RSS-каналы
Уровень опасности: 1
Следите в 
Worm.Win32.AutoRun.lzr
| Время детектирования | 02 сен 2008 01:39 MSK |
| Время выпуска обновления | 02 сен 2008 13:27 MSK |
| Описание опубликовано | 21 апр 2011 12:47 MSK |
Технические детали
Деструктивная активность
Рекомендации по удалению
для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
Изменяет текущую системную дату, устанавливая год равным 2004.
Запускает системную утилиту "cacls.exe" со следующими параметрами:
Вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию "SfcFileException" с целью отключения WFP (Windows File Protection) для файлов:
Останавливает работу службы "Beep". После этого бинарный файл данной службы
Восстанавливает оригинальное содержимое файла "beep.sys".
Выгружает из системной памяти следующие процессы:
Останавливает работу служб:
Запускает браузер Internet Explorer и внедряет в адресное пространство его процесса (IEXPLORE.EXE) исполняемый код, осуществляющий загрузку из сети Интернет файлов по следующим ссылкам:
Создает ключи системного реестра:
Изменяет значение ключа системного реестра:
Удаляет ключи системного реестра:
Отслеживает окна, открываемые пользователем. Если в заголовке окна присутствуют подстроки:
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 14426 байт. Упакован NSPack, PE-Crypt.Morf. Распакованный размер – около 48 КБ. Написан на C++.
Инсталляция
После запуска червь выполняет следующие действия:
- копирует свое тело в файлы:
%System%\wuauclt.exe %System%\dllcache\wuauclt.exe
При этом оригинальное содержимое файла "%System%\wuauclt.exe" помещается в файл:c:\tem.tmp
- Для автоматического запуска созданной копии при каждом следующем старте системы создает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\ policies\explorer\run] "internetnet" = "%System%\wuauclt.exe"
- Устанавливает для своего оригинального файла атрибуты "скрытый" (hidden) и "системный" (system).
Распространение
Червь копирует свое тело на все доступные для записи логические и съемные диски под следующим именем:
<имя зараженного раздела>:\WINDOWS.PIFВместе со своим исполняемым файлом червь помещает файл:
<имя зараженного раздела>:\AUTORUN.INFследующего содержания:
[AutoRun] shell\open=ґтї?(&O) shell\open\Command=WINDOWS.PIF shell\open\Default=1 shell\explore=ЧКФґ№ЬАнЖч(&X) shell\explore\command=WINDOWS.PIFчто позволяет червю запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваиваются атрибуты "скрытый" (hidden) и "системный" (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
9122
%System%\packet.dll /e /p everyone:f %System%\pthreadVC.dll /e /p everyone:f %System%\wpcap.dll /e /p everyone:f %System%\drivers\npf.sys /e /p everyone:f %System%\npptools.dll /e /p everyone:f %System%\drivers\acpidisk.sys /e /p everyone:f %System%\wanpacket.dll /e /p everyone:fТаким образом, открывается общий доступ к перечисленным файлам.
%System%\drivers\beep.sys %System%\dllcache\wuauclt.exeна одну минуту.
%System%\drivers\beep.sysподменяется файлом, извлеченным из тела червя. Извлеченный файл имеет размер 2560 байт, детектируется Антивирусом Касперского как "Rootkit.Win32.Ressdt.du". После замены бинарного файла работа службы "Beep" возобновляется.
360Safe.exe 360tray.exe 360rpt.EXE Runiep.exe RAv.exe CCenter.EXE RAVMON.EXE RAVMOND.EXE GuardField.exe Ravxp.exe GFUpd.exe kmailmon.exe kavstart.exe KAVPFW.EXE kwatch.exe UpdaterUI.exe rfwsrv.exe rfwProxy.exe rfwstub.exe RavStub.exe rfwmain.exe TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe KRegEx.exe KvXP.kxp kvsrvxp.kxp kvsrvxp.exe KVWSC.EXE Iparmor.exe Avp.EXE VsTskMgr.exe
sharedaccess McShield KWhatchsvc KPfwSvc Symantec AntiVirus Symantec AntiVirus Drivers Services Symantec AntiVirus Definition Watcher Norton AntiVirus Server
http://m.c***x8.com/dd/x.gif http://m.c***x8.com/dd/1.exe http://m.c***x8.com/dd/2.exe http://m.c***x8.com/dd/3.exe http://m.c***x8.com/dd/4.exe http://m.c***x8.com/dd/5.exe http://m.c***x8.com/dd/6.exe http://m.c***x8.com/dd/7.exe http://m.c***x8.com/dd/8.exe http://m.c***x8.com/dd/9.exe http://m.c***x8.com/dd/10.exeЗагруженные файлы сохраняются в системе соответственно как
%Program Files%\ee.pif %Documents and Settings%\1.pif %Documents and Settings%\2.pif %Documents and Settings%\3.pif %Documents and Settings%\4.pif %Documents and Settings%\5.pif %Documents and Settings%\6.pif %Documents and Settings%\7.pif %Documents and Settings%\8.pif %Documents and Settings%\9.pif %Documents and Settings%\10.pifПосле успешной загрузки файлы запускаются на выполнение, а процесс "IEXPLORE.EXE" завершается. На момент создания описания файлы не загружались.
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\<Application name>] "debugger" = "%System%\dllcache\wuauclt.exe"Всего создается 44 ключа. Подстрока <Application name> принимает следующие значения:
360rpt.EXE 360safe.EXE 360tray.EXE 360safebox.EXE safeboxTray.EXE AVP.EXE AVP.COM AvMonitor.EXE CCenter.EXE IceSword.EXE Iparmor.EXE KVMonxp.KXP KVSrvXP.EXE KVWSC.EXE Navapsvc.EXE Nod32kui.EXE nod32krn.EXE KRegEx.EXE Frameworkservice.EXE Mmsk.EXE Ast.EXE WOPTILITIES.EXE Regedit.EXE AutoRunKiller.EXE VPC32.EXE VPTRAY.EXE ANTIARP.EXE KASARP.EXE RAV.EXE kwatch.EXE kmailmon.EXE kavstart.EXE KAVPFW.EXE Runiep.EXE GuardField.EXE GFUpd.EXE rfwmain.EXE RavStub.EXE rfwstub.EXE rfwProxy.EXE rfwsrv.EXE msconfig.EXE SREngLdr.EXE ArSwp.EXEЭто блокирует запуск перечисленных приложений. Кроме того, при их запуске в качестве отладчика будет стартовать копия червя.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\Showall] "CheckedValue" = "0"Это приводит к отключению отображения скрытых файлов и папок.
[HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
[HKLM\System\CurrentControlSet\Control\SafeBoot\Network]
"{4D36E967-E325-11CE-BFC1-08002BE10318}"
NOD32 Process Mcafee Firewall virus anti worm SREngто данное окно будет закрыто.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- При помощи Диспетчера задач завершить процесс "IEXPLORE.EXE".
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\ policies\explorer\run] "internetnet" = "%System%\wuauclt.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\<Application name>] "debugger" = "%System%\dllcache\wuauclt.exe"
- Восстановить оригинальное значение ключа системного реестра (как работать с реестром?):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\Showall] "CheckedValue"
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\wuauclt.exe %System%\dllcache\wuauclt.exe <имя зараженного раздела>:\WINDOWS.PIF <имя зараженного раздела>:\AUTORUN.INF %Program Files%\ee.pif %Documents and Settings%\1.pif %Documents and Settings%\2.pif %Documents and Settings%\3.pif %Documents and Settings%\4.pif %Documents and Settings%\5.pif %Documents and Settings%\6.pif %Documents and Settings%\7.pif %Documents and Settings%\8.pif %Documents and Settings%\9.pif %Documents and Settings%\10.pif
- Установить актуальную системную дату.
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Worm
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Другие модификации
Другие названия
Worm.
- Virus:
W32/Autorun. worm. gen (McAfee) - Mal/Basine-A (Sophos)
- W32/Autorun.
AED. worm (Panda) - W32/OnlineGames.
A. gen!GSA (FPROT) - Trojan.
Packed. 152 (DrWeb) - Win32/AutoRun.
WC (Nod32) - Win32.
Worm. Autorun. LW (BitDef7) - Packed/NSPack (VirusBuster)
- Packed.
Win32. Klone. af (Ikarus) - W32.
Rispif. A (NAV) - W32/Autorun.
worm. gen (NAI) - WORM_AUTORUN.
DEZ (PCCIL) - Worm.
Win32. DownLoader. cl (Rising)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей