Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Virus.Win32.AutoRun.ah

Ten wirus plikowy ma postać pliku Windows PE EXE o rozmiarze 380 416 bajtów. Powstał w języku programowania Delphi.

Instalacja

Po uruchomieniu wirus kopiuje swój plik wykonywalny w następujący sposób:

%System%configcsrss.exe
%WinDir%mediaarona.exe

Tworzy również następujący plik:

%System%logon.bat

Po uruchomieniu plik ten uruchomi kopię wirusa:

%System%configcsrss.exe

W celu zapewnienia sobie automatycznego uruchamiania wraz z restartem systemu szkodnik dodaje odsyłacz do swojego pliku wykonywalnego do rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
"Worms" = "%System%logon.bat"

Wirus tworzy również następujące pliki:

%System%configautorun.inf
h:autorun.inf
f:autorun.inf
i:autorun.inf
g:autorun.inf
k:autorun.inf
l:autorun.inf
o:autorun.inf
j:autorun.inf

Pliki te będą uruchamiane za każdym razem, gdy użytkownik otworzy odpowiednią partycję dysku twardego przy użyciu Windows Explorera. Gdy jeden z tych plików zostanie uruchomiony, uruchomi kopię wirusa: %System%configcsrss.exe.

Funkcje szkodnika

Wirus modyfikuje wartości następujących kluczy rejestru systemowego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
DisableTaskMgr = 1
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
NoFolderOptions = 1

Przeszukuje również poniższe partycje dysku twardego w celu znalezienia plików z rozszerzeniem ".mp3":

d:
c:
e:
f:
g:
h:

Następnie pliki te zostaną usunięte.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu wirusa.
  2. Usuń oryginalny plik wirusa (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujące parametry z rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    DisableTaskMgr = 1
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    NoFolderOptions = 1
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
    "Worms" = "%System%logon.bat"

  4. Usuń następujące pliki:
    %System%configcsrss.exe
    %WinDir%mediaarona.exe
    %System%logon.bat
    %System%configautorun.inf
    h:autorun.inf
    f:autorun.inf
    i:autorun.inf
    g:autorun.inf
    k:autorun.inf
    l:autorun.inf
    o:autorun.inf
    j:autorun.inf
    
  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).