Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Worm.Win32.AutoIt.c

Robak ten tworzy własne kopie na dyskach lokalnych i dyskach przenośnych z dostępem umożliwiającym zapis. Ma postać pliku PE EXE (kompresja UPX). Rozmiar zainfekowanych plików może różnić się od 220KB do 275KB.

Instalacja

Podczas uruchamiania robak kopiuje swój plik wykonywalny do foldera głównego oraz systemowego:

%WinDir%\RVHOST.exe
%System%\RVHOST.exe

Aby zapewnić sobie automatyczne uruchamianie się wraz z restartem systemu, robak dodaje odsyłacz do swojego pliku wykonywalnego do rejestru systemowego:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "%System%\RVHOST.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe RVHOST.exe"

Rozprzestrzenianie

Robak kopiuje swój plik wykonywalny do katalogu głównego wszystkich dysków przenośnych z dostępem umożliwiającym zapis z następującą nazwą:

New Folder.exe

Ponadto, robak wielokrotnie kopiuje swój plik wykonywalny do wszystkich folderów na dyskach przenośnych. Kopie robaka będą miały tę samą nazwę co folder, do którego zostały skopiowane, oraz rozszerzenie “.exe”.

Funkcje szkodnika

Robak tworzy następujące parametry klucza rejestru systemowego:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 1
DisableTaskMgr = 1

Tym samym uniemożliwia uruchomienie narzędzia do edycji rejestru oraz Menedżera zadań.

Robak kończy również procesy związane z niektórymi rozwiązaniami antywirusowymi oraz zaporami sieciowymi.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

  1. Zakończ proces robaka wprowadzając następujące polecenie w wierszu poleceń:
    taskkill /IM RVHOST.exe
    
  2. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Wykonaj następujące polecenia w wierszu poleceń w celu aktywowania edytora rejestru oraz Menedżera zadań:
    reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    /v DisableTaskMgr
    reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v
    DisableRegistryTools
    
  4. Aby potwierdzić, że chcesz usunąć parametry, odpowiedz “y” i wciśnij Enter.
  5. Usuń następującą wartość klucza rejestru systemowego:

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Yahoo Messengger" = "%System%\RVHOST.exe"

  6. Cofnij zmodyfikowaną wartość klucza rejestru do następującej wartości:

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Shell = "Explorer.exe"

  7. Usuń następujące pliki:
    %WinDir%\RVHOST.exe
    %System%\RVHOST.exe
    
  8. Usuń wszystkie kopie robaka z dysków przenośnych.
  9. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).