Virus library
Knowledge database

Win32.HLLW.Autoruner.437

(Malware-Cryptor.Win32.NSAnti, Obfustat.ZTU, TR/Crypt.NSPM.Gen, Parser error, PWS:Win32/Frethog.V, Packer.Malware.NSAnti.1, Worm:Win32/Taterf.B.dll, Trojan.PWS.OnlineGames.WMR, Obfustat.ABDT, Obfustat.ABKK, WORM_AUTORUN.DB, TROJ_NSPM.ARX, SHeur.PWN, W32/Downloader.AL, WORM_AUTORUN.SF, PWS-Mmorpg.gen, Trojan.PWS.OnlineGames.NEQ, Packer.Malware.NSAnti.Q, Win32/Chiton.AA, Win32.Rootkit.Vanti.NAI, Packed.Win32.NSAnti.r, W32/Autorun.DZ.worm, Win32.PSW.OnLineGames.NFN, MalwareScope.Trojan-PSW.Game.4)

Added to Dr.Web virus database:2007-08-30 01:17:15
Тип вируса: Червь

Уязвимые ОС: Win NT-based

Размер: 8 Кбайт - верхний предел не ограничен

Упакован: может быть как в неупакованном, так и в упакованном виде: UPX, NSANTI и.т.д.

Техническая информация

  • Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ - дропперов.

  • Могут быть написаны на Delphi, C, Visual Basic Script

  • При запуске копируют своё тело в одном или нескольких экземплярах в каталог с установленным Windows, присваивая им атрибут "Скрытый".

  • Для обеспечения своего запуска при каждом старте Windows регистрируют созданные копии своего тела в секции автозагрузки системного реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

  • Создают файл autorun.inf на доступных для записи дисках. При открытии такого диска в Проводнике происходит автоматический запуск червя.

  • Постоянно находясь в оперативной памяти, модификации Win32.HLLW.Autoruner в бесконечном цикле проверяли наличие подмонтированного сменного диска. При обнаружении такового, создают на нём свои копии.

  • Для сокрытия своих файлов на дисках, присваивают значание "0" следующему параметру реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

  • В результате отключается отображение скрытых файлов с Проводнике.

  • Обычно различные модификации Win32.HLLW.Autoruner содержат функцию загрузки из Интернета других вредоносных файлов - программ для похищения паролей для онлайн игр - Trojan.PWS.Maran, Trojan.PWS.Gamania, Trojan.PWS.Wsgame, сетевых червей Win32.HLLW.Sishen, Win32.HLLP.Whboy.

  • В отдельных модификациях заложены функции по нейтрализации работы антивирусных программ различных производителей.

    • Информация по восстановлению системы

    1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
    2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
    3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер, а также flash-накопители Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
    4. При необходимости, восстановить отображение скрытых файлов в Проводнике, присвоив значание "1" параметру реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

    System recover recommendations

    1. Reboot Windows in Safe Mode.
    2. Use Dr.Web® scanner of free curing utility Dr.Web® CureIT! to scan local drives. The “Cure” action should be applied for all infected files.
    3. Restore registry from the backup copy.

    Important! Before following these recommendations you should set up the mail client you use so that it stores attachments as separate files and not in the body of the database. For example, such storage in TheBat! is enabled as follows: Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory.
    Last updated: 2010-03-13 23:04:59 MSK
    Total records in virus database: 1128542

    Top virus chart

    Trojan.DownLoad.4155114.16%
    Trojan.DownLoad.3723612.40%
    Trojan.DownLoad.472569.15%
    Trojan.Botnetlog.zip6.61%
    Trojan.MulDrop.408966.46%

    Search in virus database

    Company | News&Events | Send a virus | Online scanner | Privacy policy | Site map More www-resources:
    www.av-desk.com
    www.freedrweb.com
    www.drweb-curenet.com    		 pda.drweb.com
    estore.drweb.com

    Doctor Web ©
    2003 — 2010

    Doctor Web is a Russian IT-security solutions vendor. Dr.Web anti-virus software has been developed since 1992. The leader on the Russian IT security services market, Doctor Web has been the first vendor that offered an anti-virus as a service in Russia. The company also offers proven anti-virus and anti-spam solutions for businesses, government entities, and personal use. We have a solid record of detecting malicious programs, and we adhere to all international security standards. Doctor Web has received numerous certificates and awards; our satisfied customers spanning the globe are clear evidence of the complete trust customers have in our products.