| Время детектирования | 25 сен 2009 12:56 MSK |
| Время выпуска обновления | 25 сен 2009 18:18 MSK |
| Описание опубликовано | 01 июн 2007 17:14 MSK |
Файловый вирус. Является приложением Windows (PE EXE- файл). Имеет размер 380416 байт. Написан на Delphi.
При запуске вирус копирует свой исполняемый файл в каталоги Windows:
%System%\config\csrss.exe %WinDir%\media\arona.exe
Также программа создает следующий файл:
%System%\logon.bat
Данный файл при запуске на исполнение запускает копию вируса:
%System%\config\csrss.exe
С целью автоматического запуска при каждом последующем старте операционной системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:
Вредоносная программа генерирует файлы:
%System%\config\autorun.inf h:\autorun.inf f:\autorun.inf i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf o:\autorun.inf j:\autorun.inf
Указанные файлы запускаются каждый раз, когда пользователь открывает соответствующие разделы жесткого диска в «Проводнике». Аналогично «%System%\logon.bat» при исполнении файлы запускают копию вируса — «%System%\config\csrss.exe».
Программа изменяет значения следующих ключей реестра:
[HKCU\Software\Microsoft\Windows\
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\
NoFolderOptions = 1
Также вирус производит поиск файлов с расширением «.mp3» в разделах жесткого диска:
d:\ c:\ e:\ f:\ g:\ h:\
Найденные файлы удаляются.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
[HKCU\Software\Microsoft\Windows\
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\
NoFolderOptions = 1
[HKLM\SOFTWARE\Microsoft\Windows\
"Worms" = "%System%\logon.bat"
%System%\config\csrss.exe %WinDir%\media\arona.exe %System%\logon.bat %System%\config\autorun.inf h:\autorun.inf f:\autorun.inf i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf o:\autorun.inf j:\autorun.inf
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Worm.