Уязвимые ОС: Win NT-based
Размер: 8 Кбайт - врехний предел не ограничен
Упакован: может быть как в неупакованном, так и в упакованном виде: UPX, NSANTI и.т.д.
- Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ - дропперов.
- Могут быть написаны на Delphi, C, Visual Basic Script
- При запуске копируют своё тело в одном или нескольких экземплярах в каталог с установленным Windows, присваивая им атрибут "Скрытый".
- Для обеспечения своего запуска при каждом старте Windows регистрируют созданные копии своего тела в секции автозагрузки системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- Создают файл autorun.inf на доступных для записи дисках. При открытии такого диска в Проводнике происходит автоматический запуск червя.
- Постоянно находясь в оперативной памяти, модификации Win32.HLLW.Autoruner в бесконечном цикле проверяли наличие подмонтированного сменного диска. При обнаружении такового, создают на нём свои копии.
- Для сокрытия своих файлов на дисках, присваивают значание "0" следующему параметру реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
- В результате отключается отображение скрытых файлов с Проводнике.
- Отключает отображение вкладки "Свойства папки" в меню Сервис и Панели управления.
- Запрещается редактирование реестра – при запуске regedit или при запуске *.reg файла выдается сообщение «Редактирование реестра запрещено».
- Отключается функция Поиск в меню Пуск, проводнике и папках.
- Обычно различные модификации Win32.HLLW.Autoruner содержат функцию загрузки из Интернета других вредоносных файлов - программ для похищения паролей для онлайн игр - Trojan.PWS.Maran, Trojan.PWS.Gamania, Trojan.PWS.Wsgame, сетевых червей Win32.HLLW.Sishen, Win32.HLLP.Whboy.
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
5. Создать reg-файл:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind"=dword:00000000
"NoFolderOptions"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
и с его помощью восстановить отображение "Свойства папки", меню "Поиск". Или восстановить их ручным редактированием реестра с помощью сторонних программ.
