Worm.Win32.AutoRun.fk
Технические детали
Вредоносная
программа, которая без ведома пользователя скачивает на компьютер
другое программное обеспечение и запускает его на исполнение. Программа
является приложением Windows (PE EXE-файл). Имеет размер 21030 байт.
Упакована при помощи AsPack. Распакованный размер — около 70 КБ.
Написана на C++.
После запуска троянец копирует свое тело в системный каталог Windows
под случайным именем, состоящим из цифр и больших латинских букв.
Например: "5321F6DF.EXE":
%System%\5321F6DF.EXE
Для автоматического запуска при каждом следующем старте системы троянец
добавляет ссылку на свой исполняемый файл в ключ системного реестра:
[HCU\System\CurrentControlSet\Services\D245F88F]
"Description"="F89D594"
"DisplayName"="D245F88F"
"ImagePath"="%System%\\5321F6DF.EXE -k"
"ObjectName"="LocalSystem"
Таким образом исполняемый файл вредоносной программы становиться системным сервисом.
Деструктивная активность
После
запуска вирус извлекает из своего тела библиотеку со случайным именем,
сгенерированным по тому же принципу, что и имя исполняемого файла
троянца, например - "F91A1184.DLL" и помещает ее в системный каталог
Windows:
%System%\F91A1184.DLL Данная библиотека имеет размер
36864 байта и детектируется Антивирусом Касперского так же как
родительская вредоносная программа.
Вредоносная программа регистрирует себя как сервис с именем "D245F88F" затем обращается в интернет по адресу:
http://ale***x.cn/alexa.txt
На момент создания описания ссылка не работала.
Затем производит закачку по ссылкам, расположенным в этом файле.
После этого обращается в интернет по адресу:
http://n***lb.cn/soft/update.txt
Затем производит закачку по ссылкам, расположенным в этом файле.
На момент создания описания ссылка не работала.
После закачки файл запускается на выполнение.
После этого вредоносная программа копирует свое тело в корневые
каталоги всех обнаруженных в системе логических дисков под именем
"auto.exe":
*:\auto.exe
Для автоматического запуска этих файлов создает файл "autorun.inf":
*:\autorun.inf
Далее проверяет свое имя и если оно отлично от "auto.exe", то удаляет свой оригинальный файл.
Рекомендации по удалению
Если
ваш компьютер не был защищен антивирусом и оказался заражен данной
вредоносной программой, то для её удаления необходимо выполнить
следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном
компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы, закачанные троянцем (для этого нужно очистить временный каталог текущего пользователя):
%System%\5DC6AFB2.EXE
- Удалить все копии троянца:
*:\auto.exe
%System%\5321F6DF.EXE
- Удалить ключ системного реестра:
[HCU\System\CurrentControlSet\Services\D245F88F]
"Description"="F89D594"
"DisplayName"="D245F88F"
"ImagePath"="%System%\\5321F6DF.EXE -k"
"ObjectName"="LocalSystem"
- Удалить файлы, созданные троянцем:
*:\autorun.inf
%System%\F91A1184.DLL
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
| 
