Worm.Win32.AutoRun.lup

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 14418 байт. Упакован NSPack, PE-Crypt.Morf. Распакованный размер – около 55 КБ. Написан на C++.

Инсталляция

После запуска червь выполняет следующие действия:

• перемещает содержимое файла

  %System%\wuauclt.exe

  в файл

  c:\tem.tmp

• Копирует свое тело в файлы:

  %System%\wuauclt.exe
  %System%\dllcache\wuauclt.exe
  

• Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
  "explorer" = "%System%\wuauclt.exe"
  

• Устанавливает для своего оригинального файла атрибуты "скрытый" (hidden) и "системный" (system).

Распространение

Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:

GLXB.PIF

Вместе со своим исполняемым файлом червь помещает файл:

<имя зараженного раздела>:\AUTORUN.INF

следующего содержания:

[AutoRun] 
shell\open=+?¬¬(&O) 
shell\open\Command=GLXB.PIF 
shell\open\Default=1 
shell\explore=+¦L+¦-L?¦?(&X) 
shell\explore\command=GLXB.PIF

что позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).

Деструктивная активность

После запуска червь выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  war

• Изменяет текущую системную дату, устанавливая год равным 2004.
• Останавливает работу службы "Beep". После этого бинарный файл данной службы

  %System%\drivers\beep.sys

  подменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2560 байт, детектируется Антивирусом Касперского как "Rootkit.Win32.Ressdt.dw". После замены бинарного файла работа службы "Beep" возобновляется.
• Восстанавливает оригинальное содержимое файла "beep.sys".
• Выгружает из системной памяти следующие процессы:

  360Safe.exe
  360tray.exe
  360rpt.EXE
  Runiep.exe
  RAv.exe
  CCenter.EXE
  RAVMON.EXE
  RAVMOND.EXE
  GuardField.exe
  Ravxp.exe
  GFUpd.exe
  kmailmon.exe
  kavstart.exe
  KAVPFW.EXE
  kwatch.exe
  UpdaterUI.exe
  rfwsrv.exe
  rfwProxy.exe
  rfwstub.exe
  RavStub.exe
  rfwmain.exe
  TBMon.exe
  nod32kui.exe
  nod32krn.exe
  KASARP.exe
  FrameworkService.exe
  scan32.exe
  VPC32.exe
  VPTRAY.exe
  AntiArp.exe
  KRegEx.exe
  KvXP.kxp
  kvsrvxp.kxp
  kvsrvxp.exe
  KVWSC.EXE
  Iparmor.exe
  Avp.EXE
  VsTskMgr.exe
  

• Останавливает работу служб:

  sharedaccess
  McShield
  KWhatchsvc
  KPfwSvc
  Symantec AntiVirus
  Symantec AntiVirus Drivers Services
  Symantec AntiVirus Definition Watcher
  Norton AntiVirus Server
  

• Запускает системную утилиту "cacls.exe" со следующими параметрами:

  %System%\packet.dll /e /p everyone:f
  %System%\pthreadVC.dll /e /p everyone:f
  %System%\wpcap.dll /e /p everyone:f
  %System%\drivers\npf.sys /e /p everyone:f
  %System%\npptools.dll /e /p everyone:f
  %System%\drivers\acpidisk.sys /e /p everyone:f
  %System%\wanpacket.dll /e /p everyone:f
  

  Таким образом, открывается общий доступ к вышеперечисленным файлам.
• Запускает процесс:

  %Program files%\Internet Explorer\IEXPLORE.EXE

• Находит в системе окно с именем класса "IEFrame" и внедряет в адресное пространство процесса, соответствующего этому окну, исполняемый код, реализующий функционал загрузчика. Файлы загружаются по следующим ссылкам:

  http://m.d***8.com/dd/x.gif
  http://m.d***8.com/dd/1.exe
  http://m.d***8.com/dd/2.exe
  http://m.d***8.com/dd/3.exe
  http://m.d***8.com/dd/4.exe
  http://m.d***8.com/dd/5.exe
  http://m.d***8.com/dd/6.exe
  http://m.d***8.com/dd/7.exe
  http://m.d***8.com/dd/8.exe
  http://m.d***8.com/dd/9.exe
  http://m.d***8.com/dd/10.exe
  

