Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияWorm.Win32.AutoRun.bnb

Worm.Win32.AutoRun.bnb

Время детектирования 07 янв 2008 09:47 MSK
Время выпуска обновления 07 янв 2008 13:07 MSK
Описание опубликовано 24 сен 2008 15:50 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 46592 байта. Упакован при помощи AsPack, распакованный размер – около 107 КБ.

Инсталляция

Червь копирует свой исполняемый файл в системный каталог Windows:

%System%\[].exe, где и случайные числа

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rising" = "<путь к файлу червя>"

Извлекает из своего тела во временную папку Rootkit-библиотеку:

%Temp%\Bug2.tmp – 12800 байт, детектируется Антивирусом Касперского как Worm.Win32.AutoRun.ll

которая скрывает процесс червя в системе.

Распространение

Червь копирует свой исполняемый файл в корень каждого раздела с именем:

\[].exe, где и - случайные числа, X – буква раздела

Также вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл:

:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


Деструктивная активность

Изменяет тип параметра для следующего ключа реестра с целью блокировки записи в него:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = 0

Червь содержит в себе троянскую компоненту, предназначенную для кражи информации об учетных записях онлайн игры Perfect World. Вредоносная программа ищет в системе процесс с именем "elementclient.exe", и если находит, ищет в его папке файл:

userdata\currentserver.ini

и похищает из него значения следующих параметров:

CurrentGroup
Server
CurrentServer
CurrentServerAddress

Кроме этого вредонос читает память процесса "elementclient.exe" и извлекает из него значения переменных содержащих характеристики персонажа:

  • Имя пользователя
  • Пароль
  • Количество виртуальных денег в игре

Собранные данные червь отправляет в HTTP запросе get на следующие серверы:

***uxian.com.cn
***ulin2.cn
***2i.com.cn

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Rising" = "<путь к файлу червя>"
  4. Удалить копию червя со всех съемных дисков:
    \[].exe
    где – буква диска.
  5. Очистить содержимое папки %Temp%
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Вирусы и черви
Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).


Другие модификации
Worm.Win32.AutoRun.acn
Worm.Win32.AutoRun.aing
Worm.Win32.AutoRun.awkp
Worm.Win32.AutoRun.bghn
Worm.Win32.AutoRun.bhx
Worm.Win32.AutoRun.cpe
Worm.Win32.AutoRun.dru
Worm.Win32.AutoRun.dui
Worm.Win32.AutoRun.eee
Worm.Win32.AutoRun.ezj
Worm.Win32.AutoRun.fk
Worm.Win32.AutoRun.gc
Worm.Win32.AutoRun.gdi
Worm.Win32.AutoRun.ghc
Worm.Win32.AutoRun.gju
Worm.Win32.AutoRun.jw
Worm.Win32.AutoRun.vkk
Worm.Win32.AutoRun.vnk

Другие названия

Worm.Win32.AutoRun.bnb («Лаборатория Касперского») также известен как:

  • Virus: W32/Autorun.worm.b (McAfee)
  • Trojan: Generic!atr (McAfee)
  • Sus/AutoInf-A (Sophos)
  • W32/Whld-B (Sophos)
  • Worm.SdDrop.A (ClamAV)
  • W32/Trojan2.NPC (FPROT)
  • Virus:Win32/Vimes.C (MS(OneCare))
  • Trojan.Popwin.857 (DrWeb)
  • Win32.Loader (DrWeb)
  • Win32/Barime.A (Nod32)
  • Win32/AutoRun.NY (Nod32)
  • Trojan.Qhost.LY (BitDef7)
  • Win32.DL.Vimes.A (VirusBuster)
  • INF.Autorun.Gen (VirusBuster)
  • Generic.Vimes.A (Ikarus)
  • Downloader.Generic4.RNU (AVG)
  • TR/Qhost.LY.5 (AVIRA)
  • W32.Gammima (NAV)
  • W32/Autorun.worm.b (NAI)
  • Generic!atr (NAI)
  • WORM_GAMMIMA.H (PCCIL)
  • Win32.KLdown.g (Rising)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск