Worm.Win32.AutoRun.fk

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 21030 байт. Упакована при помощи AsPack. Распакованный размер — около 70 КБ. Написана на C++.

После запуска троянец копирует свое тело в системный каталог Windows под случайным именем, состоящим из цифр и больших латинских букв. Например: "5321F6DF.EXE":

%System%\5321F6DF.EXE

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ системного реестра:

[HCU\System\CurrentControlSet\Services\D245F88F]
"Description"="F89D594"
"DisplayName"="D245F88F"
"ImagePath"="%System%\\5321F6DF.EXE -k"
"ObjectName"="LocalSystem"

Таким образом исполняемый файл вредоносной программы становиться системным сервисом.

Деструктивная активность

После запуска вирус извлекает из своего тела библиотеку со случайным именем, сгенерированным по тому же принципу, что и имя исполняемого файла троянца, например - "F91A1184.DLL" и помещает ее в системный каталог Windows:

%System%\F91A1184.DLL

Данная библиотека имеет размер 36864 байта и детектируется Антивирусом Касперского так же как родительская вредоносная программа.

Вредоносная программа регистрирует себя как сервис с именем "D245F88F" затем обращается в интернет по адресу:

http://ale***x.cn/alexa.txt

На момент создания описания ссылка не работала.

Затем производит закачку по ссылкам, расположенным в этом файле.

После этого обращается в интернет по адресу:

http://n***lb.cn/soft/update.txt

Затем производит закачку по ссылкам, расположенным в этом файле.

На момент создания описания ссылка не работала.

После закачки файл запускается на выполнение.

После этого вредоносная программа копирует свое тело в корневые каталоги всех обнаруженных в системе логических дисков под именем "auto.exe":

*:\auto.exe

Для автоматического запуска этих файлов создает файл "autorun.inf":

*:\autorun.inf

Далее проверяет свое имя и если оно отлично от "auto.exe", то удаляет свой оригинальный файл.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы, закачанные троянцем (для этого нужно очистить временный каталог текущего пользователя):

   %System%\5DC6AFB2.EXE

3. Удалить все копии троянца:

   *:\auto.exe
   %System%\5321F6DF.EXE

4. Удалить ключ системного реестра:

   [HCU\System\CurrentControlSet\Services\D245F88F]
   "Description"="F89D594"
   "DisplayName"="D245F88F"
   "ImagePath"="%System%\\5321F6DF.EXE -k"
   "ObjectName"="LocalSystem"

5. Удалить файлы, созданные троянцем:

   *:\autorun.inf
   %System%\F91A1184.DLL

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).