Worm.Win32. AutoIt.c

Червь, создающий свои копии на локальных дисках и доступных для записи сьемных носителях.

Червь, создающий свои копии на локальных дисках и доступных для записи сьемных носителях. Является приложением Windows (PE EXE-файл). Упакован при помощи UPX. Размер зараженных файлов варьируется в пределах от 220 до 275 КБ.

Инсталляция

При запуске червь копирует свой исполняемый файл в системный и корневой каталоги Windows:

%WinDir%\RVHOST.exe
%System%\RVHOST.exe

Для автоматического запуска при каждом следующем старте системы червь добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "%System%\RVHOST.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe RVHOST.exe"

Распространение

Червь копирует свой исполняемый файл в корень доступных для записи съемных дисков под следующим именем:

New Folder.exe

Также червь рекурсивно копирует свой исполняемый файл во все папки на съемных дисках. Файлы-копии червя имеют имена, соответствующие именам папок, в которых они находятся, и расширение «.exe».

Деструктивная активность

Червь создает следующие параметры в ключе реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 1
DisableTaskMgr = 1

Таким образом он блокирует запуск редактора реестра и «Диспетчера задач».

Также червь завершает процессы некоторых антивирусных программ и сетевых экранов.