Security Lab

Virus.Win32. AutoRun.ah

Virus.Win32. AutoRun.ah

Файловый вирус. Является приложением Windows (PE EXE- файл).

Файловый вирус. Является приложением Windows (PE EXE- файл). Имеет размер 380416 байт. Написан на Delphi.

Инсталляция

При запуске вирус копирует свой исполняемый файл в каталоги Windows:

  %System%\config\csrss.exe
  %WinDir%\media\arona.exe

Также программа создает следующий файл:

  %System%\logon.bat

Данный файл при запуске на исполнение запускает копию вируса:

  %System%\config\csrss.exe

С целью автоматического запуска при каждом последующем старте операционной системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
  "Worms" = "%System%\logon.bat"

Вредоносная программа генерирует файлы:

  %System%\config\autorun.inf
  h:\autorun.inf
  f:\autorun.inf
  i:\autorun.inf
  g:\autorun.inf
  k:\autorun.inf
  l:\autorun.inf
  o:\autorun.inf
  j:\autorun.inf
  

Указанные файлы запускаются каждый раз, когда пользователь открывает соответствующие разделы жесткого диска в «Проводнике». Аналогично «%System%\logon.bat» при исполнении файлы запускают копию вируса — «%System%\config\csrss.exe».

Деструктивная активность

Программа изменяет значения следующих ключей реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  DisableTaskMgr = 1
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  NoFolderOptions = 1
  

Также вирус производит поиск файлов с расширением «.mp3» в разделах жесткого диска:

d:\
c:\
e:\
f:\
g:\
h:\

Найденные файлы удаляются.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь