Worm.Win32. Autorun.cpe

Червь, создающий свои копии на съемных носителях информации. Является приложением Windows (PE-EXE файл). Имеет размер 73728 байт.

Инсталляция

После запуска червь копирует свой исполняемый файл в системный каталог Windows:

%System%\ssmicrco.scr

Распространение

Червь копирует свой исполняемый файл на все съемные диски со следующим именем:

:\boot.pif

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:

:\autorun.inf

где – буква съемного диска.

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Деструктивная активность

Червь останавливает и удаляет службу "Windows Update".

Также скачивает файлы по следующим ссылкам:

http://www.koreaarc.com/*****/www.rar
http://www.koreaard.com/*****/ppp.rar

и сохраняет их соответственно в системный каталог Windows:

%System%\xtemp1.exe
%System%\xtemp2.exe

После чего скачанные файлы запускаются на исполнение.

На момент создания описания указанные ссылки не работали.

Также червь создает файл, в котором ведет протокол своей работы:

%System%\config\userevent.evt

И создает следующие папки:

%WinDir%\web\webpf
%WinDir%\web\webdc
%WinDir%\web\webpt
%WinDir%\web\webhp
%WinDir%\web\webxs