Worm.Win32.AutoRun.dxv

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых дисках. Является приложением Windows (PE-EXE файл). Имеет размер 18195 байт. Упакован при помощи NSPack. Распакованный размер – около 67 КБ. Написан на C++.

Инсталляция

После запуска червь создает свои копии с именем "WINWORD.EXE" в следующих каталогах:

%WinDir%\WINWORD.EXE
%ProgramFiles%\WINWORD.EXE

Данным файлам устанавливает атрибуты "скрытый", "системный" и "архивный".

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на копии своего файла в ключи автозапуска системного реестра:

Распространение

Червь копирует свое тело на все доступные для записи локальные, съемные и сетевые диски под следующим именем:

<Буква зараженного раздела>:\WINWORD.EXE

Вместе со своим исполняемым файлом помещает файл:

<Буква зараженного раздела>:\AutoRun.inf

что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам устанавливает атрибуты "скрытый", "системный" и "архивный".

Деструктивная активность

Для имитации легитимности файл червя содержит ложную информацию о файле и иконку Microsoft Word:

Устанавливает следующее значение параметру ключа системного реестра для сокрытия скрытых файлов при использовании "Проводника":

[HKLM\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\ShowAll]
"CheckedValue" = "0"

В зависимости от текущей даты может выполнять рекурсивное удаление файлов и каталогов на локальных дисках компьютера пользователя.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс червя:

   WINWORD.EXE

2. Удалить файлы:

   %WinDir%\WINWORD.EXE
   %ProgramFiles%\WINWORD.EXE
   <Буква зараженного раздела>:\WINWORD.EXE
   <Буква зараженного раздела>:\AutoRun.inf
   

3. Удалить параметр ключа системного реестра:

   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "Microsoft Word"="%ProgramFiles%\WINWORD.EXE"
   

4. Восстановить значение параметра ключа системного реестра на следующее:

   [HKLM\software\microsoft\windows NT\currentversion\WinLogon]
   "Userinit" = "userinit.exe,"
   

5. Для отображения скрытых файлов установить следующее значение параметру ключа системного реестра:

   [HKLM\Software\Microsoft\Windows\CurrentVersion\
   Explorer\Advanced\Folder\Hidden\ShowAll]
   "CheckedValue" = "1"
   

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).