W32/AutoRun.cw

W32/AutoRun.cw

نوع : کرم اینترنتی
محيطهاي قابل اجرا: Windows 2000,XP,NT,....
اندازه : ۶۴۱,۵۳۶ بایت

خصوصيات :

جزئیات و خصوصیات بدافزار W32/AutoRun.cw به شرح زیر می‌باشد:

با اجرا شدن بر روی سیستم، تصویر زیر را با نام a.s.k.jpg بر روی Cool Disk قرار می‌دهد:

فایلهایی که بر روی سیستم ایجاد می نماید عبارتند از:

Filename(s) نام و مسیر فایل

File Size اندازه فایل

Alias نام بدافزار

c:\Data2.bat 3 bytes ------------

%AppData%\LSASS.EXE 641,536 bytes W32/AutoRun.cw

[Current User]\AppData\Microsoft\Windows\Themes\Custom.theme 5,740 bytes ------------

Process هایی که این بدافزار، در سیستم ایجاد می کند:

Filename(s) نام و مسیرپروسه

Process Name نام پروسه

%AppData%\LSASS.EXE LSASS.EXE

با قراردادن کپی هایی از خود، به همراه فایل Autorun.inf بر روی Cool Disk باعث انتقال و انتشار خود بر روی سیستمهای متفاوت می شود.

%Removable%\a.s.k.jpg.exe
%Removable%\ask2.exe
%Removable%\Autorun.inf

تغییرات رجیستری سیستم، به شرح ذیل می باشد:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools =" 0x00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
AASSKK2 = "%Profiles%\Local Settings\Application Data\LSASS.EXE "

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
CheckedValue = "0x00000002"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
CheckedValue = "0x00000002"
UncheckedValue = "0x00000000"

برای بر طرف سازی اثرات تخريبی اين کرم در رجیستری، می توانيد از برنامه زير استفاده کنيد:

http://www.imenantivirus.com/RegRepair.zip