Worm.Win32.AutoRun

После запуска червь выполняет следующие действия:

• извлекает из своего тела файлы:

  
  
  
  <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003bnf0342 (102266 байт)
  
  
  
  <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003wndsvc.dll (4 байта)
  
  
  
  

  Файлы создаются с атрибутами «скрытый» (hidden), «системный» (system). Файл «bnf0342» представляет собой изображения вида:

  [Autorun.hfp.jpg]

• Запускает на выполнение все созданные ранее копии. Кроме того, червь отслеживает список запущенных в системе процессов и их модулей. Если среди запущенных процессов отсутствует хотя бы одна копия вредоноса, все созданные копии перезапускаются.
• В отдельном потоке в бесконечном цикле через каждые 2 секунды выполняет поиск и завершение процесса Диспетчера задач Windows («taskmgr.exe»).
• В отдельном потоке отслеживает клавиатурный ввод пользователя, записывая полученные данные в файл:

  <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003info

• В отдельном потоке в бесконечном цикле через каждые 2 секунды выполняет действия, описанные в разделе Инсталляция.
• В бесконечном цикле через каждые 5 секунд копирует содержимое файла:

  <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003bnf0342

  в файл:

  <системный диск>:RECYCLERX-1-5-21-1960408961-725345543-839522115-1003OnlyDbv.jpg

После чего открывает файл «OnlyDbv.jpg», препятствуя его удалению.

Например Worm.Win32.AutoRun.bhx:

Червь подгружает извлеченную библиотеку во все запущенные в системе процессы.

Также червь перехватывает нажатия клавиш клавиатуры и мыши, если запущен один из следующих процессов:

Червь собирает информацию об учетных записях игроков следующих игр:

Собранные данные отправляются на сайт злоумышленника.

Также червь изменяет значения следующих параметров ключей системного реестра: