Trojan.Win32.Autorun.

03:48 | 25.08.2010

Tên Virus: Trojan.Win32.Autorun.

Hệ thống bị ảnh hưởng: Windows XP / NT / Server 2003/2000, …

Mức độ lan truyền: Không thường xuyên.

Mức độ cảnh báo: Không cao

Thông tin kỹ thuật

Virus này là file Windows PE.EXE. Kích thưóc khoảng 180 416 byte >480 416 byte. Nó được viết bằng Delphi hoăc VB…

Hoạt động

Khi hoạt động có thể sinh ra, các bản sao virus tập tin thực thi của nó như sau:

 % System% \ config csrss.exe \

 % WinDir% \ media \ arona.exe

Nó cũng tạo ra các tập tin khác như :

 % System% \ logon.bat

Khi tập tin này là chạy, nó sẽ khởi động một bản sao của virus:

 % System% \ config csrss.exe \

Để đảm bảo rằng Virus được chạy tự động khi hệ thống được khởi động lại, nó thêm một liên kết đến tập tin thực thi bản thân nó vào hệ thống thông qua Registry:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

"Worms" = "% System% \ logon.bat"

Virus này cũng tạo ra các tập tin Autorun sau đây:

% System% \ config autorun.inf \

h: \ autorun.inf , f: \ autorun.inf,  i: \ autorun.inf,  g: \ autorun.inf,  k: \ autorun.inf

l: \ autorun.inf,  o: \ autorun.inf,  j: \ autorun.inf , …..

Những tập tin này sẽ được đưa ra mỗi lần người dùng mở ổ đĩa cứng tương ứng bằng cách sử dụng Windows Explorer, click đúp…Khi một trong những tập tin này chạy, nó sẽ khởi động một bản sao của virus: % System% \ config csrss.exe \

Virus sửa đổi các giá trị của các phím hệ thống registry sau đây:

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

DisableTaskMgr = 1

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Policies \ \ Explorer

NoFolderOptions = 1

Nó cũng tìm kiếm các phân vùng đĩa cứng được liệt kê dưới đây cho các tập tin với "một mp3" mở rộng

d: \ hoặc c: \ hoặc e: \ hoặc f: \ hoặc g: \ hoặc h: \ hoặc …..

Những tập tin này sau đó bị xóa khi chạy.

Hướng dẫn diệt

Nếu máy tính của bạn không cài đặt một chương trình diệt virus hoặc không có một giải pháp chống virus ở tất cả. Hãy làm theo hướng dẫn dưới đây để xóa các chương trình độc hại:

Sử dụng Task Manager (CTL+ ALT + DELETE) để chấm dứt quá trình hoạt động của virus trên process( Kill Process )

Xóa các tập tin virus gốc (vị trí sẽ tùy thuộc vào chương trình ban đầu như thế nào thâm nhập máy tính nạn nhân).

Xóa các thông số sau từ hệ thống Registry :

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

DisableTaskMgr = 1

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion Policies \ \ Explorer

NoFolderOptions = 1

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

"Worms" = "% System% \ logon.bat"

Xóa các file sau:

 % System% \ config csrss.exe \

 % WinDir% \ media \ arona.exe

 % System% \ logon.bat

 % System% \ config autorun.inf \

Xóa trong các ổ           

             h: \ autorun.inf

             f: \ autorun.inf

             i: \ autorun.inf

             g: \ autorun.inf

             k: \ autorun.inf

             l: \ autorun.inf

             o: \ autorun.inf

          j: \ autorun.inf …….

Bản để in Chia sẻ

Tin mới nhận

Các tin khác