Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияWorm.Win32.AutoRun.dru

Worm.Win32.AutoRun.dru

Время детектирования 13 май 2008 11:08 MSK
Время выпуска обновления 26 май 2008 12:14 MSK
Описание опубликовано 09 июн 2008 18:51 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 161280 байт. Упакован при помощи UPX, распакованный размер – около 428 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл под следующими именами:

%Documents and Settings%\User\Start Menu\Programs\Startup\start.exe
%System%\svchosl.exe
%System%\explorer.exe
%System%\acor.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE" = "%System%\ctfmon.exe"
"userinit" = "%System%\svchosl.exe"
"explorer" = "%System%\explorer.exe"

Распространение

Червь копирует свой исполняемый файл в корень каждого раздела со следующим именем:

<X>:\start.exe

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

<X>:\autorun.inf

где <X> – буква раздела.

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".


Деструктивная активность

Червь блокирует диспетчер задач, добавляя следующий параметр реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Периодически выполняет следующую команду:

“NET SEND * Hi, You network Hacked Mr. ?!!”

рассылая вышеуказанное сообщение всем компьютерам в рабочей группе пользователя, а так же непрерывно копирует это сообщение в буфер обмена Windows.

Также червь периодически может завершать работу Windows.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить следующий параметр системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
2. При помощи «Диспетчера задач» завершить вредоносный процесс. 3. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). 4. Удалить параметры в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE" = "%System%\ctfmon.exe"
"userinit" = "%System%\svchosl.exe"
"explorer" = "%System%\explorer.exe"
5. Удалить файлы:
%Documents and Settings%\User\Start
Menu\Programs\Startup\start.exe
%System%\svchosl.exe
%System%\explorer.exe
%System%\acor.exe
6. Удалить файлы со всех съемных дисков:
<X>:\start.exe
<X>:\autorun.inf
где <X> – буква диска. 7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать
Bookmark and Share
Закладки
Вирусы и черви
Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).


Другие модификации
Worm.Win32.AutoRun.acn
Worm.Win32.AutoRun.aing
Worm.Win32.AutoRun.awkp
Worm.Win32.AutoRun.bghn
Worm.Win32.AutoRun.bhx
Worm.Win32.AutoRun.bnb
Worm.Win32.AutoRun.cpe
Worm.Win32.AutoRun.dui
Worm.Win32.AutoRun.dxv
Worm.Win32.AutoRun.eee
Worm.Win32.AutoRun.ezj
Worm.Win32.AutoRun.fk
Worm.Win32.AutoRun.fwl
Worm.Win32.AutoRun.gc
Worm.Win32.AutoRun.gdi
Worm.Win32.AutoRun.ghc
Worm.Win32.AutoRun.gju
Worm.Win32.AutoRun.gvy
Worm.Win32.AutoRun.hja
Worm.Win32.AutoRun.jw
Worm.Win32.AutoRun.lup
Worm.Win32.AutoRun.lzr
Worm.Win32.AutoRun.mte
Worm.Win32.AutoRun.mye
Worm.Win32.AutoRun.qsc
Worm.Win32.AutoRun.vkk
Worm.Win32.AutoRun.vnk

Другие названия

Worm.Win32.AutoRun.dru («Лаборатория Касперского») также известен как:

  • Virus: W32/Autorun.worm.gen (McAfee)
  • Mal/Generic-A (Sophos)
  • Worm.Autorun-1627 (ClamAV)
  • W32/Threat-SysVenFak-based!Maximus (FPROT)
  • Win32.HLLW.Autoruner.2151 (DrWeb)
  • a variant of Win32/Autorun worm (Nod32)
  • Worm.Generic.33534 (BitDef7)
  • Worm.AutoRun.BEH (VirusBuster)
  • Win32:Trojan-gen {Other} (AVAST)
  • Worm.Win32.Autorun (Ikarus)
  • Worm/Generic.HYO (AVG)
  • TR/Crypt.FKM.Gen (AVIRA)
  • Infostealer.Gampass (NAV)
  • W32/AutoRun.DUJ (Norman)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск