Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Worm.Win32.AutoIt.tc

Worm.Win32.AutoIt.tc

Время детектирования	21 дек 2009 17:56 MSK
Время выпуска обновления	22 дек 2009 01:26 MSK
Описание опубликовано	11 мар 2010 12:09 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 808842 байта.

Инсталляция

После запуска червь выполняет следующие действия:

копирует свое тело в файл:
```
%System%\csrcs.exe
```
Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
Для автоматического запуска созданной копии при каждом следующем старте системы червь создает следующие ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\Windows\
CurrentVersion\policies\explorer\run]
"csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
При этом исполняемый файл червя будет запускаться процессом "WINLOGON.EXE" даже при загрузке Windows в "Безопасном режиме".
Для отключения отображения скрытых файлов и каталогов изменяются значения следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\Showall]
"CheckedValue" = "1"
После этого червь запускает созданную копию и завершает свою работу.

Распространение

Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под случайным именем (например: "bxxtic.exe").

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\autorun.inf

что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Деструктивная активность

После запуска червь выполняет следующие действия:

для идентификации своего присутствия в системе создает ключи системного реестра:
[HKLM\Software\Microsoft\DRM\amty]
"ilop" = "1"
"rem1" = "1"
"exp1" = "408406541BC5BBE4DC197A2A0C46B9ABF2F90D96B151D7C7BCBD177641EE95F1"
"epb1" = "noneed"
"cb2" = "noneed"
"ic1" = "noneed"
"regexp" = "-0.82930983286315"
Удаляет ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\
policies\explorer\run]
"Logitech SetPoint"
Создает следующие файлы:
```
%Temp%\aut<digit>.tmp
```
(9976 байт)
```
%Temp%\<rnd>.tmp
```
(57982 байта)

где <digit> – случайное шестнадцатеричное число, а <rnd> – случайная последовательность латинских букв (например: "aslbvjd").

Файлы предназначены для временного использования, и удаляются в процессе работы червя.
```
%System%\autorun.in
```
(1061 байт)
```
%System%\autorun.i
```
(751 байт)

Файлы содержат следующие строки:
```
 [Autorun]
Open=csrcs.exe
Shellexecute=csrcs.exe
Shell\Open\command=csrcs.exe
Shell=Open
```
Определяет IP-адрес зараженного компьютера при помощи ресурса:
```
www.whatismyip.com
```
Выполняет попытку соединения со следующими хостами:
```
geo****guo.com
www.d0***23.com
```
Созданное соединение используется для загрузки файлов. Загруженные файлы сохраняются под случайными именами в каталоге:
```
%Temporary Internet Files%
```

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить процесс "csrcs.exe".
Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\
policies\explorer\run]
"csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\DRM\amty]
"ilop" = "1"
"rem1" = "1"
"exp1" = "408406541BC5BBE4DC197A2A0C46B9ABF2F90D96B151D7C7BCB
D177641EE95F1"
"epb1" = "noneed"
"cb2" = "noneed"
"ic1" = "noneed"
"regexp" = "-0.82930983286315"
Удалить подстроку "csrcs.exe" в значении ключа системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
Восстановить исходные значения ключей системного реестра (как работать с реестром?):
[HKCU\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\Showall]
"CheckedValue" = "1"

Удалить файлы:

%System%\csrcs.exe
<имя зараженного раздела>:\autorun.inf
%System%\autorun.in 
%System%\autorun.i

Удалить копию червя со всех зараженных сетевых, логических и съемных дисков.
Очистить каталог (Как удалить инфицированные файлы в папке Temporary Internet Files?):
```
%Temporary Internet Files%
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).

Другие модификации

Worm.Win32.AutoIt.c

Worm.Win32.AutoIt.ra

Worm.Win32.AutoIt.x

Другие названия

Worm.Win32.AutoIt.tc («Лаборатория Касперского») также известен как:

Mal/Generic-A (Sophos)
Trojan.Autoit-70 (ClamAV)
Trj/Autoit.gen (Panda)
W32/AutoIt.I.gen!Eldorado (FPROT)
Worm:AutoIt/Renocide.gen!C (MS(OneCare))
Win32.HLLW.Autoruner (DrWeb)
Win32.HLLW.Autoruner.based (DrWeb)
Gen:Trojan.Heur.AutoIT.ar3@bqj@QrlO (BitDef7)
Gen:Trojan.Heur.AutoIT.Tq3@byDDprjO (BitDef7)
Worm.Autoit.Gen (VirusBuster)
Trojan.Autoit.Gen!Pac (VirusBuster)
AutoIt:Balero-A [Wrm] (AVAST)
Worm.AutoIt (Ikarus)
Worm.Win32.AutoIt (Ikarus)
csrcs.exe.vir <<< TR/Dropper.Gen (AVIRA)
TR/Dropper.Gen (AVIRA)
Bloodhound.Malautoit.2 (NAV)
AutoRun.BCGY (Norman)
AutoRun.BFBY (Norman)
Trojan.Win32.Generic.51F99A1E (Rising)
Trojan.Win32.Generic.51F96CE2 (Rising)
Worm.Win32.Autoit.xl [AVP] (FSecure)
Worm.Win32.AutoIt.tc [AVP] (FSecure)
TROJ_GEN.PAC041A (TrendMicro)
Trojan.Win32.AutoIt.gen.1 (v) (Sunbelt)
Worm.Autoit.Gen (VirusBusterBeta)
Trojan.Autoit.Gen!Pac (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com