Червей заразява RAR архивите

Зловредна програма от типа червей заразява RAR архиви, алармира компанията за сигурност Доктор Уеб. Win32.HLLW.Autoruner.64548 зарежда от отдалечен сървър изпълними зловредни файлове на компютъра на жертвата.

Червеят се разпространява като създава свое копие на диска и помества в основната директория файл autorun.inf, който пуска зловредната програма при стартиране на компютъра.

Win32.HLLW.Autoruner.64548 започва да търси RAR архиви на диска и да се записва в тях с едно от следващите имена: secret.exe, AVIRA_License.exe, Warcraft_money.exe, CS16.exe, Update.exe, private.exe, Autoruns.exe, Tutorial.exe, Autorun.exe, Readme.exe, Real.exe, readme.exe, Keygen.exe и Avast_keygen.exe. В някои случаи след модификацията архивите се повреждат.

Освен това червеят има „payload” модул, който съдържа изпълним файл, съхраняван в папката за инсталиране на Windows във вид на библиотека mssys.dll. Връзка към тази библиотека се записва в системния регистър. Червеят инжектира „payload” кода в копие на собствения си процес. След това зловредният код се свързва с отдалечен сървър и чака команда за зареждане и пускане на изпълними файлове.

Win32.HLLW.Autoruner.64548 е представител на рядка категория зловредни програми, способни да инфектират RAR архиви. Доктор Уеб съветва потребителите да бъдат внимателни при разопаковане на архивите, като в частност следят за подозрителни изпълними файлове – тяхното случайно пускане може да нанесе вреди на системата.

Коментар