B膮d藕 na bie偶膮co! Kana艂y RSS 

Zagro偶enia

Porady

Pytania i odpowiedzi
Jak to zrobi膰?

Polecamy

Sponsorzy








Encyklopedia wirus贸w

Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wielocz臋艣ciowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirus贸w | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazuj膮ce na nich wirusy | Konie troja艅skie | Wirusy skryptowe | Robaki | 呕arty oraz programy nie b臋d膮ce wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

  

Worm.Win32.AutoIt.c

Robak ten tworzy w艂asne kopie na dyskach lokalnych i dyskach przeno艣nych z dost臋pem umo偶liwiaj膮cym zapis. Ma posta膰 pliku PE EXE (kompresja UPX). Rozmiar zainfekowanych plik贸w mo偶e r贸偶ni膰 si臋 od 220KB do 275KB.

Instalacja

Podczas uruchamiania robak kopiuje sw贸j plik wykonywalny do foldera g艂贸wnego oraz systemowego: 

%WinDir%RVHOST.exe
%System%RVHOST.exe

Aby zapewni膰 sobie automatyczne uruchamianie si臋 wraz z restartem systemu, robak dodaje odsy艂acz do swojego pliku wykonywalnego do rejestru systemowego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Yahoo Messengger" = "%System%RVHOST.exe"

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Shell = "Explorer.exe RVHOST.exe"

Rozprzestrzenianie

Robak kopiuje sw贸j plik wykonywalny do katalogu g艂贸wnego wszystkich dysk贸w przeno艣nych z dost臋pem umo偶liwiaj膮cym zapis z nast臋puj膮c膮 nazw膮: 

New Folder.exe

Ponadto, robak wielokrotnie kopiuje sw贸j plik wykonywalny do wszystkich folder贸w na dyskach przeno艣nych. Kopie robaka b臋d膮 mia艂y t臋 sam膮 nazw臋 co folder, do kt贸rego zosta艂y skopiowane, oraz rozszerzenie “.exe”.

Funkcje szkodnika

Robak tworzy nast臋puj膮ce parametry klucza rejestru systemowego:

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
DisableRegistryTools = 1
DisableTaskMgr = 1

Tym samym uniemo偶liwia uruchomienie narz臋dzia do edycji rejestru oraz Mened偶era zada艅.

Robak ko艅czy r贸wnie偶 procesy zwi膮zane z niekt贸rymi rozwi膮zaniami antywirusowymi oraz zaporami sieciowymi.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Zako艅cz proces robaka wprowadzaj膮c nast臋puj膮ce polecenie w wierszu polece艅: 
    taskkill /IM RVHOST.exe
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Wykonaj nast臋puj膮ce polecenia w wierszu polece艅 w celu aktywowania edytora rejestru oraz Mened偶era zada艅: 
    reg delete HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
/v DisableTaskMgr
reg delete HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v
DisableRegistryTools
  4. Aby potwierdzi膰, 偶e chcesz usun膮膰 parametry, odpowiedz “y” i wci艣nij Enter.
  5. Usu艅 nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:

    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "Yahoo Messengger" = "%System%RVHOST.exe"

  6. Cofnij zmodyfikowan膮 warto艣膰 klucza rejestru do nast臋puj膮cej warto艣ci:

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
    Shell = "Explorer.exe"

  7. Usu艅 nast臋puj膮ce pliki: 
    %WinDir%RVHOST.exe
%System%RVHOST.exe
  8. Usu艅 wszystkie kopie robaka z dysk贸w przeno艣nych.
  9. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).


Strona g艂贸wna | Nowo艣ci | Artyku艂y | Raporty | Zdaniem eksperta | Forum | Kontakt
Copyright © 2012 WirusPC.pl