Virus.Win32. AutoRun.ah

Файловый вирус. Является приложением Windows (PE EXE- файл).

Файловый вирус. Является приложением Windows (PE EXE- файл). Имеет размер 380416 байт. Написан на Delphi.

Инсталляция

При запуске вирус копирует свой исполняемый файл в каталоги Windows:

 %System%\config\csrss.exe
 %WinDir%\media\arona.exe

Также программа создает следующий файл:

 %System%\logon.bat

Данный файл при запуске на исполнение запускает копию вируса:

 %System%\config\csrss.exe

С целью автоматического запуска при каждом последующем старте операционной системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:

 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
 "Worms" = "%System%\logon.bat"

Вредоносная программа генерирует файлы:

 %System%\config\autorun.inf
 h:\autorun.inf
 f:\autorun.inf
 i:\autorun.inf
 g:\autorun.inf
 k:\autorun.inf
 l:\autorun.inf
 o:\autorun.inf
 j:\autorun.inf
 

Указанные файлы запускаются каждый раз, когда пользователь открывает соответствующие разделы жесткого диска в «Проводнике». Аналогично «%System%\logon.bat» при исполнении файлы запускают копию вируса — «%System%\config\csrss.exe».

Деструктивная активность

Программа изменяет значения следующих ключей реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 DisableTaskMgr = 1
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
 NoFolderOptions = 1
 

Также вирус производит поиск файлов с расширением «.mp3» в разделах жесткого диска:

d:\
c:\
e:\
f:\
g:\
h:\

Найденные файлы удаляются.