Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Worm.Win32.AutoIt.c

Robak ten tworzy własne kopie na dyskach lokalnych i dyskach przenośnych z dostępem umożliwiającym zapis. Ma postać pliku PE EXE (kompresja UPX). Rozmiar zainfekowanych plików może różnić się od 220KB do 275KB.

Instalacja

Podczas uruchamiania robak kopiuje swój plik wykonywalny do foldera głównego oraz systemowego:

%WinDir%RVHOST.exe
%System%RVHOST.exe

Aby zapewnić sobie automatyczne uruchamianie się wraz z restartem systemu, robak dodaje odsyłacz do swojego pliku wykonywalnego do rejestru systemowego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Yahoo Messengger" = "%System%RVHOST.exe"

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Shell = "Explorer.exe RVHOST.exe"

Rozprzestrzenianie

Robak kopiuje swój plik wykonywalny do katalogu głównego wszystkich dysków przenośnych z dostępem umożliwiającym zapis z następującą nazwą:

New Folder.exe

Ponadto, robak wielokrotnie kopiuje swój plik wykonywalny do wszystkich folderów na dyskach przenośnych. Kopie robaka będą miały tę samą nazwę co folder, do którego zostały skopiowane, oraz rozszerzenie “.exe”.

Funkcje szkodnika

Robak tworzy następujące parametry klucza rejestru systemowego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
DisableRegistryTools = 1
DisableTaskMgr = 1

Tym samym uniemożliwia uruchomienie narzędzia do edycji rejestru oraz Menedżera zadań.

Robak kończy również procesy związane z niektórymi rozwiązaniami antywirusowymi oraz zaporami sieciowymi.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Zakończ proces robaka wprowadzając następujące polecenie w wierszu poleceń:
    taskkill /IM RVHOST.exe
    
  2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Wykonaj następujące polecenia w wierszu poleceń w celu aktywowania edytora rejestru oraz Menedżera zadań:
    reg delete HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
    /v DisableTaskMgr
    reg delete HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v
    DisableRegistryTools
    
  4. Aby potwierdzić, że chcesz usunąć parametry, odpowiedz “y” i wciśnij Enter.
  5. Usuń następującą wartość klucza rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "Yahoo Messengger" = "%System%RVHOST.exe"

  6. Cofnij zmodyfikowaną wartość klucza rejestru do następującej wartości:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
    Shell = "Explorer.exe"

  7. Usuń następujące pliki:
    %WinDir%RVHOST.exe
    %System%RVHOST.exe
    
  8. Usuń wszystkie kopie robaka z dysków przenośnych.
  9. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).