Solutions Buy Download Information Partners Support Forum About us «Doctor Web» company news (RSS channel)
Win32.HLLW.Autoruner.437

(Packer.Malware.NSAnti.J, Trojan.PWS.Onlinegames.NDT, Trojan.Spy-6766, Packed.Win32.NSAnti.r, Trojan-PSW.Win32.OnLineGames.euv (Kaspersky), Trojan-PSW.Win32.WOW.sf (Kaspersky), Generic.dx (McAfee), PWS-WoW (McAfee), VirTool:Win32/Obfuscator!Mal (Microsoft), Worm:Win32/Wowsteal.ZE (Microsoft), probably a variant of Win32/PSW.OnLineGames (NOD32v2), Win32/PSW.Agent.NDP, Win32/PSW.OnLineGames.NF, Trj/Lineage.BZE, Trj/WoW.HV, W32/Autorun.DZ.worm, Infostealer.Gampass, W32.Gammima.AG)

Added to Dr.Web® virus database:2007-08-30 01:17:15
Тип вируса: Червь

Уязвимые ОС: Win NT-based

Размер: 8 Кбайт - верхний предел не ограничен

Упакован: может быть как в неупакованном, так и в упакованном виде: UPX, NSANTI и.т.д.

Техническая информация

  • Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ - дропперов.

  • Могут быть написаны на Delphi, C, Visual Basic Script

  • При запуске копируют своё тело в одном или нескольких экземплярах в каталог с установленным Windows, присваивая им атрибут "Скрытый".

  • Для обеспечения своего запуска при каждом старте Windows регистрируют созданные копии своего тела в секции автозагрузки системного реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

  • Создают файл autorun.inf на доступных для записи дисках. При открытии такого диска в Проводнике происходит автоматический запуск червя.

  • Постоянно находясь в оперативной памяти, модификации Win32.HLLW.Autoruner в бесконечном цикле проверяли наличие подмонтированного сменного диска. При обнаружении такового, создают на нём свои копии.

  • Для сокрытия своих файлов на дисках, присваивают значание "0" следующему параметру реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

  • В результате отключается отображение скрытых файлов с Проводнике.

  • Обычно различные модификации Win32.HLLW.Autoruner содержат функцию загрузки из Интернета других вредоносных файлов - программ для похищения паролей для онлайн игр - Trojan.PWS.Maran, Trojan.PWS.Gamania, Trojan.PWS.Wsgame, сетевых червей Win32.HLLW.Sishen, Win32.HLLP.Whboy.

  • В отдельных модификациях заложены функции по нейтрализации работы антивирусных программ различных производителей.

    • Информация по восстановлению системы

    1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
    2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
    3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
    4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
       Information



       My five cents
     
    What is the screen size of your monitor?

    12''
    14''
    15''
    17''
    19''
    more than 19''
    other


    Doctor Web, Ltd. © 2008 Doctor Web, Ltd. - a Russian company developing and distributing Dr.Web® Anti-virus solutions.
    Our customers can be found among home users from all regions of the world and in large enterprises, small companies and nationwide corporations. We thank all of them for support and long-term devotion to our product. State certificates and awards received by the Dr.Web Anti-virus, as well as the geography of our users are the best evidence of exceptional trust to the products created by the talented Russian programmers.