Worm.Win32.AutoRun.eee

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Программа является приложением Windows (PE EXE-файл). Имеет размер 225280 байт. Написана на Visual Basic.

Инсталляция

Оригинальный файл червя копирует свое тело в каталог шрифтов Windows под именами "fonts.exe" и "tskmgr.exe":

%WinDir%\Fonts\tskmgr.exe
%WinDir%\Fonts\fonts.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

Деструктивная активность

Червь создает множество своих копий в системных каталогах:

Затем меняет следующий ключ системного реестра:

Это приведет к запуску червя вместо запуска скринсейвера.

Кроме того, меняет ассоциации .reg и .msc файлов:

[HKCR\MSCFile\Shell\Open\Command] 

"(default)"="%WinDir%\\Fonts\\Fonts.exe"

[HKCR\regfile\shell\open\command] 

"(default)"="%WinDir%\\pchealth\\Global.exe"

Это приведет к запуску червя при попытке открыть файлы с расширениями .reg и .msc.

Для одной из своих копий червь добавляет ссылку в ключ автозапуска системного реестра:

Устанавливает отладчиком по умолчанию для диспетчера задач, системной утилиты переключения языка ctfmon и msconfig свой исполняемый файл.

В корневых каталогах всех доступных логических дисков создает файл "MS-DOS.com", а затем, для его автоматического запуска при открытии каталога или при подключении сменного флеш драйва создает файл "autorun.inf".

Кроме того, извлекает из своего тела вредоносный скрипт и помещает его в каталог курсоров под именем "Boom.vbs":

%WinDir%\Cursors\Boom.vbs

Данный скрипт имеет размер 4356 байт и детектируется Антивирусом Касперского как Trojan.VBS.Runner.be. Этот файл будет запускаться при использовании пунктов меню "Завершение работы" таких как "Перезагрузка" и "Выключение", а так же при смене пользователя.

Так же червь отключает отображение скрытых файлов и расширений для исполняемых файлов.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл вредоносной программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить все копии червя:
   %WinDir%\pchealth\helpctr\binaries\HelpHost.com
   %WinDir%\pchealth\Global.exe
   %WinDir%\Help\microsoft.hlp
   %WinDir%\Media\rndll32.pif
   %WinDir%\system32\regedit.exe
   %WinDir%\system32\dllcache\tskmgr.exe
   %WinDir%\system32\dllcache\rndll32.exe
   %WinDir%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
   %WinDir%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
   %WinDir%\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
   %WinDir%\system\KEYBOARD.exe
   %WinDir%\Fonts\tskmgr.exe
   %WinDir%\Fonts\fonts.exe
3. Удалить ключи системного реестра:
   [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
   "sys"="%WinDir%\Fonts\fonts.exe"
   [HKCU\Control Panel\Desktop]
   "SCRNSAVE.EXE"="%WinDir%\\pchealth\\helpctr\\binaries\\HelpHost.com"
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "(default)"="%WinDir%\system\KEYBOARD.exe"
4. Удалить файлы, созданные троянцем на всех логических дисках зараженного компьютера:

   *:\autorun.inf
   *:\MS-DOS.com

5. Удалить ключи системного реестра:

    [HKCR\MSCFile\Shell\Open\Command]
   "(default)"="%WinDir%\\Fonts\\Fonts.exe"
   [HKCR\regfile\shell\open\command]
   "(default)"="%WinDir%\\pchealth\\Global.exe"

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).