Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияWorm.Win32.AutoRun.aing

Worm.Win32.AutoRun.aing

Время детектирования 18 май 2009 00:17 MSK
Время выпуска обновления 18 май 2009 04:49 MSK
Описание опубликовано 14 сен 2009 17:39 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа — червь, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 99449 байт. Упакована при помощи UPX. Распакованный размер — около 255 КБ. Написана на Delphi.


Деструктивная активность

После запуска вредонос извлекает из своего тела файл, который сохраняет под именем:

c:\Program Files\Internet Explorer\003.tmp

Затем червь расшифровывает извлеченный файл и сохраняет в каталог с драйверами Windows, под именем:

%System%\drivers\JM.sys

Данный файл имеет размер 3232 байта и детектируется Антивирусом Касперского как Rootkit.Win32.Agent.kpa.

Далее червь устанавливает вредоносный драйвер под видом службы с именем "DMusic" и запускает его на выполнение. При этом добавляет в ключ системного реестра следующие параметры:

[HKLM\System\CurrentControlSet\Services\DMusic]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"="%System%\DRIVERS\JM.sys"
"DisplayName"="Синтезатор DLS ядра системы"

[HKLM\System\CurrentControlSet\Services\DMusic\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKLM\System\CurrentControlSet\Services\DMusic\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000

Также извлекает из своего тела следующие файлы:

C:\Program Files\Internet Explorer\12~~.tmp – 1612 байт
C:\Program Files\Internet Explorer\001.tmp - 4096 байт
C:\Program Files\Internet Explorer\002.tmp – 4096 байт, детектируется
Антивирусом Касперского как Rootkit.Win32.Agent.ouf

Червь противодействует запуску ряда антивирусных и системных программ, добавляя в системный реестр следующие ключи:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] "Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe] "Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\agentsvr.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apvxdwin.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ast.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avengine.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avltmain.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp32.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avtask.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdwizreg.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boxmod.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccapp.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccenter.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccevtmgr.exe]
"Debugger"="ntsd -d"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccregvfy.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccsetmgr.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\extdb.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\frameworkservice.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\frwstub.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardfield.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmor.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kaccore.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kasmain.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvcui.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kislnchr.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\knownsvr.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfw32.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfwsvc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kregex.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvfw.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvmonxp.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvmonxp.kxp]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvprescan.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvsrvxp.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvxp.kxp]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\makereport.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcagent.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcdash.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcdetect.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mctskshd.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcvsescn.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcvsshld.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mghtml.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\naprdmgr.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapw32.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nmain.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\npfmntor.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oasclnt.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pavsrv51.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pfw.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psctrls.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psimreal.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psimsvc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qqdoctormain.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwproxy.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsagent.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsmain.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rssafety.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safebank.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanfrm.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sched.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\secnotifier.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SetupLD.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shstat.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smartup.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sndsrvc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spbbcsvc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tbmon.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uihost.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ulibcfg.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updaterui.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uplive.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vcr32.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vcrmon.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vstskmgr.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vstskmgr.exe ] «Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webproxy.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xnlscn.exe]
«Debugger»=«ntsd -d»

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\РЮёґ№?ѕЯ.exe]
«Debugger»=«ntsd -d»

Затем создает службу с именем "qq2" и запускает извлеченный вредоносный драйвер "002.tmp" на выполнение. При этом добавляет в системный реестр следующие ключи:

[HKLM\System\CurrentControlSet\Services\qq2]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"ImagePath"= "\??\C:\Program Files\Internet Explorer\002.tmp"
"DisplayName"="qq2"
[HKLM\System\CurrentControlSet\Services\qq2\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKLM\System\CurrentControlSet\Services\qq2\Enum]
"0"="Root\LEGACY_QQ2\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Затем добавляет в ключ реестра, который указывает на установленный по умолчанию браузер, следующие параметры:

 [HKCR\HTTP\shell\open\command]
"TJID"="0517"
"me" = ""

После этого червь копирует свое тело под следующим именем:

%WinDir%\java\classes\CLIPORV.exe

Подменяет исполняемый файл службы просмотра страниц папок обмена удаленных компьютеров "ClipSrv", своим вредоносным телом. Данной службе вредонос устанавливает название "ClipBook" и в описании службы указывает символы в неизвестной кодировке. Далее извлекает из своего тела библиотеку и сохраняет ее с именем:

%WinDir%\java\classes\CLIPORV.DLL

Данный файл имеет размер 133632 байта и детектируется антивирусом Касперского как Worm.Win32.AutoRun.ainm. Также останавливает службу диспетчера очереди печати "Spooler". Затем червь ищет процессы "explorer.exe", "svchost.exe" и внедряет в адресное пространство данных процессов вредоносную библиотеку "cliporv.dll".


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить ключи реестра (как работать с реестром?):
    [HKLM\System\CurrentControlSet\Services\qq2]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\agentsvr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apvxdwin.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ast.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avengine.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avltmain.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp32.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avtask.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdwizreg.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boxmod.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccapp.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccenter.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccevtmgr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccregvfy.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccsetmgr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\extdb.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\frameworkservice.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\frwstub.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guardfield.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmor.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kaccore.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kasmain.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavsvcui.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kislnchr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\knownsvr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfw32.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfwsvc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kregex.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvfw.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvmonxp.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvmonxp.kxp] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvprescan.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvsrvxp.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvxp.kxp] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\makereport.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcagent.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcdash.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcdetect.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mctskshd.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcvsescn.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcvsshld.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mghtml.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsaprdmgr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsavapsvc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsavapw32.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsavw32.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsmain.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsod32.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsod32krn.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsod32kui.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionspfmntor.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oasclnt.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pavsrv51.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pfw.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psctrls.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psimreal.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psimsvc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qqdoctormain.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmon.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravmond.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravstub.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ravtask.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwproxy.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsagent.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsmain.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rssafety.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstray.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safebank.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxtray.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanfrm.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sched.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\secnotifier.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SetupLD.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shstat.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smartup.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sndsrvc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spbbcsvc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tbmon.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uihost.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ulibcfg.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\updaterui.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uplive.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vcr32.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vcrmon.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vptray.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vstskmgr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vstskmgr.exe ] [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webproxy.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xnlscn.exe]
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\РЮёґ№?ѕЯ.exe]
  3. Удалить службу "ClipSrv", удалив ключ реестра: 
     [HKLM\System\CurrentControlSet\Services\ClipSrv]
  4. Создать службу "ClipSrv", добавив в системный реестр следующую информацию:
    [HKLM\System\CurrentControlSet\Services\ClipSrv]
    "DependOnService"="NetDDE"
    "Description"="Позволяет просматривать страницы папок обмена удаленных компьютеров. Если эта служба остановлена, программа просмотра страниц папок обмена не может обмениваться информацией с удаленными компьютерами. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены."
    "DisplayName"="Сервер папки обмена"
    "ErrorControl"=dword:00000001
    "ImagePath"="%SystemRoot%\system32\clipsrv.exe"
    "ObjectName"="LocalSystem"
    "Start"=dword:00000004
    "Type"=dword:00000010

    [HKLM\System\CurrentControlSet\Services\ClipSrv\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\
    05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,18,00,8d,00,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,\
    02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
  5. Восстановить работу системных служб "Spooler" и "DMusic", в качестве исполняемых модулей указав следующие файлы:
    • Для службы "DMusic": 
      %System%\drivers\DMusic.sys
  6. Удалить файлы: 
    c:\Program Files\Internet Explorer\003.tmp
%System%\drivers\JM.sys
C:\Program Files\Internet Explorer\12~~.tmp
C:\Program Files\Internet Explorer\001.tmp
C:\Program Files\Internet Explorer\002.tmp
%WinDir%\java\classes\CLIPORV.DLL
%WinDir%\java\classes\CLIPORV.exe
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Вирусы и черви
Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).


Другие модификации
Worm.Win32.AutoRun.acn
Worm.Win32.AutoRun.awkp
Worm.Win32.AutoRun.bghn
Worm.Win32.AutoRun.bhx
Worm.Win32.AutoRun.bnb
Worm.Win32.AutoRun.cpe
Worm.Win32.AutoRun.dru
Worm.Win32.AutoRun.dui
Worm.Win32.AutoRun.dxv
Worm.Win32.AutoRun.eee
Worm.Win32.AutoRun.ezj
Worm.Win32.AutoRun.fk
Worm.Win32.AutoRun.fwl
Worm.Win32.AutoRun.gc
Worm.Win32.AutoRun.gdi
Worm.Win32.AutoRun.ghc
Worm.Win32.AutoRun.gju
Worm.Win32.AutoRun.gvy
Worm.Win32.AutoRun.hja
Worm.Win32.AutoRun.jw
Worm.Win32.AutoRun.lup
Worm.Win32.AutoRun.lzr
Worm.Win32.AutoRun.mte
Worm.Win32.AutoRun.mye
Worm.Win32.AutoRun.qsc
Worm.Win32.AutoRun.vkk
Worm.Win32.AutoRun.vnk

Другие названия

Worm.Win32.AutoRun.aing («Лаборатория Касперского») также известен как:

  • Trojan: W32/Autorun.worm.aak (McAfee)
  • Mal/Basine-C (Sophos)
  • W32/Autorun.JHT (Panda)
  • W32/Autorun.NJ (FPROT)
  • VirTool:Win32/Rootkit.BU (MS(OneCare))
  • Win32.HLLW.Autoruner.10322 (DrWeb)
  • Win32/Delf.OIO trojan (Nod32)
  • Trojan.Agent.ANKG (BitDef7)
  • Worm.AutoRun.XAE (VirusBuster)
  • Win32:Trojan-gen (AVAST)
  • Worm.Win32.Autorun (Ikarus)
  • BackDoor.Generic11.NYV.dropper (AVG)
  • TR/Crypt.FKM.Gen (AVIRA)
  • Trojan.Adclicker (NAV)
  • W32/LdPinch.dam (Norman)
  • Worm.Win32.DownLoader.gh (Rising)
  • Worm.Win32.AutoRun.aing [AVP] (FSecure)
  • WORM_AUTORUN.EPK (TrendMicro)
  • Worm.Win32.AutoRun.aing (Sunbelt)
  • Worm.AutoRun.XAE (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск