RSS-каналы
Уровень опасности: 1
Worm.Win32.AutoRun.jw
| Время детектирования | 25 сен 2009 12:56 MSK |
| Время выпуска обновления | 25 сен 2009 18:18 MSK |
| Описание опубликовано | 01 июн 2007 17:14 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Файловый вирус. Является приложением Windows (PE EXE- файл). Имеет размер 380416 байт. Написан на Delphi.
Инсталляция
При запуске вирус копирует свой исполняемый файл в каталоги Windows:
%System%\config\csrss.exe %WinDir%\media\arona.exe
Также программа создает следующий файл:
%System%\logon.bat
Данный файл при запуске на исполнение запускает копию вируса:
%System%\config\csrss.exe
С целью автоматического запуска при каждом последующем старте операционной системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:
"Worms" = "%System%\logon.bat"
Вредоносная программа генерирует файлы:
%System%\config\autorun.inf h:\autorun.inf f:\autorun.inf i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf o:\autorun.inf j:\autorun.inf
Указанные файлы запускаются каждый раз, когда пользователь открывает соответствующие разделы жесткого диска в «Проводнике». Аналогично «%System%\logon.bat» при исполнении файлы запускают копию вируса — «%System%\config\csrss.exe».
Деструктивная активность
Программа изменяет значения следующих ключей реестра:
[HKCU\Software\Microsoft\Windows\
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\
NoFolderOptions = 1
Также вирус производит поиск файлов с расширением «.mp3» в разделах жесткого диска:
d:\ c:\ e:\ f:\ g:\ h:\
Найденные файлы удаляются.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс вируса.
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры из ключей системного реестра:
[HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\System]
DisableTaskMgr = 1[HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer]
NoFolderOptions = 1[HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat" - Удалить следующие файлы:
%System%\config\csrss.exe %WinDir%\media\arona.exe %System%\logon.bat %System%\config\autorun.inf h:\autorun.inf f:\autorun.inf i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf o:\autorun.inf j:\autorun.inf
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Worm.
- Virus.
Win32. AutoRun. ah («Лаборатория Касперского») - Trj/Autorun.
J (Panda) - Win32/AutoRun.
AH (Nod32) - BehavesLike:
Trojan. TaskDisabler (BitDef7) - Trojan.
Deletemp3. A (VirusBuster) - W32.
Deletemusic (NAV) - W32/Deletemp3.
worm (NAI) - WORM_DELF.
HXZ (PCCIL) - Worm.
Win32. AutoRun. ah (Rising)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей