Worm.AutoRun.Win32.2

Worm.AutoRun.Win32.2-  червь, ворующий конфиденциальную информацию.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под полезные программы.

Функциональные возможности 

При запуске червь создает папку RESTORE\ c-x-x-xx-xxxxxxx-xxxxxxx на диске C:\  куда копирует свое тело под именем  DriveFix.exe, после чего производит внедрение своего  кода в процесс Explorer.exe.

Для автоматического запуска червь генерирует и ррегистрирует в системе свой уникальный GUID, и  добавляет его в ветвь реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\]
    StubPath = "%Root%\RESTORE\c-x-x-xx-xxxxxxx-xxxxxxx\DriveFix.exe"

При входе пользователя в систему, Windows поэлементно сверяет содержимое ветвей HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components и HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components. Если указанный GUID из куста HKLM отсутствует в HKCU, или параметр Version в HKLM выше параметра Version в HKCU, то для данного GUID выполняется команда в параметре StubPath, где указан путь к исполняемому файлу червя.
Червь каждый раз удаляет данные о своём идентификаторе из ветви реестра  HKEY_CURRENT_USER, в результате чего он выполняется при каждом входе пользователя в систему.

Примечание:
 Version – текстовое представление версии, где элементы разделены запятыми.
 StubPath –  путь к телу червя.

Деструктивные действия

Крадет логины и пароли, используемые для авторизации на сервисах сети Internet, после чего информация пересылается злоумышленнику.