Технические детали
Файловый вирус. Является приложением Windows (PE EXE- файл). Имеет размер 380416 байт. Написан на Delphi.
Инсталляция
При запуске вирус копирует свой исполняемый файл в каталоги Windows:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
Также программа создает следующий файл:
%System%\logon.bat
Данный файл при запуске на исполнение запускает копию вируса:
%System%\config\csrss.exe
С целью автоматического запуска при каждом последующем старте операционной системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"
Вредоносная программа генерирует файлы:
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf
Указанные файлы запускаются каждый раз, когда пользователь открывает соответствующие разделы жесткого диска в «Проводнике». Аналогично «%System%\logon.bat» при исполнении файлы запускают копию вируса — «%System%\config\csrss.exe».
Деструктивная активность
Программа изменяет значения следующих ключей реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
Также вирус производит поиск файлов с расширением «.mp3» в разделах жесткого диска:
d:\
c:\
e:\
f:\
g:\
h:\
Найденные файлы удаляются.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить процесс вируса.
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры из ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"
- Удалить следующие файлы:
%System%\config\csrss.exe
%WinDir%\media\arona.exe
%System%\logon.bat
%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Дополнительная информация
| |
Рейтинг опасности (KLAD)
|
| |
35
|
Резюме
Технические детали
Имеет размер 380416 байт.
Инсталляция
Создает следующие файлы на зараженном компьютере:
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\config\csrss.exe
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\config\аutorun.inf
-
Каталог ОС Windows (обычно, C:\Windows)%Windir%\media\аrоnа.exe
Вредоносная активность
Создает следующие файлы:
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\logon.bat
После чего обеспечивается
Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:
путем прописывания в ключах автозапуска системного реестра:
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ]
"Worms" = "
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\logon.bat"
Изменяет (или удаляет) ключи системного реестра с целью ограничения функциональности ОС Windows:
[
Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ]
"DisableTaskMgr" = "\01"
Описание:
Запрещает вызов "Диспетчера Задач"
[
Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ]
"NoFolderOptions" = "\01"