Worm.Win32.Autorun.cpe

Robak ten tworzy w艂asn膮 kopi臋 na no艣niku wymiennym. Ma posta膰 pliku PE EXE o rozmiarze 73728 bajt贸w.

Instalacja

Po uruchomieniu robak kopiuje sw贸j plik wykonywalny do foldera systemu Windows:

%System%ssmicrco.scr

Rozprzestrzenianie

Robak kopiuje sw贸j plik wykonywalny do wszystkich no艣nik贸w wymiennych z nast臋puj膮c膮 nazw膮:

:oot.pif

Opr贸cz swojego pliku wykonywalnego robak umieszcza r贸wnie偶 poni偶szy plik w katalogu g艂贸wnym ka偶dego dysku:

:autorun.inf
(x) oznacza liter臋 dysku wymiennego.

Plik b臋dzie uruchamia艂 plik wykonywalny robaka za ka偶dym razem, gdy u偶ytkownik otworzy zainfekowan膮 partycj臋 przy u偶yciu Explorer.

Funkcje szkodnika

Robak wy艂膮czy i usunie us艂ug臋 Windows Update.

Pobiera r贸wnie偶 pliki z nast臋puj膮cych odsy艂aczy:

http://www.koreaarc.com/*****/www.rar
http://www.koreaard.com/*****/ppp.rar

i zapisuje je do foldera systemu Windows z nast臋puj膮cymi nazwami:

%System%xtemp1.exe
%System%xtemp2.exe

Pliki te zostan膮 nast臋pnie uruchomione w celu wykonania:

W momencie tworzenia tego opisu odsy艂acze te nie dzia艂a艂y.

Robak ten tworzy plik dziennika, w kt贸rej rejestrowana jest jego aktywno艣膰:

%System%configuserevent.evt

Tworzy nast臋puj膮ce foldery:

%WinDir%webwebpf
%WinDir%webwebdc
%WinDir%webwebpt
%WinDir%webwebhp
%WinDir%webwebxs

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu szkodliwego programu.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce pliki:
    %System%xtemp1.exe
    %System%xtemp2.exe
    %System%ssmicrco.scr
    %System%configusereventv.evt
    :oot.pif
    :autorun.inf
    

    (x) oznacza liter臋 dysku wymiennego.

  4. Usu艅 nast臋puj膮ce foldery:
    %WinDir%webwebpf
    %WinDir%webwebdc
    %WinDir%webwebpt
    %WinDir%webwebhp
    %WinDir%webwebxs
    
  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).