Virus.Win32. AutoRun.ah

Файловый вирус. Является приложением Windows (PE EXE- файл).

Файловый вирус. Является приложением Windows (PE EXE- файл). Имеет размер 380416 байт. Написан на Delphi.

Инсталляция

При запуске вирус копирует свой исполняемый файл в каталоги Windows:

%System%\config\csrss.exe
%WinDir%\media\arona.exe

Также программа создает следующий файл:

%System%\logon.bat

Данный файл при запуске на исполнение запускает копию вируса:

%System%\config\csrss.exe

С целью автоматического запуска при каждом последующем старте операционной системы вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Worms" = "%System%\logon.bat"

Вредоносная программа генерирует файлы:

%System%\config\autorun.inf
h:\autorun.inf
f:\autorun.inf
i:\autorun.inf
g:\autorun.inf
k:\autorun.inf
l:\autorun.inf
o:\autorun.inf
j:\autorun.inf

Указанные файлы запускаются каждый раз, когда пользователь открывает соответствующие разделы жесткого диска в «Проводнике». Аналогично «%System%\logon.bat» при исполнении файлы запускают копию вируса — «%System%\config\csrss.exe».

Деструктивная активность

Программа изменяет значения следующих ключей реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1

Также вирус производит поиск файлов с расширением «.mp3» в разделах жесткого диска:

d:\
c:\
e:\
f:\
g:\
h:\

Найденные файлы удаляются.