  и сохраняются в системе как

  %ALLUSERSPROFILE%\me.pif
  %ALLUSERSPROFILE%\1.pif
  %ALLUSERSPROFILE%\2.pif
  %ALLUSERSPROFILE%\3.pif
  %ALLUSERSPROFILE%\4.pif
  %ALLUSERSPROFILE%\5.pif
  %ALLUSERSPROFILE%\6.pif
  %ALLUSERSPROFILE%\7.pif
  %ALLUSERSPROFILE%\8.pif
  %ALLUSERSPROFILE%\9.pif
  %ALLUSERSPROFILE%\10.pif
  

  После успешной загрузки файлы запускаются на выполнение. На момент создания описания вышеуказанные ссылки не работали.
• Создает ключи системного реестра:
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
  Image File Execution Options\<Application name>] "debugger" = "%System%\dllcache\wuauclt.exe"
  Всего создается 44 ключа. Подстрока принимает следующие значения:

  360rpt.EXE
  360safe.EXE
  360tray.EXE
  360safebox.EXE
  safeboxTray.EXE
  AVP.EXE
  AVP.COM
  AvMonitor.EXE
  CCenter.EXE
  IceSword.EXE
  Iparmor.EXE
  KVMonxp.KXP
  KVSrvXP.EXE
  KVWSC.EXE
  Navapsvc.EXE
  Nod32kui.EXE
  nod32krn.EXE
  KRegEx.EXE
  Frameworkservice.EXE
  Mmsk.EXE
  Ast.EXE
  WOPTILITIES.EXE
  Regedit.EXE
  AutoRunKiller.EXE
  VPC32.EXE
  VPTRAY.EXE
  ANTIARP.EXE
  KASARP.EXE
  RAV.EXE
  kwatch.EXE
  kmailmon.EXE
  kavstart.EXE
  KAVPFW.EXE
  Runiep.EXE
  GuardField.EXE
  GFUpd.EXE
  rfwmain.EXE
  RavStub.EXE
  rfwstub.EXE
  rfwProxy.EXE
  rfwsrv.EXE
  msconfig.EXE
  SREngLdr.EXE
  ArSwp.EXE
  

  Таким образом, блокируется запуск перечисленных процессов.
• Изменяет значение ключа системного реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced\Folder\Hidden\Showall] "CheckedValue" = "0"
  Это приводит к отключению отображения скрытых файлов и папок.
• Удаляет ключи системного реестра:

  [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal]
  "{4D36E967-E325-11CE-BFC1-08002BE10318}"
  
  
  
  [HKLM\System\CurrentControlSet\Control\SafeBoot\Network]
  "{4D36E967-E325-11CE-BFC1-08002BE10318}"
  

• Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют подстроки:

  NOD32
  Process
  Mcafee
  Firewall
  virus
  anti
  worm
  SREng
  

  то окно будет закрыто.
  
  

  Рекомендации по удалению

  Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить троянский процесс.
  2. При помощи Диспетчера задач завершить процесс "IEXPLORE.EXE".
  3. Удалить ключи системного реестра (как работать с реестром?):

     [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
     "explorer" = "%System%\wuauclt.exe"
     
     
     
     [HKLM\Software\Microsoft\Windows NT\CurrentVersion\
     Image File Execution Options\<Application name>]
     "debugger" = "%System%\dllcache\wuauclt.exe"
     

  4. Восстановить исходное значение ключа системного реестра (как работать с реестром?):

     [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
     Folder\Hidden\Showall]
     "CheckedValue" = "0"
     

  5. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  6. Удалить файлы:

     %System%\wuauclt.exe
     %System%\dllcache\wuauclt.exe
     <имя зараженного раздела>:\GLXB.PIF
     <имя зараженного раздела>:\AUTORUN.INF
     %ALLUSERSPROFILE%\me.pif
     %ALLUSERSPROFILE%\1.pif
     %ALLUSERSPROFILE%\2.pif
     %ALLUSERSPROFILE%\3.pif
     %ALLUSERSPROFILE%\4.pif
     %ALLUSERSPROFILE%\5.pif
     %ALLUSERSPROFILE%\6.pif
     %ALLUSERSPROFILE%\7.pif
     %ALLUSERSPROFILE%\8.pif
     %ALLUSERSPROFILE%\9.pif
     %ALLUSERSPROFILE%\10.pif
     

  7. Установить актуальную системную дату.
  8. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
  9. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).