Autorun.BO

Az Autorun férgek családjának egy újabb képviselője jelent meg, amely az eddigiekhez hasonlóan meglehetősen agresszívan próbál terjedni.
 

Az Autorun férgek az elmúlt években számos módosításon estek át, azonban az alapvető céljuk változatlan maradt. Ez pedig nem más, mint hogy a cserélhető és hálózati meghajtókra olyan fájlokat tudjanak felmásolni, amelyek biztosítják a kártékony program betöltődését a lehető legkevesebb felhasználói közreműködés mellett. E férgek a Windows automatikus fájlbetöltésére szolgáló funkcióját használják ki.

Az Autorun.BO minden meghajtón átnevezi az esetlegesen jelen lévő autorun.inf nevű állományokat, majd a saját fájljait másolja azok helyére. A működése során szerepet kap egy WSF (Windows Script File) fájl is, de az alapvető komponenseit egy Redist.exe állomány révén próbálja számítógépről számítógépre továbbítani.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%ProgramFiles%/usb_autorun_remover/usb$505$.wsf

2. Folyamatosan figyelemmel kíséri a cserélhető meghajtók csatlakoztatását.

3. Bemásol a Program Files könyvtárba egy állományt az alábbiak szerint:
%ProgramFiles%/usb_autorun_remover/Redist.exe

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/usb_autorun_remover="%SYSTEM%/wscript.exe "%ProgramFiles%/usb_autorun_remover/usb$505$.wsf" //Job:Work"

5. Az összes elérhető és írható meghajtó gyökér könyvtárában megkeresi az autorun.inf nevű fájlokat. Amennyiben talál ilyet, akkor azt átnevezi "strange_file.xxx"-re

6. Minden meghajtó gyökér könyvtárába bemásol egy autorun.inf és egy Redist.exe nevű állományt.

7. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKCR/WSFFile/Shell/Open/Command/(Default)="%SystemRoot%/System32/WScript$505$.exe ""%1"" %*"
HKCR/WSFFile/EditFlags="24"