Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:WORM/Roron.50.A
Обнаружен:10/07/2003
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Версия VDF:6.20.00.35 - четверг, 10 июля 2003 г.
Версия IVDF:6.20.00.35 - четверг, 10 июля 2003 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: W32/Oror.gen@MM virus
   •  Kaspersky: Email-Worm.Win32.Roron.50.a
   •  F-Secure: Email-Worm.Win32.Roron.50.a
   •  Sophos: W32/Oror-M
   •  Bitdefender: Win32.Roron.A@mm
   •  AVG: Worm/Opanki.AJ
   •  Panda: W32/Oror.Q
   •  Grisoft: I-Worm/Roron
   •  Eset: Win32/Roron.50.B worm
   •  Fortinet: suspicious
   •  Norman: Oror.AG


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создаются следующие файлы:

– Незараженные файлы:
   • %SYSDIR%\Syscnav_.def
   • %SYSDIR%\vancRun.vxd
   • %WINDIR%\cnav98.sys
   • %SYSDIR%\Syscnav_.def
   • %WINDIR%\Faith.ini

– Файлы предназначены для временного использования и могут быть удалены.
   • %temp%/OAG3.tmp
   • %temp%/OAG4.tmp
   • %temp%/OAG5.tmp

%WINDIR%\Cmdcnav32.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%PROGRAM FILES%\Common Files\Common16.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой.
%SYSDIR%\$winnt$.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Для повторного запуска процесса после перезагрузки системы к каждому ключу реестра добавляется по одному значению.

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\$winnt$.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Common StartUp"="%PROGRAM FILES%\Common Files\Common16.exe"
   • "LoadSystem"="Cmdcnav32.exe powrprof.dll,LoadCurrentPwrScheme"



Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SOFTWARE\Classes\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

Описание добавил Wensin Lee в(о) вторник, 5 марта 2013 г.
Описание обновил Wensin Lee в(о) вторник, 5 марта 2013 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.