Win32.HLLW.Autoruner.64548 - новый червь заражающий RAR-архивы


Win32.HLLW.Autoruner.64548 - червь, способной заражать RAR-архивы. Вредоносное ПО "умеет" загружать с удаленного сервера злоумышленников исполняемые файлы, которые могут нести вредоносный функционал.

Вредоносная программа Win32.HLLW.Autoruner.64548 создает свою копию на диске и размещает в корневой папке файл

  • autorun.inf

запускающий червя при подключении устройства.

Начав свою работу на инфицированном компьютере, Win32.HLLW.Autoruner.64548 ищет на дисках RAR-архивы и записывает себя в них, используя одно из следующих имен:

  • secret.exe;
  • AVIRA_License.exe;
  • Warcraft_money.exe;
  • CS16.exe;
  • Update.exe;
  • private.exe;
  • Autoruns.exe;
  • Tutorial.exe;
  • Autorun.exe;
  • Readme.exe;
  • Real.exe;
  • readme.exe;
  • Keygen.exe;
  • Avast_keygen.exe.


В некоторых случаях после подобной модификации архивы повреждаются.

Win32.HLLW.Autoruner

Также, червь имеет модуль полезной нагрузки. В его теле содержится исполняемый файл, сохраняющийся в папку установки Windows в виде библиотеки

  • mssys.dll.


Ссылку на эту библиотеку вредоносная программа записывает в системный реестр. Полезную нагрузку червь встраивает в копию собственного процесса. Затем вредоносная программа соединяется с удаленным сервером злоумышленников и ожидает команд на загрузку и запуск исполняемых файлов.

Win32.HLLW.Autoruner.64548 — представитель достаточно редкой категории вредоносных программ, способных заражать RAR-архивы. При распаковке RAR-архивов обращайте внимание, не появились ли внутри подозрительные исполняемые файлы. Их случайный запуск может нанести вред вашему компьютеру.