RSS-каналы
Уровень опасности: 1
Следите в 
Worm.Win32.AutoRun.vkk
| Время детектирования | 23 дек 2008 13:06 MSK |
| Время выпуска обновления | 23 дек 2008 17:22 MSK |
| Описание опубликовано | 11 мар 2010 13:26 MSK |
Технические детали
Деструктивная активность
Рекомендации по удалению
Для автоматического запуска созданной копии процессом "explorer.exe" при каждом следующем старте системы червь создает ключ системного реестра:
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 24776 байт. Упакован неизвестным упаковщиком. Распакованный размер – около 56 КБ. Написан на C++.
Инсталляция
После запуска червь перемещает содержимое файла%System%\spoolsv.exeв файл
c:\tm.saДалее червь копирует свое тело в следующие файлы:
%System%\spoolsv.exe %System%\dllcache\spoolsv.exeПри этом для своего оригинального файла червь устанавливает атрибуты "скрытый" (hidden) и "системный" (system).
Для автоматического запуска созданной копии процессом "explorer.exe" при каждом следующем старте системы червь создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"internetnet" = "%System%\spoolsv.exe"
"internetnet" = "%System%\spoolsv.exe"
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:ZGVZ.PIFВместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\AUTORUN.INFследующего содержания:
[AutoRun] shell\open=ґтї?(&O) shell\open\Command=ZGVZ.PIF shell\open\Default=1 shell\explore=ЧКФґ№ЬАнЖч(&X) shell\explore\command=ZGVZ.PIFЭто позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
- создает уникальный идентификатор с именем:
CHASHADUAN
- Удаляет файлы:
%System%\mfc71.dll
C:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KASBrowserShield.DLL
D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll - Запускает системную утилиту "cacls.exe" со следующими параметрами:
%System%\packet.dll /e /p everyone:f %System%\pthreadVC.dll /e /p everyone:f %System%\wpcap.dll /e /p everyone:f %System%\npptools.dll /e /p everyone:f %System%\drivers\acpidisk.sys /e /p everyone:f %System%\wanpacket.dll /e /p everyone:f
Это позволяет открыть общий доступ к вышеперечисленным файлам. - Останавливает работу службы "Beep". После этого бинарный файл данной службы
%System%\drivers\beep.sys
заменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2304 байта, детектируется Антивирусом Касперского как "Worm.Win32.AutoRun.vmn". После замены бинарного файла работа службы "Beep" возобновляется. - Выгружает из системной памяти следующие процессы:
360Safe.exe 360tray.exe 360rpt.EXE Runiep.exe Rsaupd.exe RAv.exe RSTray.exe CCenter.EXE RAVMON.EXE Ravservice.EXE ScanFrm.exe rsnetsrv.EXE RAVTRAY.EXE RAVMOND.EXE GuardField.exe Ravxp.exe GFUpd.exe kmailmon.exe kavstart.exe KAVPFW.EXE kwatch.exe kav32.exe kissvc.exe UpdaterUI.exe rfwsrv.exe rfwProxy.exe Rfwstub.exe RavStub.exe rfwmain.exe TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe KRegEx.exe KvXP.kxp kvsrvxp.kxp kvsrvxp.exe KVWSC.ExE Iparmor.exe Avp.EXE VsTskMgr.exe EsuSafeguard.exe wuauclt.exe
- Останавливает работу следующих служб:
sharedaccess McShield KWhatchsvc KPfwSvc Kingsoft Internet Security Common Service Symantec AntiVirus norton AntiVirus server DefWatch Symantec AntiVirus Drivers Services Symantec AntiVirus Definition Watcher Norton AntiVirus Server
- Запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:
/c net1 start server /c sc delete spooler
Это приводит запуску службы "server" и удалению службы "spooler". - Запускает процесс
%Program files%\Internet Explorer\IEXPLORE.EXE
- Находит в системе окно с именем класса "IEFrame" и внедряет адресное пространство процесса, соответствующего этому окну, исполняемый код, загружающий из сети Интернет файлы по следующим ссылкам:
http://a.w***7.com/dd/x.gif http://a.w***7.com/dd/1.exe http://a.w***7.com/dd/2.exe http://a.w***7.com/dd/3.exe http://a.w***7.com/dd/4.exe http://a.w***7.com/dd/5.exe http://a.w***7.com/dd/6.exe http://a.w***7.com/dd/7.exe http://a.w***7.com/dd/8.exe http://a.w***7.com/dd/9.exe http://a.w***7.com/dd/10.exe
