Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Worm.Win32.Autorun.cpe

Robak ten tworzy własną kopię na nośniku wymiennym. Ma postać pliku PE EXE o rozmiarze 73728 bajtów.

Instalacja

Po uruchomieniu robak kopiuje swój plik wykonywalny do foldera systemu Windows:

%System%ssmicrco.scr

Rozprzestrzenianie

Robak kopiuje swój plik wykonywalny do wszystkich nośników wymiennych z następującą nazwą:

:oot.pif

Oprócz swojego pliku wykonywalnego robak umieszcza również poniższy plik w katalogu głównym każdego dysku:

:autorun.inf
(x) oznacza literę dysku wymiennego.

Plik będzie uruchamiał plik wykonywalny robaka za każdym razem, gdy użytkownik otworzy zainfekowaną partycję przy użyciu Explorer.

Funkcje szkodnika

Robak wyłączy i usunie usługę Windows Update.

Pobiera również pliki z następujących odsyłaczy:

http://www.koreaarc.com/*****/www.rar
http://www.koreaard.com/*****/ppp.rar

i zapisuje je do foldera systemu Windows z następującymi nazwami:

%System%xtemp1.exe
%System%xtemp2.exe

Pliki te zostaną następnie uruchomione w celu wykonania:

W momencie tworzenia tego opisu odsyłacze te nie działały.

Robak ten tworzy plik dziennika, w której rejestrowana jest jego aktywność:

%System%configuserevent.evt

Tworzy następujące foldery:

%WinDir%webwebpf
%WinDir%webwebdc
%WinDir%webwebpt
%WinDir%webwebhp
%WinDir%webwebxs

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Użyj Menedżera zadań w celu zakończenia procesu szkodliwego programu.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujące pliki:
    %System%xtemp1.exe
    %System%xtemp2.exe
    %System%ssmicrco.scr
    %System%configusereventv.evt
    :oot.pif
    :autorun.inf
    

    (x) oznacza literę dysku wymiennego.

  4. Usuń następujące foldery:
    %WinDir%webwebpf
    %WinDir%webwebdc
    %WinDir%webwebpt
    %WinDir%webwebhp
    %WinDir%webwebxs
    
  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).