Файловый вирус. Является приложением Windows (PE EXE- файл).
Инсталляция
При запуске вирус копирует свой исполняемый файл в каталоги Windows:
%System%\config\csrss.exe %WinDir%\media\arona.exe
Также программа создает следующий файл:
%System%\logon.bat
Данный файл при запуске на исполнение запускает копию вируса:
%System%\config\csrss.exe
С целью автоматического запуска при каждом последующем старте операционной системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Worms" = "%System%\logon.bat"
Вредоносная программа генерирует файлы:
%System%\config\autorun.inf h:\autorun.inf f:\autorun.inf i:\autorun.inf g:\autorun.inf k:\autorun.inf l:\autorun.inf o:\autorun.inf j:\autorun.inf
Указанные файлы запускаются каждый раз, когда пользователь открывает соответствующие разделы жесткого диска в «Проводнике». Аналогично «%System%\logon.bat» при исполнении файлы запускают копию вируса — «%System%\config\csrss.exe».
Деструктивная активность
Программа изменяет значения следующих ключей реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] DisableTaskMgr = 1 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions = 1
Также вирус производит поиск файлов с расширением «.mp3» в разделах жесткого диска:
d:\
c:\
e:\
f:\
g:\
h:\
Найденные файлы удаляются.
Храним важное в надежном месте