Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияWorm.Win32.AutoRun.gc

Worm.Win32.AutoRun.gc

Время детектирования 15 ноя 2007 18:37 MSK
Время выпуска обновления 15 ноя 2007 18:37 MSK
Описание опубликовано 01 июн 2009 17:10 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, похищающий пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 97788 байт. Написан на С++.

Инсталляция

После активации червь копирует свое тело в системный каталог Windows под именем "avpo.exe":

%System%\avpo.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"avpa" = "%System%\avpo.exe"

Распространение

Червь копирует свой исполняемый файл на все логические и съемные диски под именем "ntde1ect.com":

X:\ntde1ect.com

Далее в корне каждого каталога червь создает файл "autorun.inf":

X:\autorun.inf

который запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник",

где <X> — буква раздела.

Всем созданным файлам червь устанавливает атрибут "скрытый".


Деструктивная активность

Червь извлекает из своего тела динамическую библиотеку DLL под именем "avpo0.dll":

%System%\avpo0.dll

Далее файлу присваивается атрибут "скрытый".
Данный файл имеет размер 31455 байт и детектируется Антивирусом Касперского как Packed.Win32.NSAnti.r.

Данная библиотека внедряется во все запущенные процессы в системе, и с ее помощью производится перехват нажатия клавиш клавиатуры в следующем процессе:

maplestory.exe

Таким способом, червь пытается похитить информацию об учетных записях игроков для игры:

Maple Story

Также червь анализирует файлы настроек вышеуказанной игры и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.

Собранная информация отправляется на сайт злоумышленникам в HTTP запросе:

http://www.gamesrb.com/*****/mwo/lin.asp

Также червь извлекает из своего тела драйвер во временный каталог текущего пользователя Windows под случайно сгенерированным именем:

%Temp%\<rnd>.sys

Где <rnd> — случайная последовательность цифр и букв латинского алфавита, например "qb4y9wm".

Данный файл имеет размер 21810 байт и детектируется Антивирусом Касперского как Rootkit.Win32.Vanti.gl.

Далее драйвер копируется в системный каталог Windows под именем "wincab.sys":

%System%\wincab.sys

Для запуска драйвера червь использует следующую службу:

[HKLM\SYSTEM\CurrentControlSet\Services\Wincab]

Данный драйвер завершает следующие процессы:

KAV
RAV
AVP
KAVSVC

Также скрывает файлы, процессы и ключи реестра, содержащие в имени подстроку "wincab" при помощи подмены обработчиков следующих функций:

NtEnumerateKey
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInfromation

в KeServiceDescriptorTable.

Червь изменяет значения следующих параметров ключей системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "91"

Таким образом, отключается отображение скрытых файлов и включаются функции автозапуска.

Также червь производит загрузку файла со следующего URL:

http://www.om7890.com/*****/help.exe

Загруженный файл сохраняется в системный каталог Windows под именем "help.exe":

%System%\help.exe

После успешного сохранения файл запускается на выполнение.

На момент создания описания по указанной ссылке вредоносных объектов не загружалось.

Червь выгружает из памяти следующие процессы:

rtsniff.exe
packetcapture.exe
peepnet.exe
capturenet.exe
wireshark.exe
aps.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файлы: 
    %System%\avpo.exe
%System%\avpo0.dll
%System%\wincab.sys
%System%help.exe
  3. Очистить содержимое папки %Temp%.
  4. Перезагрузить компьютер.
  5. Удалить параметры в ключах системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "avpa" = "%System%\avpo.exe"

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue" = "0"

    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = "2"

    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "ShowSuperHidden" = "0"

    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
    "NoDriveTypeAutoRun" = "91"
  6. Очистить каталог %Temporary Internet Files%.
  7. Удалить файлы со всех дисков:
    X:\ntde1ect.com
    X:\autorun.inf
    где <X> — буква диска.
  8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Вирусы и черви
Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).


Другие модификации
Worm.Win32.AutoRun.acn
Worm.Win32.AutoRun.aing
Worm.Win32.AutoRun.awkp
Worm.Win32.AutoRun.bghn
Worm.Win32.AutoRun.bhx
Worm.Win32.AutoRun.bnb
Worm.Win32.AutoRun.cpe
Worm.Win32.AutoRun.dru
Worm.Win32.AutoRun.dui
Worm.Win32.AutoRun.dxv
Worm.Win32.AutoRun.eee
Worm.Win32.AutoRun.ezj
Worm.Win32.AutoRun.fk
Worm.Win32.AutoRun.fwl
Worm.Win32.AutoRun.gdi
Worm.Win32.AutoRun.ghc
Worm.Win32.AutoRun.gju
Worm.Win32.AutoRun.gvy
Worm.Win32.AutoRun.hja
Worm.Win32.AutoRun.jw
Worm.Win32.AutoRun.lup
Worm.Win32.AutoRun.lzr
Worm.Win32.AutoRun.mte
Worm.Win32.AutoRun.mye
Worm.Win32.AutoRun.qsc
Worm.Win32.AutoRun.vkk
Worm.Win32.AutoRun.vnk

Другие названия

Worm.Win32.AutoRun.gc («Лаборатория Касперского») также известен как:

  • Virus.Win32.AutoRun.adj («Лаборатория Касперского»)
  • Trojan: PWS-Gamania.gen.a (McAfee)
  • Troj/PWS-ARB (Sophos)
  • Trojan.Agent-18977 (ClamAV)
  • W32/AutoRun.DJ.worm (Panda)
  • W32/Trojan2.QNZ (FPROT)
  • Worm:Win32/Wowsteal.ZE (MS(OneCare))
  • Win32.HLLW.Autoruner.437 (DrWeb)
  • Win32/PSW.OnLineGames.NFN trojan (Nod32)
  • Trojan.PWS.OnlineGames.WME (BitDef7)
  • Trojan.PWS.OnlineGames.BZB (VirusBuster)
  • Win32:Crypt-CJZ [Trj] (AVAST)
  • Trojan-GameThief.Win32.OnLineGames (Ikarus)
  • Obfustat.ZQQ (AVG)
  • TR/Onlinegames.B.5 (AVIRA)
  • Trojan.Packed.NsAnti (NAV)
  • W32/AutoRun.UGO (Norman)
  • Worm.Win32.Autorun.izs (Rising)
  • Worm.Win32.AutoRun.gc [AVP] (FSecure)
  • Mal_Nsanti-X (TrendMicro)
  • Packed.Win32.Krap.b (v) (Sunbelt)
  • Trojan.PWS.OnlineGames.BZB (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск