Worm.Win32.AutoRun.mte

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 22673 байта. Упакована NSPack. Распакованный размер – около 64 КБ. Написана на C++.

Инсталляция

После запуска троянец выполняет следующие действия:

1. завершает работу процесса "kne12.exe".
2. Копирует свое тело в файл:

   %System%\kne12.exe

   Файл создается с атрибутами "скрытый" (hidden) и "системный" (system).
3. Создает файл:

   %System%\kne12.ini

   в который записывается строка, содержащая полный путь к оригинальному файлу троянца.
4. Запускает на выполнение созданную копию.

После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:

%System%\kne12.dll

(19968 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.tdbh")

Далее из извлеченной библиотеки последовательно вызываются функции:

Rtdll_3
Rtdll_1
Rtdll_2
Rtdll_4

После этого троянец удаляет файл, путь к которому записан в

%System%\kne12.ini

а также сам файл "kne12.ini".

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файлы:

   %System%\kne12.dll
   %System%\kne12.exe
   

2. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).