autoruner

Ответ от Владимир Маркелов[гуру]
Win32.HLLW.Autoruner.437
Техническая информация
* Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ - дропперов.
* При запуске копируют своё тело в одном или нескольких экземплярах в каталог с установленным Windows, присваивая им атрибут "Скрытый".
* Для обеспечения своего запуска при каждом старте Windows регистрируют созданные копии своего тела в секции автозагрузки системного реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
* Создают файл autorun.inf на доступных для записи дисках. При открытии такого диска в Проводнике происходит автоматический запуск червя.
* Постоянно находясь в оперативной памяти, модификации Win32.HLLW.Autoruner в бесконечном цикле проверяли наличие подмонтированного сменного диска. При обнаружении такового, создают на нём свои копии.
* Для сокрытия своих файлов на дисках, присваивают значание "0" следующему параметру реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
* В результате отключается отображение скрытых файлов с Проводнике.
* Обычно различные модификации Win32.HLLW.Autoruner содержат функцию загрузки из Интернета других вредоносных файлов - программ для похищения паролей для онлайн игр - Trojan.PWS.Maran, Trojan.PWS.Gamania, Trojan.PWS.Wsgame, сетевых червей Win32.HLLW.Sishen, Win32.HLLP.Whboy.
# В отдельных модификациях заложены функции по нейтрализации работы антивирусных программ различных производителей.
Более подробное описание тут: