VBS.Runauto.F

VBS.Runauto.F je računalni crv otkriven 19. svibnja 2009. godine. Zaražava računala koja rade pod operativnim sustavom Microsoft Windows (Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000).

Djelovanje

Crv se kopira kao datoteke %System%\winjpg.jpg i %SystemDrive%\winfile.jpg. Također pravi datoteku %SystemDrive%\autorun.inf koja se aktivira kad korisnik pristupi %SystemDrive%-u te onda ubacuje komponentu backdoora u datoteku %System%\winxp.exe.

U Windows Registry VBS.Runauto.F dodaje vrijednost HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"CTFMON" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg" kako bi se mogao pokretati tijekom sljedećih podizanja sustava, te HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"regdiit" = "%System%\winxp.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"abu salem" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 77 00 69 00 6E 00 78 00 70 00 2E 00 65 00 78 00 65 00 za pokretanje backdora, također za vrijeme sljedećih podizanja sustava.

Crv mijenja vrijednosti HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe\"Debugger" = "%System%\winxp.exe",HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSConfig.exe\"Debugger" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg", HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe\"Debugger" = "\winxp.exe",HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\"Debugger" = "%System%\wscript.exe /E:vbs %System%\winjpg.jpg" kako bi se on sam pokrenuo umjesto traženih aplikacija.

VBS.Runauto.F umanjuje sigurnost računala mijenjanjem vrijednosti HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings\"Enabled" = "1", HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = "1", HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "1", HKEY_USERS\S-1-5-21-1110976373-127614085-1323839693-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "0".

Crv se širi tako što se kopira na sve izmjenjive diskove (removable drives) kao datoteka %DriveLetter%\winfile.jpg te pravi datoteku %DriveLetter%\autorun.inf koja se aktivira kad korisnik pristupi izmjenjivim driverima.

Izvor

• Symantec.com