Worm.Win32.AutoRun.hli

Технические детали

Червь, создающий свои копии на локальных и доступных для записи съемных дисках. Является приложением Windows (PE-EXE файл). Имеет размер 135349 байт. Упакован FSG. Распакованный размер – около 373 КБ. Написан на Delphi.

Инсталляция

После запуска червь создает в системе следующие свои копии:

%WinDir%\dllcache\Version.bak %WorkDir%\<имя оригинального файла червя>.0 <системный диск>:\recycler\NoAutorun.exe 

Также в каталоге "recycler" создаются файлы:

<системный диск>:\recycler\NoAutorun.info

Файл содержит следующие строки:

[AutoRun] UseAutoPlay=1 icon=%SystemRoot%\system32\SHELL32.dll,7 shell=open open="NoAutorun.bat" shell\open=&Открыть shell\open\Command=cmd /C call "NoAutorun.bat" shell\explore=&Проводник shell\explore\Command=cmd /C call "NoAutorun.bat" shell\Autoplay=&Автозапуск shell\Autoplay\Command=cmd /C call "NoAutorun.bat" action=Открыть папку для просмотра файлов action=@cmd /C call "NoAutorun.bat" ;Программа отключает Автозапуск со всех дисков, что непозволяет заражать комп всяким флешкам. ;Удаляет вирус который маскирует себя как папку ;чинит реестр от повреждений вирусами ;пытается распространяться как вирус, но, в виду своей неразрушительной деятельности, не распознаётся некоторыми  антивирусами  ;Version = 198 ;Date = 29.03.2010  18:21   <системный диск>:\recycler\NoAutorun.bat 

Файл содержит следующие строки:

cd "\recycler" START "" "\recycler\NoAutorun.exe" exit 

Созданным файлам присваивается атрибут "скрытый" (hidden). Далее червь запускает системный командный интерпретатор "CMD.EXE" с параметрами:

/c call "<системный диск>:\recycler\NoAutorun.bat"

что приводит к запуску созданной ранее копии "NoAutorun.exe" После этого оригинальный файл червя завершает свою работу.

Распространение

Червь копирует свое тело на все доступные для записи съемные диски, подключаемые к зараженному компьютеру:

<имя зараженного диска>:\recycler\NoAutorun.exe

Также в корневом каталоге зараженного съемного диска создаются файлы:

<имя зараженного диска>:\NoAutorun.bat (идентичен вышеупомянутому файлу "<системный диск>:\recycler\NoAutorun.bat") <имя зараженного диска>:\Autorun.inf (идентичен вышеупомянутому файлу "<системный диск>:\recycler\NoAutorun.info") 

Таким образом, копия червя будет запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". Созданным файлам присваивается атрибут "скрытый" (hidden).