RSS-каналы
Уровень опасности: 1
Worm.Win32.AutoRun.dui
| Время детектирования | 19 май 2008 14:40 MSK |
| Время выпуска обновления | 26 май 2008 12:15 MSK |
| Описание опубликовано | 28 окт 2009 14:41 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, распространяющийся при помощи сменных носителей информации. Является приложением Windows (PE EXE-файл). Имеет размер 38400 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 54 КБ. Написана на C++.
Деструктивная активность
При запуске червь внедряет в адресное пространство процесса «explorer» код, который выполняет функции бэкдора и получает команды удаленного управления от злоумышленника.
Данный код подключается к IRC-серверу. При этом используются следующие данные:
IRC-сервер: 67.*****.106 Порт: 7000 Имя пользователя: nnpvtb Пароль: trb123trbЧервь распространяется путем копирования своего исполняемого файла на сменные носители. Копии троянца создаются под следующим именем:
<Disk>\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exeГде <Disk> – сменный носитель.
Для автоматического запуска своей копии, червь создает в корневом каталоге сменных носителей файл с именем, а который записывает соответствующую информацию:
><Disk>\Autorun.inf
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
\Autorun.inf - Перезагрузить компьютер.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Worm.
- Trojan:
Generic!atr (McAfee) - Mal/EncPk-CE (Sophos)
- W32/HostInf-A (Sophos)
- Worm.
Autorun-970 (ClamAV) - W32/Autorun.
AMC. worm (Panda) - IS/Autorun (FPROT)
- Worm:
Win32/Autorun!inf (MS(OneCare)) - Worm:
Win32/Hamweq. L (MS(OneCare)) - Trojan.
MulDrop. 6474 (DrWeb) - Win32.
HLLW. MyBot. 125 (DrWeb) - Win32.
HLLW. Autoruner (DrWeb) - Win32/AutoRun.
KS worm (Nod32) - Packer.
Malware. NSAnti. DE (BitDef7) - Trojan.
AutorunINF. Gen (BitDef7) - INF.
Autorun. Gen (VirusBuster) - BV:
AutoRun-G [Wrm] (AVAST) - Virus.
Win32. DelfInject (Ikarus) - Trojan.
Autorun. TE (Ikarus) - Worm/AutoRun.
FQ (AVG) - (1)/RECYCLER/S-1-5-21-1482476501-1644491937-682003330-1013/ise32.
exe <<< DR/Delphi. Gen (AVIRA) - W32.
SillyFDC (NAV) - BAT/AutoRun.
BO (Norman) - Generic!atr (NAI)
- Trojan.
PSW. Win32. GameOLSys. do (Rising) - Trojan-GameThief.
Win32. OnLineGames. rem [AVP] (FSecure) - Worm.
Win32. AutoRun. dui [AVP] (FSecure) - Mal_Otorun1 (TrendMicro)
- Packer.
Malware. NSAnti (Sunbelt) - INF.
Autorun (v) (Sunbelt) - INF.
Autorun. Gen (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей