Worm.Win32.AutoRun.fwl

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является приложением Windows (PE-EXE файл). Имеет размер 526336 байт. Упакован при помощи UPX, распакованный размер около 740 КБ. Написан на языке AutoIt

Инсталляция

После запуска червь копирует свое тело в каталог Windows и в системный каталог Windows под именем "RVHOST.exe":

%WinDir%\RVHOST.exe
%System%\RVHOST.exe

При этом файлу в системном каталоге червь устанавливает атрибуты "только чтение", "архивный", "скрытый" и "системный".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на копии своего исполняемого файла в ключи автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe RVHOST.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "%System%\RVHOST.exe"

Создает задачу для "Планировщика задач" запускающую на исполнение копию тела червя ежедневно в 9 часов:

%WinDir%\Tasks\At<rnd>.job

Где <rnd> - случайное число.

Деструктивная активность

Добавляет следующие записи в ключи системного реестра:

• Скрывает пункт меню "свойства папки" в Проводнике Windows:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NofolderOptions" = "1"

• Блокирует запуск диспетчера задач Windows:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableTaskMgr" = "1"

• Блокирует запуск редактора реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  "DisableRegistryTools" = "1"

• Останавливает выполнение всех задач, добавленных в "Планировщик задач":

  [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
  "AtTaskMaxHours" = "0"

Червь удаляет следующие параметры ключей реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
BkavFw
IEProtection

После этого завершает выполнение всех процессов, содержащих в заголовке своего окна следующие строки:

Bkav2006
System Configuration
Registry
Windows Task
[FireLion]

Червь формирует список ссылок для дальнейшей загрузки, загрузив файлы конфигурации со со следующих URL:

http://nh***lan2.0catch.com/setting.nql
http://nh***lan2.0catch.com/setting.xls
http://www.webs.com/abuseFrozen.htm?uname=nhat***ang
http://www.freewebs.com/nhat***ang/setting.nql
http://www.freewebs.com/nhat***ang/setting.xls

файл сохраняется со следующим именем:

%System%\setting.ini

После этого червь считывает ссылки для загрузки файлов а также имена, под которыми они будут сохраняться, после чего производит загрузку. Файлы сохраняются в системном каталоге Windows и запускаются на исполнение:

%System%

Для распространения посредством программы Yahoo Messenger, ищет окна отправки сообщений и вставляет в поле для ввода сообщений одно из следующих текстовых сообщений:

E may, vao day coi co con nho nay ngon lam

Vao day nghe bai nay di ban

Biet tin gi chua, vao day coi di

Trang Web nay coi cung hay, vao coi thu di

Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi?
Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?  

Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. 
Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...
 
Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. 
Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...

Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. 
Nguoi da den nhu la giac mo roi ra di cho anh bat ngo...

Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, 
tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung 
ky niem buon...

после этого сообщения следует одна из ссылок:

http://nhat***lan1.0catch.com
http://nhat***lan2.0catch.com

В сообщение может добавляться ссылка, считанная из ранее загруженного файла конфигурации:

%System%\setting.ini

Червь копирует свое тело во все доступные на запись сетевые, логические и съемные диски под именем:

<X>:\New Folder.exe

Где <X> - буква диска.

Также помещает в корень диска сопровождающий файл:

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Также червь анализирует ключ реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]

для получения списка кешированных сетевых каталогов общего доступа, после чего пытается скопировать свой исполняемый файл в каждый из найденных каталогов с именем:

New Folder.exe.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры ключей системного реестра (как работать с реестром?):

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "Yahoo Messengger" = "%System%\RVHOST.exe"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "NofolderOptions" = "1"
   
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableTaskMgr" = "1"
   "DisableRegistryTools" = "1"
   

4. Восстановить значение параметра ключа системного реестра на следующее:

   [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   "Shell" = "Explorer.exe"
   

5. Удалить файлы:

   %WinDir%\RVHOST.exe
   %System%\RVHOST.exe
   %System%\setting.ini
   :\New Folder.exe
   %WinDir%\Tasks\At.job
   

   Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).