Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияWorm.Win32.AutoIt.c

Worm.Win32.AutoIt.c

Время детектирования 11 сен 2007 16:24 MSK
Время выпуска обновления 11 сен 2007 16:24 MSK
Описание опубликовано 06 ноя 2007 14:27 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сьемных носителях. Является приложением Windows (PE EXE-файл). Упакован при помощи UPX. Размер зараженных файлов варьируется в пределах от 220 до 275 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл в системный и корневой каталоги Windows:

%WinDir%\RVHOST.exe
%System%\RVHOST.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "%System%\RVHOST.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe RVHOST.exe"

Распространение

Червь копирует свой исполняемый файл в корень доступных для записи съемных дисков под следующим именем:

New Folder.exe

Также червь рекурсивно копирует свой исполняемый файл во все папки на съемных дисках. Файлы-копии червя имеют имена, соответствующие именам папок, в которых они находятся, и расширение «.exe».


Деструктивная активность

Червь создает следующие параметры в ключе реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 1
DisableTaskMgr = 1

Таким образом он блокирует запуск редактора реестра и «Диспетчера задач».

Также червь завершает процессы некоторых антивирусных программ и сетевых экранов.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Завершить процесс червя, выполнив в командной строке следующую команду: 
    taskkill /IM RVHOST.exe
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Выполнить следующие команды в командной строке для включения редактора реестра и «Диспетчера задач»:
    reg delete
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
    reg delete
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools

    На запрос о подтверждении удаления параметров ответить "Y" и нажать Enter.

  4. Удалить значение ключа системного реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "%System%\RVHOST.exe"
  5. Восстановить измененное значение ключа реестра: 
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe"
  6. Удалить файлы: 
    %WinDir%\RVHOST.exe
%System%\RVHOST.exe
  7. Удалить все копии червя со съемных дисков.
  8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Вирусы и черви
Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).


Другие модификации
Worm.Win32.AutoIt.ra
Worm.Win32.AutoIt.tc
Worm.Win32.AutoIt.x

Другие названия

Worm.Win32.AutoIt.c («Лаборатория Касперского») также известен как:

  • Virus: W32/YahLover.worm.gen (McAfee)
  • W32/SillyFDC-AU (Sophos)
  • W32.Autoit.Obfus-2 (ClamAV)
  • Trj/Downloader.QMY (Panda)
  • W32/Worm.FRY (FPROT)
  • Worm:Win32/Nuqel.Q (MS(OneCare))
  • Win32.HLLW.Autoruner.311 (DrWeb)
  • Win32/Hakaglan.Z worm (Nod32)
  • Trojan.Autoit.TF (BitDef7)
  • Trojan.Autoit.BF (VirusBuster)
  • Win32:AutoRun-BM [Wrm] (AVAST)
  • Virus.Win32.AutoRun.jq (Ikarus)
  • Autoit.CN (AVG)
  • blastclnnn.exe_ <<< WORM/Autorun.K (AVIRA)
  • Worm/AutoRun.K (AVIRA)
  • W32.Imaut (NAV)
  • W32/Obfuscated.H2!genr (Norman)
  • W32/YahLover.worm.gen (NAI)
  • Worm.Win32.Agent.imy (Rising)
  • Worm.Win32.AutoIt.c [AVP] (FSecure)
  • WORM_YAHLOVER.AK (TrendMicro)
  • Trojan.Autoit.BF (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск