Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Win32.HLLW.Autoruner2.6280
Добавлен в вирусную базу Dr.Web:
2014-02-09
Описание добавлено:
2014-02-10
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '7338b198ca7e6af6b13b5bb7a8a46c2b' = '"%HOMEPATH%\Google Chrome.exe" ..'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '7338b198ca7e6af6b13b5bb7a8a46c2b' = '"%HOMEPATH%\Google Chrome.exe" ..'
Создает или изменяет следующие файлы:
%HOMEPATH%\Start Menu\Programs\Startup\7338b198ca7e6af6b13b5bb7a8a46c2b.exe
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\usjf.exe
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\7338b198ca7e6af6b13b5bb7a8a46c2b.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%HOMEPATH%\Google Chrome.exe' = '%HOMEPATH%\Google Chrome.exe:*:Enabled:Google Chrome.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%HOMEPATH%\Local Settings\Tempface.exe' = '%HOMEPATH%\Local Settings\Tempface.exe:*:Enabled:ipsec'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
блокирует:
Средство контроля пользовательских учетных записей (UAC)
Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
'%HOMEPATH%\Google Chrome.exe'
'%HOMEPATH%\Local Settings\Tempsexy1.exe'
'%HOMEPATH%\Local Settings\Tempface.exe'
Запускает на исполнение:
'<SYSTEM32>\netsh.exe' firewall add allowedprogram "%HOMEPATH%\Google Chrome.exe" "Google Chrome.exe" ENABLE
Внедряет код в
следующие системные процессы:
<SYSTEM32>\cscript.exe
<SYSTEM32>\netsh.exe
<SYSTEM32>\cmd.exe
%WINDIR%\Explorer.EXE
<SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\hbspam.xpg.com[1]
%TEMP%\wineyamnu.exe
%APPDATA%\Microsoft\CLR Security Config\v2.0.50727.42\security.config.cch.new
<DRIVERS>\jhnln.sys
%TEMP%\windoyuha.exe
C:\autorun.inf
C:\axxel.pif
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.new
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.new
%HOMEPATH%\Local Settings\Tempface.exe
%HOMEPATH%\Local Settings\Tempsexy1.exe
%HOMEPATH%\Google Chrome.exe
%TEMP%\winxaxw.exe
%TEMP%\0007AD93_Rar\Tempface.exe
%TEMP%\0007AF77_Rar\Tempface.exe
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\usjf.exe
C:\axxel.pif
<Имя диска съемного носителя>:\7338b198ca7e6af6b13b5bb7a8a46c2b.exe
C:\autorun.inf
Удаляет следующие файлы:
%TEMP%\0007AF77_Rar\Tempface.exe
<DRIVERS>\jhnln.sys
%TEMP%\windoyuha.exe
%TEMP%\wineyamnu.exe
%TEMP%\winxaxw.exe
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.2736.500984
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.2736.501000
Перемещает следующие файлы:
%APPDATA%\Microsoft\CLR Security Config\v2.0.50727.42\security.config.cch.new в %APPDATA%\Microsoft\CLR Security Config\v2.0.50727.42\security.config.cch
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch в %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.2736.501000
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch в %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.2736.500984
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.new в %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.new в %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch
Сетевая активность:
Подключается к:
'localhost':445
'<IP-адрес в локальной сети>':80
'localhost':1039
'hb####.xpg.com.br':80
TCP:
UDP:
DNS ASK go#####chrome.sytes.net
DNS ASK hb####.xpg.com.br
Другое:
Ищет следующие окна:
ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
ClassName: 'Indicator' WindowName: '(null)'
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK