Worm.Win32.AutoRun.vnk

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 20680 байт. Упакован неизвестным упаковщиком. Распакованный размер – около 44 КБ. Написан на C++.

Инсталляция

После запуска червь перемещает содержимое файла

%System%\spoolsv.exe

в файл

c:\tm.sa

Далее червь копирует свое тело в следующие файлы:

%System%\spoolsv.exe
%System%\dllcache\spoolsv.exe

Для автоматического запуска созданной копии процессом "explorer.exe" при каждом следующем старте системы червь создает ключ системного реестра: Для своего оригинального файла червь устанавливает атрибут "скрытый" (hidden).

Распространение

Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:

ZGXZ.PIF

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\AUTORUN.INF

следующего содержания: Это позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваивается атрибут "скрытый" (hidden).

Деструктивная активность

После запуска червь выполняет следующие действия:

• создает уникальный идентификатор с именем:

  ZOUXIAQU

• Удаляет файлы:
  %System%\mfc71.dll C:\Program Files\Kingsoft\Kingsoft Internet Security 2008\KASBrowserShield.DLL D:\Program Files\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll
• Запускает системную утилиту "cacls.exe" со следующими параметрами:

  %System%\packet.dll /e /p everyone:f
  %System%\pthreadVC.dll /e /p everyone:f
  %System%\wpcap.dll /e /p everyone:f
  %System%\drivers\npf.sys /e /p everyone:f
  %System%\npptools.dll /e /p everyone:f
  %System%\drivers\acpidisk.sys /e /p everyone:f
  %System%\wanpacket.dll /e /p everyone:f

  Это позволяет открыть общий доступ к вышеперечисленным файлам.
• Останавливает работу службы "Beep". После этого бинарный файл данной службы

  %System%\drivers\beep.sys

  заменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2304 байта, детектируется Антивирусом Касперского как "Worm.Win32.AutoRun.vmn". После замены бинарного файла работа службы "Beep" возобновляется.
• Выгружает из системной памяти следующие процессы:

  360Safe.exe
  360tray.exe
  360rpt.EXE
  Runiep.exe
  Rsaupd.exe
  RAv.exe
  RSTray.exe
  CCenter.EXE
  RAVMON.EXE
  Ravservice.EXE
  ScanFrm.exe
  rsnetsrv.EXE
  RAVTRAY.EXE
  RAVMOND.EXE
  GuardField.exe
  Ravxp.exe
  GFUpd.exe
  kmailmon.exe
  kavstart.exe
  KAVPFW.EXE
  kwatch.exe
  kav32.exe
  kissvc.exe
  UpdaterUI.exe
  rfwsrv.exe
  rfwProxy.exe
  Rfwstub.exe
  RavStub.exe
  rfwmain.exe
  TBMon.exe
  nod32kui.exe
  nod32krn.exe
  KASARP.exe
  FrameworkService.exe
  scan32.exe
  VPC32.exe
  VPTRAY.exe
  AntiArp.exe
  KRegEx.exe
  KvXP.kxp
  kvsrvxp.kxp
  kvsrvxp.exe
  KVWSC.ExE
  Iparmor.exe
  Avp.EXE
  VsTskMgr.exe
  EsuSafeguard.exe
  wuauclt.exe

• Останавливает работу следующих служб:

  sharedaccess
  McShield
  KWhatchsvc
  KPfwSvc
  Kingsoft Internet Security Common Service
  Symantec AntiVirus
  norton AntiVirus server
  DefWatch
  Symantec AntiVirus Drivers Services
  Symantec AntiVirus Definition Watcher
  Norton AntiVirus Server

• Запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

  /c net1 start server
  /c sc delete spooler

  Это приводит запуску службы "server" и удалению службы "spooler".
• Запускает процесс

  %Program files%\Internet Explorer\IEXPLORE.EXE

• Находит в системе окно с именем класса "IEFrame" и внедряет адресное пространство процесса, соответствующего этому окну, исполняемый код, загружающий из сети Интернет файлы по следующим ссылкам:

  http://a***c7.com/dd/x.gif
  http://a***c7.com/dd/1.exe
  http://a***c7.com/dd/2.exe
  http://a***c7.com/dd/3.exe
  http://a***c7.com/dd/4.exe
  http://a***c7.com/dd/5.exe
  http://a***c7.com/dd/6.exe
  http://a***c7.com/dd/7.exe
  http://a***c7.com/dd/8.exe
  http://a***c7.com/dd/9.exe
  http://a***c7.com/dd/10.exe

  На момент создания описания ссылки не работали. Загруженные файлы сохраняются в системе соответственно под следующими именами:

