успешно установлено, вредоносным кодом запускается цикл приема команд. По команде злоумышленника могут выполняться следующие действия: - похищение cookie браузера; - загрузка и запуск файлов; - сбор и отправка злоумышленнику информации о системе.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "EXPLORER.EXE".
2. При помощи Диспетчера задач запустить системный редактор реестра "regedit.exe" и удалить ключ (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Taskman" = "%USERPROFILE%\Application Data\rmhzb.exe"
   

3. Перезагрузить компьютер.
4. Удалить файлы:

   %USERPROFILE%\Application Data\rmhzb.exe
   <имя зараженного раздела>:\SLOBODAN\vasic.exe
   <имя зараженного раздела>:\autorun.inf
   

5. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).