Worm.Win32.AutoRun.ezj

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 420925 байта. Упакован UPX. Распакованный размер – около 871 КБ.

Инсталляция

После запуска червь выполняет следующие действия:

• Копирует себя по пути:

  %System%\win32\csrss.exe
  %System%\csrss.exe
  %System%\domain.exe

  файлы создаются с атрибутами "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).
• Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующий ключ системного реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  < LOGONDOMAIN "@" IPADDRESS > = %System%\domain.exe
• Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "Hidden" = "2"
  "HideFileExt" = "1"
  
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer]
  "NofolderOptions" = "1"
  

Распространение

Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под именем:

< имя зараженного раздела >:\iostream.exe

Вместе со своим исполняемым файлом червь помещает файл:

< имя зараженного раздела >:\autorun.inf

что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Производит поиск на всех доступных для записи сетевых, логических и съемных дисках файлов без расширения и копирует себя по найденному пути с именем:

< имя файла>.exe

Производит поиск на всех доступных для записи сетевых, логических и съемных дисках папок и копирует себя по найденному пути с именем:

< имя папки>.exe

Созданным файлам присваиваются атрибуты "скрытый" (hidden), "только чтение" (readonly) и "системный" (system).

Деструктивная активность

После запуска червь выполняет следующие действия:

• Создает нового пользователя root с паролем 3645923527 и добавляет его в группу «Administrators».
• Если среди запущенных процессов присутствует:

  "rundll32.exe",

  то открывает сетевой доступ к диску:

  %Homedrive%

• Разрешает удаленные подключения к компьютеру пользователя по протоколу RDP, создавая следующие ключи системного реестра:
  [HKLM\System\CurrentControlSet\Control\Terminal Server]
  "fDenyTSConnections" = 0
  "MaxOutstandingConnect" = 143
  "EnableConcurrentSessions" = 9
• Отключает редактор реестра и диспетчер задач, создавая следующие ключи системного реестра:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\System]
  "DisableTaskMgr" = "0"
  "DisableRegistryTools" = "0"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для его удаления необходимо выполнить следующие действия:

1. Удалить следующие файлы:

   %System%\win32\csrss.exe
   %System%\csrss.exe
   %System%\domain.exe

2. Удалить ключ реестра:
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   < LOGONDOMAIN "@" IPADDRESS > = %System%\domain.exe
3. Изменить следующие записи системного реестра на первоначальные:
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "Hidden"
   "HideFileExt"
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\System]
   "DisableTaskMgr"
   "DisableRegistryTools"
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer]
   "NofolderOptions"
   [HKLM\System\CurrentControlSet\Control\Terminal Server]
   "fDenyTSConnections"
   "MaxOutstandingConnect"
   "EnableConcurrentSessions"
4. Запретить сетевой доступ к диску:

   %Homedrive%

5. Удалить пользователя root.
6. Удалить на всех сетевых, логических и съемных дисках файлы:
   < имя зараженного раздела >:\iostream.exe
   < имя зараженного раздела >:\autorun.inf
   Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).