КОРИСТУВАЧАМ

Закрити

Пошук
Пошук

Пошук

Підтримка
Цілодобова підтримка | Правила звернення

Напишіть

Запит через форму

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -
Створити новий запит Поширені запитання

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрити
Сервіси
Сканери
Dr.Web vxCube
Демо
Експертиза ВКІ
Вірусна бібліотека
База знань

Технології

Терміни

Навчання

Міфи

Новини

Win32.HLLW.Autoruner.214

(Trojan.Win32.VB.atg, Virus.Win32.Folcom.b, Parser error, W32/Virut.b, Generic3.GTK, Generic.dx, Win32/Malagent, W32/Virut.Gen, Worm.Autorun.E, Virus:Win32/Virut.gen!B, Virus:Win32/Virut.AR, Packed.Win32.NSAnti.r, Possible_Virus, WORM_VB.IYO, VB.BKF, PE_VIRUT.GEN-2, Generic VB.b, W32/Autorun.worm.f, WORM_TIHS.D, Win32/Virut.gen!B, Trojan.Vb.ATG, VirTool:Win32/Obfuscator.EH, Virus.Win32.Virut.3, Generic9.AIZX, Cryp_Virut-4)

Описание добавлено:

Тип вируса: Червь

Уязвимые ОС: Win NT-based

Размер: 1 Кбайт - верхний предел не ограничен

Упакован: может быть как в неупакованном, так и в упакованном виде: UPX, NSANTI и.т.д.

Техническая информация

  • Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ - дропперов.

  • Могут быть написаны на Delphi, C, Visual Basic Script

  • При запуске копируют своё тело в одном или нескольких экземплярах в каталог с установленным Windows, присваивая им атрибут "Скрытый".

  • Для обеспечения своего запуска при каждом старте Windows регистрируют созданные копии своего тела в секции автозагрузки системного реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

  • Создают файл autorun.inf на доступных для записи дисках. При открытии такого диска в Проводнике происходит автоматический запуск червя.

  • Постоянно находясь в оперативной памяти, модификации Win32.HLLW.Autoruner в бесконечном цикле проверяли наличие подмонтированного сменного диска. При обнаружении такового, создают на нём свои копии.

  • Для сокрытия своих файлов на дисках, присваивают значание "0" следующему параметру реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

    В результате отключается отображение скрытых файлов с Проводнике.

  • Обычно различные модификации Win32.HLLW.Autoruner содержат функцию загрузки из Интернета других вредоносных файлов - программ для похищения паролей для онлайн игр - Trojan.PWS.Maran, Trojan.PWS.Gamania, Trojan.PWS.Wsgame, сетевых червей Win32.HLLW.Sishen, Win32.HLLP.Whboy.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue