Security Lab

Worm.Win32.AutoRun.hli

Worm.Win32.AutoRun.hli

Червь, создающий свои копии на локальных и доступных для записи съемных дисках.

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 135349 байт. Упакован FSG. Распакованный размер – около 373 КБ. Написан на Delphi.

Инсталляция

После запуска червь создает в системе следующие свои копии:

%WinDir%\dllcache\Version.bak %WorkDir%\<имя оригинального файла червя>.0 <системный диск>:\recycler\NoAutorun.exe 
Также в каталоге "recycler" создаются файлы:
<системный диск>:\recycler\NoAutorun.info
Файл содержит следующие строки:
[AutoRun] UseAutoPlay=1 icon=%SystemRoot%\system32\SHELL32.dll,7 shell=open open="NoAutorun.bat" shell\open=&Открыть shell\open\Command=cmd /C call "NoAutorun.bat" shell\explore=&Проводник shell\explore\Command=cmd /C call "NoAutorun.bat" shell\Autoplay=&Автозапуск shell\Autoplay\Command=cmd /C call "NoAutorun.bat" action=Открыть папку для просмотра файлов action=@cmd /C call "NoAutorun.bat" ;Программа отключает Автозапуск со всех дисков, что непозволяет заражать комп всяким флешкам. ;Удаляет вирус который маскирует себя как папку ;чинит реестр от повреждений вирусами ;пытается распространяться как вирус, но, в виду своей неразрушительной деятельности, не распознаётся некоторыми  антивирусами  ;Version = 198 ;Date = 29.03.2010  18:21   <системный диск>:\recycler\NoAutorun.bat 
Файл содержит следующие строки:
cd "\recycler" START "" "\recycler\NoAutorun.exe" exit 
Созданным файлам присваивается атрибут "скрытый" (hidden). Далее червь запускает системный командный интерпретатор "CMD.EXE" с параметрами:
/c call "<системный диск>:\recycler\NoAutorun.bat"
что приводит к запуску созданной ранее копии "NoAutorun.exe" После этого оригинальный файл червя завершает свою работу.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:

<имя зараженного диска>:\recycler\NoAutorun.exe
Также в корневом каталоге зараженного съемного диска создаются файлы:
<имя зараженного диска>:\NoAutorun.bat (идентичен вышеупомянутому файлу "<системный диск>:\recycler\NoAutorun.bat") <имя зараженного диска>:\Autorun.inf (идентичен вышеупомянутому файлу "<системный диск>:\recycler\NoAutorun.info") 
Таким образом, копия червя будет запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваивается атрибут "скрытый" (hidden).

Реальные атаки. Эффективные решения. Практический опыт.

Standoff Defend* — это онлайн-полигон, где ты сможешь испытать себя. Попробуй себя в расследовании инцидентов и поборись за победу в конкурсе

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887