Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Worm.Win32.AutoRun.gvy

Worm.Win32.AutoRun.gvy

Время детектирования	30 сен 2009 07:24 MSK
Время выпуска обновления	30 сен 2009 15:17 MSK
Описание опубликовано	20 дек 2010 16:04 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 133000 байт. Написан на C++.

Инсталляция

После запуска червь выполняет следующие действия:

находит в системе процессы, в адресное пространство которых подгружены модули:
```
%System%\wmiprvse.exe
%Temp%\wmiprvse.exe
%ALLUSERSPROFILE%\Application Data\winmgmt.exe
```
и завершает их.

Удаляет файлы:

%System%\wmiprvse.exe
%Temp%\wmiprvse.exe
%ALLUSERSPROFILE%\Application Data\winmgmt.exe

Для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:
```
Program52Mutex
Program50Mutex
Program42Mutex
ProgramLQBMutex
```
Скрывает расширения для .exe файлов в Проводнике Windows, создавая следующие ключи системного реестра:
```
[HKCR\exefile]
"NeverShowExt"

[HKLM\Software\Classes\exefile]
"NeverShowExt"
```

Запрещает отображение скрытых файлов в Проводнике Windows, изменяя для этого ключи:

[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"ShowSuperHidden" = "0" 
"SuperHidden" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden]
"UncheckedValue" = "0"

Копирует свое тело в следующий файл:
```
%ALLUSERSPROFILE%\Application Data\wmimgmt.exe
```
Копия создается с атрибутом "скрытый" (hidden).
Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
```
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wmi32" = "%ALLUSERSPROFILE%\Application Data\wmimgmt.exe"
```
Запускает на выполнение созданную копию.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски под следующим именем:

<имя зараженного раздела>:\RECYCLER\wmimgmt.exe

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\AuToRUn.iNf

(1769 байт; детектируется Антивирусом Касперского как "Worm.Win32.AutoRun.gvy")

который обеспечивает червю возможность запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" (hidden), "системный" (system), "только чтение" (read only).

Кроме того, червь создает в корне зараженного съемного диска копии, имена которых соответствуют именам каталогов, найденных там.

Деструктивная активность

После запуска червь для контроля уникальности своего процесса в системе создает уникальные идентификаторы с именами:

ProgramLQBMutex
DB_F_PROTECT

Червь реализует функционал бэкдора, и предоставляет возможность злоумышленнику загружать на зараженный компьютер другие вредоносные программы, запускать их, а также получать различную информацию о зараженной системе. Параметры подключения к серверу злоумышленника червь считывает из файлов:

%ALLUSERSPROFILE%\DRM\Media\AB4A4DB3.db
%ALLUSERSPROFILE%\line.dat

Информацию о зараженной системе червь собирает посредством запуска сценария командного интерпретатора, извлекаемого из своего тела:

%Temp%\ghi.bat (3346 байт)

Полученная информация включает:

сведения об установленных операционных системах;
значения переменных окружения;
имя компьютера;
информация о центральном процессоре;
список запущенных в системе процессов.

Собранные данные записываются в файл:

%Temp%\INFO.TXT

и в зашифрованном виде отправляются злоумышленнику.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).

Удалить ключи системного реестра (как работать с реестром?):

[HKCR\exefile]
"NeverShowExt"

[HKLM\Software\Classes\exefile]
"NeverShowExt"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wmi32" = "%ALLUSERSPROFILE%\Application Data\wmimgmt.exe"

Восстановить оригинальные значения ключей системного реестра (как работать с реестром?):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"ShowSuperHidden" = "0" 
"SuperHidden" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden]
"UncheckedValue" = "0"

Удалить файлы:

%ALLUSERSPROFILE%\Application Data\wmimgmt.exe
<имя зараженного раздела>:\RECYCLER\wmimgmt.exe
<имя зараженного раздела>:\AuToRUn.iNf
%ALLUSERSPROFILE%\DRM\Media\AB4A4DB3.db
%ALLUSERSPROFILE%\line.dat
%Temp%\ghi.bat
%Temp%\INFO.TXT

Удалить копии червя, созданные в корневых каталогах инфицированных съемных дисков.
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).

Другие модификации

Worm.Win32.AutoRun.acn

Worm.Win32.AutoRun.aing

Worm.Win32.AutoRun.awkp

Worm.Win32.AutoRun.bghn

Worm.Win32.AutoRun.bhx

Worm.Win32.AutoRun.bnb

Worm.Win32.AutoRun.cpe

Worm.Win32.AutoRun.dru

Worm.Win32.AutoRun.dui

Worm.Win32.AutoRun.dxv

Worm.Win32.AutoRun.eee

Worm.Win32.AutoRun.ezj

Worm.Win32.AutoRun.fk

Worm.Win32.AutoRun.fwl

Worm.Win32.AutoRun.gc

Worm.Win32.AutoRun.gdi

Worm.Win32.AutoRun.ghc

Worm.Win32.AutoRun.gju

Worm.Win32.AutoRun.hja

Worm.Win32.AutoRun.jw

Worm.Win32.AutoRun.lup

Worm.Win32.AutoRun.lzr

Worm.Win32.AutoRun.mte

Worm.Win32.AutoRun.mye

Worm.Win32.AutoRun.qsc

Worm.Win32.AutoRun.vkk

Worm.Win32.AutoRun.vnk

Другие названия

Worm.Win32.AutoRun.gvy («Лаборатория Касперского») также известен как:

Virus: W32/Autorun.worm.bx (McAfee)
Worm.Autorun-3020 (ClamAV)
W32/AutoRun.JZJ (Panda)
Worm:Win32/Hilgild!gen.A (MS(OneCare))
Win32.HLLW.Autoruner.28501 (DrWeb)
Win32/AutoRun.Agent.UI worm (Nod32)
Trojan.Downloader.Agent.ABDP (BitDef7)
Win32:Malware-gen (AVAST)
Worm.Win32.Hilgild (Ikarus)
Worm/Generic.BHFW (AVG)
W32.SillyFDC (NAV)
NseCheckFile2() returned 0x00010018 (Norman)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей