B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy








Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Virus.Win32.AutoRun.ah

Ten wirus plikowy ma posta膰 pliku Windows PE EXE o rozmiarze 380 416 bajt贸w. Powsta艂 w j臋zyku programowania Delphi.

Instalacja

Po uruchomieniu wirus kopiuje sw贸j plik wykonywalny w nast臋puj膮cy spos贸b: 

%System%configcsrss.exe
%WinDir%mediaarona.exe

Tworzy r贸wnie偶 nast臋puj膮cy plik: 

%System%logon.bat

Po uruchomieniu plik ten uruchomi kopi臋 wirusa: 

%System%configcsrss.exe

W celu zapewnienia sobie automatycznego uruchamiania wraz z restartem systemu szkodnik dodaje odsy艂acz do swojego pliku wykonywalnego do rejestru systemowego:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
"Worms" = "%System%logon.bat"

Wirus tworzy r贸wnie偶 nast臋puj膮ce pliki: 

%System%configautorun.inf
h:autorun.inf
f:autorun.inf
i:autorun.inf
g:autorun.inf
k:autorun.inf
l:autorun.inf
o:autorun.inf
j:autorun.inf

Pliki te b臋d膮 uruchamiane za ka偶dym razem, gdy u偶ytkownik otworzy odpowiedni膮 partycj臋 dysku twardego przy u偶yciu Windows Explorera. Gdy jeden z tych plik贸w zostanie uruchomiony, uruchomi kopi臋 wirusa: %System%configcsrss.exe.

Funkcje szkodnika

Wirus modyfikuje warto艣ci nast臋puj膮cych kluczy rejestru systemowego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
DisableTaskMgr = 1
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
NoFolderOptions = 1

Przeszukuje r贸wnie偶 poni偶sze partycje dysku twardego w celu znalezienia plik贸w z rozszerzeniem ".mp3": 

d:
c:
e:
f:
g:
h:

Nast臋pnie pliki te zostan膮 usuni臋te.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu wirusa.
  2. Usu艅 oryginalny plik wirusa (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce parametry z rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    DisableTaskMgr = 1
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    NoFolderOptions = 1
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
    "Worms" = "%System%logon.bat"

  4. Usu艅 nast臋puj膮ce pliki: 
    %System%configcsrss.exe
%WinDir%mediaarona.exe
%System%logon.bat
%System%configautorun.inf
h:autorun.inf
f:autorun.inf
i:autorun.inf
g:autorun.inf
k:autorun.inf
l:autorun.inf
o:autorun.inf
j:autorun.inf
  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Zdaniem eksperta | Forum | Kontakt
Copyright © 2012 WirusPC.pl