Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияWorm.Win32.AutoRun.bhx

Worm.Win32.AutoRun.bhx

Время детектирования 27 дек 2007 12:21 MSK
Время выпуска обновления 27 дек 2007 12:21 MSK
Описание опубликовано 18 апр 2008 17:58 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на съемных носителях информации. Является приложением Windows (PE-EXE файл). Имеет размер 115760 байт.

Инсталляция

После запуска червь копирует свой исполняемый файл в системный каталог Windows:

%System%\kavo.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%System%\kavo.exe"

Также червь извлекает из своего тела следующий файл:

%System%\kavo0.dll

Данный файл имеет размер 89088 байт и детектируется Антивирусом Касперского как Trojan-PSW.Win32.OnLineGames.mbs.

Также червь извлекает из своего тела файл размером 31545 байт:

%Temp%\<rnd>.dll

Распространение

Червь копирует свой исполняемый файл в корень каждого раздела со следующим именем:

<X>:\XAdeIect.com

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

<X>:\autorun.inf

где <X> – буква раздела.

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


Деструктивная активность

Червь подгружает извлеченную библиотеку во все запущенные в системе процессы.

Также червь перехватывает нажатия клавиш клавиатуры и мыши, если запущен один из следующих процессов:

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

Червь собирает информацию об учетных записях игроков следующих игр:

ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver

Собранные данные отправляются на сайт злоумышленника.

Также червь изменяет значения следующих параметров ключей системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить файл:
    %System%\kavo.exe
  2. Перезагрузить компьютер.
  3. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  4. Удалить параметры в ключах системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "kava" = "%System%\kavo.exe"
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue" = "0"
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = "2"
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "ShowSuperHidden" = "0"
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
    "NoDriveTypeAutoRun" = "0x91"
  5. Удалить файлы:
    %Temp%\<rnd>.dll
    %System%\kavo0.dll
  6. Удалить файлы со всех съемных дисков:
    <X>:\XAdeIect.com
    <X>:\autorun.inf
    где <X> – буква диска.
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Вирусы и черви
Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).


Другие модификации
Worm.Win32.AutoRun.acn
Worm.Win32.AutoRun.aing
Worm.Win32.AutoRun.awkp
Worm.Win32.AutoRun.bghn
Worm.Win32.AutoRun.bnb
Worm.Win32.AutoRun.cpe
Worm.Win32.AutoRun.dru
Worm.Win32.AutoRun.dui
Worm.Win32.AutoRun.dxv
Worm.Win32.AutoRun.eee
Worm.Win32.AutoRun.ezj
Worm.Win32.AutoRun.fk
Worm.Win32.AutoRun.fwl
Worm.Win32.AutoRun.gc
Worm.Win32.AutoRun.gdi
Worm.Win32.AutoRun.ghc
Worm.Win32.AutoRun.gju
Worm.Win32.AutoRun.gvy
Worm.Win32.AutoRun.hja
Worm.Win32.AutoRun.jw
Worm.Win32.AutoRun.lup
Worm.Win32.AutoRun.lzr
Worm.Win32.AutoRun.mte
Worm.Win32.AutoRun.mye
Worm.Win32.AutoRun.qsc
Worm.Win32.AutoRun.vkk
Worm.Win32.AutoRun.vnk

Другие названия

Worm.Win32.AutoRun.bhx («Лаборатория Касперского») также известен как:

  • Trojan.Script.13321 (BitDef7)
  • VBS:Malware-gen (AVAST)
  • Worm.Win32.Autorun (Ikarus)
  • Worm.Win32.AutoRun.bhx [AVP] (FSecure)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск