RSS-каналы
Уровень опасности: 1
Worm.Win32.AutoRun.cpe
| Время детектирования | 19 фев 2008 00:47 MSK |
| Время выпуска обновления | 19 фев 2008 04:13 MSK |
| Описание опубликовано | 11 апр 2008 17:33 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, создающий свои копии на съемных носителях информации. Является приложением Windows (PE-EXE файл). Имеет размер 73728 байт.
Инсталляция
После запуска червь копирует свой исполняемый файл в системный каталог Windows:
Распространение
Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
где <x> – буква съемного диска.
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
Червь останавливает и удаляет службу "Windows Update".
Также скачивает файлы по следующим ссылкам:
http://www.koreaard.com/*****/ppp.rar
и сохраняет их соответственно в системный каталог Windows:
%System%\xtemp2.exe
После чего скачанные файлы запускаются на исполнение.
На момент создания описания указанные ссылки не работали.
Также червь создает файл, в котором ведет протокол своей работы:
И создает следующие папки:
%WinDir%\web\webdc
%WinDir%\web\webpt
%WinDir%\web\webhp
%WinDir%\web\webxs
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\xtemp1.exeгде <x> – буква съемного диска.
%System%\xtemp2.exe
%System%\ssmicrco.scr
%System%\config\userevent.evt
:\boot.pif
:\autorun.inf - Удалить папки:
%WinDir%\web\webpf
%WinDir%\web\webdc
%WinDir%\web\webpt
%WinDir%\web\webhp
%WinDir%\web\webxs - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Worm.
- Virus:
W32/Autorun. worm. an (McAfee) - Mal/Generic-A (Sophos)
- W32/AutoRun.
XU. worm (Panda) - W32/Worm.
VUJ (FPROT) - Trojan:
Win32/Sisproc (MS(OneCare)) - Trojan.
DownLoader. 36524 (DrWeb) - Win32/Mefir.
A virus (Nod32) - Worm.
Generic. 12245 (BitDef7) - Worm.
AutoRun. ALP (VirusBuster) - Win32:
AutoRun-AAU [Trj] (AVAST) - Worm.
Win32. Autorun (Ikarus) - Downloader.
Agent. WCU (AVG) - TR/Dldr.
73728 (AVIRA) - Downloader (NAV)
- Trojan.
DL. Win32. Downloader. GEN [Suspicious] (Rising) - Worm.
Win32. AutoRun. cpe [AVP] (FSecure) - Trojan.
Win32. Generic!BT (Sunbelt) - Worm.
AutoRun. ALP (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей