Worm.Win32.AutoRun.acn

Технические детали

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Кроме того, создает свои копии на локальных дисках и доступных для записи сетевых ресурсах. Программа является приложением Windows (PE EXE-файл). Имеет размер 21030 байт. Упакована при помощи AsPack. Распакованный размер — около 70 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "5321F6DF.EXE":

%System%\5321F6DF.EXE

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ системного реестра:

 [HCU\System\CurrentControlSet\Services\D245F88F]
"Description"="F89D594"
"DisplayName"="D245F88F"
"ImagePath"="%System%\\5321F6DF.EXE -k"
"ObjectName"="LocalSystem"

Таким образом исполняемый файл вредоносной программы становиться системным сервисом.

Деструктивная активность

После запуска вирус извлекает из своего тела библиотеку "F91A1184.DLL" и помещает ее в системный каталог Windows:

%System%\F91A1184.DLL

Данная библиотека имеет размер 36864 байта и детектируется Антивирусом Касперского так же как родительская вредоносная программа.

Вредоносная программа регистрирует себя как сервис с именем "D245F88F" затем обращается в интернет по адресу:

http://*****verynx.cn/alexa.txt

На момент создания описания ссылка не работала.

Затем производит закачку по ссылкам, расположенным в этом файле.

После этого обращается в интернет по адресу:

http://nx***lb.cn/soft/update.txt

Затем производит закачку по ссылкам, расположенным в этом файле.

На момент создания описания в файле находилась ссылка:

http://nx***lb.cn/soft/soft/e47e57844ef30ab4.exe

Данный файл имеет размер 19601 байт и детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Flux.fm.

Файл сохраняется в системный каталог Windows под именем "5DC6AFB2.EXE":

%System%\5DC6AFB2.EXE

После закачки файл запускается на выполнение.

После этого вредоносная программа копирует свое тело в корневые каталоги всех обнаруженных в системе логических дисков под именем "auto.exe":

*:\auto.exe

Для автоматического запуска этих файлов создает файл "autorun.inf":

*:\autorun.inf

Далее проверяет свое имя и если оно отлично от "auto.exe", то удаляет свой оригинальный файл.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы, закачанные троянцем (для этого нужно очистить временный каталог текущего пользователя):

   %System%\5DC6AFB2.EXE

3. Удалить все копии троянца:

   *:\auto.exe
   %System%\5321F6DF.EXE

4. Удалить ключ системного реестра:

    [HCU\System\CurrentControlSet\Services\D245F88F]
   "Description"="F89D594"
   "DisplayName"="D245F88F"
   "ImagePath"="%System%\\5321F6DF.EXE -k"
   "ObjectName"="LocalSystem"

5. Удалить файлы, созданные троянцем:

   *:\autorun.inf
   %System%\F91A1184.DLL

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).