  C:\Program Files\ccdd.pif
  C:\Documents and Settings\1ts.pif
  C:\Documents and Settings\2ts.pif
  C:\Documents and Settings\3t.pif
  C:\Documents and Settings\4.pif
  C:\Documents and Settings\5.pif
  C:\Documents and Settings\6ts.pif
  C:\Documents and Settings\7.pif
  C:\Documents and Settings\8.pif
  C:\Documents and Settings\9ts.pif
  C:\Documents and Settings\10ts.pif

  После успешной загрузки файлы запускаются на выполнение.
• Создает ключи системного реестра:
  [HKLM\Software\Microsoft\Windows NT\
  CurrentVersion\Image File Execution Options\] "debugger"= "%System%\dllcache\spoolsv.exe"
  Всего создается 61 ключ. Подстрока принимает следующие значения:

  360rpt.EXE
  360safe.EXE
  360tray.EXE
  360safebox.EXE
  safeboxTray.EXE
  AVP.EXE
  AVP.COM
  AvMonitor.EXE
  Ravservice.EXE
  RAVTRAY.EXE
  CCenter.EXE
  IceSword.EXE
  Iparmor.EXE
  KVMonxp.KXP
  KVSrvXP.EXE
  KVWSC.EXE
  Navapsvc.EXE
  Nod32kui.EXE
  nod32krn.EXE
  KRegEx.EXE
  Frameworkservice.EXE
  Mmsk.EXE
  Ast.EXE
  WOPTILITIES.EXE
  Regedit.EXE
  AutoRunKiller.EXE
  VPC32.EXE
  VPTRAY.EXE
  ANTIARP.EXE
  KASARP.EXE
  RAV.EXE
  kwatch.EXE
  kmailmon.EXE
  kavstart.EXE
  KAVPFW.EXE
  Runiep.EXE
  GuardField.EXE
  GFUpd.EXE
  Rfwstub.EXE
  rfwmain.EXE
  RavStub.EXE
  rsnetsvr.EXE
  ScanFrm.EXE
  RsMain.EXE
  Rsaupd.EXE
  rfwProxy.EXE
  rfwsrv.EXE
  msconfig.EXE
  SREngLdr.EXE
  ArSwp.EXE
  RSTray.EXE
  QQDoctor.EXE
  TrojanDetector.EXE
  Trojanwall.EXE
  TrojDie.KXP
  PFW.EXE
  HijackThis.EXE
  AutoRun.EXE
  KPfwSvc.EXE
  kissvc.EXE
  kav32.EXE

• Изменяет значение ключа системного реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer
  \Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = "2"
  Это приводит к отключению отображения скрытых файлов и папок.
• Удаляет ключи системного реестра:
  [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal] "{4D36E967-E325-11CE-BFC1-08002BE10318}"
  
  [HKLM\System\CurrentControlSet\Control\SafeBoot\Network] "{4D36E967-E325-11CE-BFC1-08002BE10318}"
  
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "360Safetray" "360Safebox" "KavStart" "vptray"
• Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют строки:

  NOD32
  Process
  Mcafee
  Firewall
  virus
  anti
  worm
  SREng

  то это окно будет закрыто, а процесс, соответствующий окну, завершен.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить троянский процесс.
2. При помощи Диспетчера задач завершить процесс "IEXPLORE.EXE".
3. Удалить ключи системного реестра (как работать с реестром?):
   [HKLM\Software\Microsoft\Windows\CurrentVersion\
   policies\explorer\run] "internetnet" = "%System%\spoolsv.exe"
   
   [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\] "debugger"= "%System%\dllcache\spoolsv.exe"
4. Восстановить исходное значение ключа системного реестра (как работать с реестром?):
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = "2"
5. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
6. Удалить файлы:

   %System%\spoolsv.exe
   %System%\dllcache\spoolsv.exe
   ZGXZ.PIF
   <имя зараженного раздела>:\AUTORUN.INF
   C:\Program Files\ccdd.pif
   C:\Documents and Settings\1ts.pif
   C:\Documents and Settings\2ts.pif
   C:\Documents and Settings\3t.pif
   C:\Documents and Settings\4.pif
   C:\Documents and Settings\5.pif
   C:\Documents and Settings\6ts.pif
   C:\Documents and Settings\7.pif
   C:\Documents and Settings\8.pif
   C:\Documents and Settings\9ts.pif
   C:\Documents and Settings\10ts.pif

7. Сохранить файл

   c:\tm.sa

   как

   %System%\spoolsv.exe

8. Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):

   %Temporary Internet Files%

9. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).