На момент создания описания ссылки не работали. Загруженные файлы сохраняются в системе соответственно под следующими именами:%Program Files%\ccdd.pif %Documents and Settings%\1ts.pif %Documents and Settings%\2ts.pif %Documents and Settings%\3t.pif %Documents and Settings%\4.pif %Documents and Settings%\5.pif %Documents and Settings%\6ts.pif %Documents and Settings%\7.pif %Documents and Settings%\8.pif %Documents and Settings%\9ts.pif %Documents and Settings%\10ts.pif
После успешной загрузки файлы запускаются на выполнение. - Создает ключи системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Application name>]Всего создается 61 ключ. Подстрока <Application name> принимает следующие значения:
"debugger"= "%System%\dllcache\spoolsv.exe"360rpt.EXE 360safe.EXE 360tray.EXE 360safebox.EXE safeboxTray.EXE AVP.EXE AVP.COM AvMonitor.EXE Ravservice.EXE RAVTRAY.EXE CCenter.EXE IceSword.EXE Iparmor.EXE KVMonxp.KXP KVSrvXP.EXE KVWSC.EXE Navapsvc.EXE Nod32kui.EXE nod32krn.EXE KRegEx.EXE Frameworkservice.EXE Mmsk.EXE Ast.EXE WOPTILITIES.EXE Regedit.EXE AutoRunKiller.EXE VPC32.EXE VPTRAY.EXE ANTIARP.EXE KASARP.EXE RAV.EXE kwatch.EXE kmailmon.EXE kavstart.EXE KAVPFW.EXE Runiep.EXE GuardField.EXE GFUpd.EXE Rfwstub.EXE rfwmain.EXE RavStub.EXE rsnetsvr.EXE ScanFrm.EXE RsMain.EXE Rsaupd.EXE rfwProxy.EXE rfwsrv.EXE msconfig.EXE SREngLdr.EXE ArSwp.EXE RSTray.EXE QQDoctor.EXE TrojanDetector.EXE RSTray.EXE Trojanwall.EXE TrojDie.KXP PFW.EXE HijackThis.EXE KPfwSvc.EXE kissvc.EXE kav32.EXE
- Изменяет значение ключа системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Это приводит к отключению отображения скрытых файлов и папок.
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "2" - Удаляет ключи системного реестра:
[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLM\System\CurrentControlSet\Control\SafeBoot\Network]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"360Safetray"
"360Safebox"
"KavStart"
"vptray" - Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют строки:
NOD32 Process Mcafee Firewall virus anti worm SREng
то это окно будет закрыто, а процесс, соответствующий окну, завершен.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- При помощи ( "Диспетчера задач") завершить процесс "IEXPLORE.EXE".
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"internetnet" = "%System%\spoolsv.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<Application name>]
"debugger"= "%System%\dllcache\spoolsv.exe" - Восстановить исходное значение ключа системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = "2" - Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\spoolsv.exe %System%\dllcache\spoolsv.exe ZGVZ.PIF <имя зараженного раздела>:\AUTORUN.INF %Program Files%\ccdd.pif %Documents and Settings%\1ts.pif %Documents and Settings%\2ts.pif %Documents and Settings%\3t.pif %Documents and Settings%\4.pif %Documents and Settings%\5.pif %Documents and Settings%\6ts.pif %Documents and Settings%\7.pif %Documents and Settings%\8.pif %Documents and Settings%\9ts.pif %Documents and Settings%\10ts.pif
- Сохранить файл
c:\tm.sa
как%System%\spoolsv.exe
- Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Worm
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Другие модификации
Другие названия
Worm.
- Mal/Behav-160 (Sophos)
- W32/OnlineGames.
A. gen!GSA (FPROT) - Worm:
Win32/Autorun. gen!BQ [generic] [non_writable_container] (MS(OneCare)) - Win32.
HLLW. Ressdt. 42 (DrWeb) - Win32/AutoRun.
WC worm (Nod32) - Backdoor.
Generic. 168156 (BitDef7) - Win32:
Agent-AEUB [Trj] (AVAST) - Worm.
Win32. Autorun (Ikarus) - Worm/Generic.
TUS. dropper (AVG) - TR/Crypt.
FKM. Gen (AVIRA) - W32.
SillyFDC (NAV) - W32/AutoRun.
JXL (Norman) - Worm.
Win32. DownLoad. mj (Rising) - TROJ_KILLAV.
TF (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей