Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLW.Autoruner.379

(Cryp_Upack, Generic6.ARV, W32/Threat-SysVenFakU-based!Maximus, TR/Dldr.Age.24324.A, Generic.PWS.Games.2.874CC1B9, Generic.dx, Backdoor.Hupigon.AAEA, Trojan-Downloader.Win32.Delf.bor)

Описание добавлено:

Тип вируса: Червь

Уязвимые ОС: Win NT-based

Размер: 1 Кбайт - верхний предел не ограничен

Упакован: может быть как в неупакованном, так и в упакованном виде: UPX, NSANTI и.т.д.

Техническая информация

  • Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ - дропперов.
  • Могут быть написаны на Delphi, C, Visual Basic Script
  • При запуске копируют своё тело в одном или нескольких экземплярах в каталог с установленным Windows, присваивая им атрибут "Скрытый".
  • Для обеспечения своего запуска при каждом старте Windows регистрируют созданные копии своего тела в секции автозагрузки системного реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

  • Создают файл autorun.inf на доступных для записи дисках. При открытии такого диска в Проводнике происходит автоматический запуск червя.
  • Постоянно находясь в оперативной памяти, модификации Win32.HLLW.Autoruner в бесконечном цикле проверяли наличие подмонтированного сменного диска. При обнаружении такового, создают на нём свои копии.
  • Для сокрытия своих файлов на дисках, присваивают значание "0" следующему параметру реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

    В результате отключается отображение скрытых файлов с Проводнике.

  • Обычно различные модификации Win32.HLLW.Autoruner содержат функцию загрузки из Интернета других вредоносных файлов - программ для похищения паролей для онлайн игр - Trojan.PWS.Maran, Trojan.PWS.Gamania, Trojan.PWS.Wsgame, сетевых червей Win32.HLLW.Sishen, Win32.HLLP.Whboy.

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue