Worm.AutoRun.Win32.2

Worm.Autorun.Win32.2-  хробак, що краде конфіденційну інформацію.

Методи розповсюдження

розповсюджується через файлообмінні Web-Сайти й соціальні мережі, маскуючись під корисні програми.

Функціональні можливості 

При запуску хробак створює папку RESTORE\ c-x-x-xx-xxxxxxx-xxxxxxx на диску C:\  куди копіює своє тіло під ім'ям Drivefix.exe, після чого робить впровадження свого коду в процес Explorer.exe.

Для автоматичного запуску хробак генерує й рреєструє в системі свій унікальний GUID, і  додає його в гілку реєстру:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}]
    Stubpath = "%Root%\RESTORE\c-x-x-xx-xxxxxxx-xxxxxxx\Drivefix.exe"

При вході користувача в систему, Windows послідовно звіряє вміст гілок HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components і HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components. Якщо зазначений GUID з куща HKLM відсутній в HKCU, або параметр Version в HKLM вище параметра Version в HKCU, то для даного GUID виконується команда в параметрі Stubpath, де зазначений шлях до файлу хробака.
Хробак щораз видаляє дані про свій ідентифікатор з гілок реєстру  HKEY_CURRENT_USER,  в результаті чого він виконується при кожному вході користувача в систему.

Примітка:
 Version –   версія програми, де елементи розділені комами.
 Stubpath –  шлях до тіла хробака.

Деструктивні дії

Краде логіни й паролі, використовувані для авторизації на сервісах мережі  Internet, після чого інформація пересилається зловмиснику.