КОРИСТУВАЧАМ

Закрити

Пошук
Пошук

Пошук

Підтримка
Цілодобова підтримка | Правила звернення

Напишіть

Запит через форму

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -
Створити новий запит Поширені запитання

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрити
Сервіси
Сканери
Dr.Web vxCube
Демо
Експертиза ВКІ
Вірусна бібліотека
База знань

Технології

Терміни

Навчання

Міфи

Новини

Win32.HLLW.Autoruner1.34499

Добавлен в вирусную базу Dr.Web: 2013-03-27

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'm_l_<Имя вируса>' = '<SYSTEM32>\m_l_<Имя вируса>.exe'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'm_l_<Имя вируса>' = '<SYSTEM32>\m_l_<Имя вируса>.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'm_l_<Имя вируса>' = '<SYSTEM32>\m_l_<Имя вируса>.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'm_l_<Имя вируса>' = '<SYSTEM32>\m_l_<Имя вируса>.exe'
Создает следующие файлы на съемном носителе:
  • <Имя диска съемного носителя>:\autorun.inf
  • <Имя диска съемного носителя>:\<Имя вируса>.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\m_l_<Имя вируса>.exe' = '<SYSTEM32>\m_l_<Имя вируса>.exe:*:Enabled:m_l_winst'
  • [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\<Имя вируса>.exe' = '<SYSTEM32>\<Имя вируса>.exe:*:Enabled:winst'
Создает и запускает на исполнение:
  • <SYSTEM32>\p_e_<Имя вируса>.exe /stext <SYSTEM32>\p_e.log
  • <SYSTEM32>\p_r_<Имя вируса>.exe /stext <SYSTEM32>\p_r.log
  • <SYSTEM32>\p_m_<Имя вируса>.exe /stext <SYSTEM32>\p_m.log
  • <SYSTEM32>\p_n_<Имя вируса>.exe /stext <SYSTEM32>\p_n.log
  • <SYSTEM32>\winst.exe
  • <SYSTEM32>\p_c_<Имя вируса>.exe /stext <SYSTEM32>\p_c.log
  • <SYSTEM32>\p_p_<Имя вируса>.exe /stext <SYSTEM32>\p_p.log
  • <SYSTEM32>\p_d_<Имя вируса>.exe /stext <SYSTEM32>\p_d.log
  • <SYSTEM32>\s_n_winst.exe sentinel
  • <SYSTEM32>\p_f_<Имя вируса>.exe /stext <SYSTEM32>\p_f.log
  • <SYSTEM32>\s_s_winst.exe sentinel
  • <SYSTEM32>\p_i_<Имя вируса>.exe /stext <SYSTEM32>\p_i.log
  • <SYSTEM32>\m_l_<Имя вируса>.exe
  • <SYSTEM32>\<Имя вируса>.exe
  • <SYSTEM32>\p_c_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\p_p_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\p_d_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\p_f_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\p_m_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\p_i_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\p_n_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\p_r_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\m_l_<Имя вируса>.exe (загружен из сети Интернет)
  • <SYSTEM32>\p_e_<Имя вируса>.exe (загружен из сети Интернет)
Запускает на исполнение:
  • <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\log_master.bat" "
  • %WINDIR%\explorer.exe <Текущая директория>\
Завершает или пытается завершить
следующие пользовательские процессы:
  • AVSYNMGR.EXE
  • fsav.exe
  • AVPCC.EXE
  • AVPM.EXE
  • fsavgui.exe
  • NAVAPW32.EXE
  • fsav32.exe
  • fsavaui.exe
  • avgcc.exe
  • AVGCC32.EXE
  • ashAvast.exe
  • ashAvSrv.exe
  • AVP.EXE
  • AVP32.EXE
  • AVGCTRL.EXE
  • AVP.COM
Изменения в файловой системе:
Создает следующие файлы:
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\p_r[1].exe
  • <SYSTEM32>\p_r_<Имя вируса>.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\p_p[1].exe
  • <SYSTEM32>\p_e_<Имя вируса>.exe
  • <SYSTEM32>\p_n_<Имя вируса>.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\check[1].php
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\p_e[1].exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\p_c[1].exe
  • <SYSTEM32>\p_c_<Имя вируса>.exe
  • <SYSTEM32>\log_master.txt
  • <SYSTEM32>\p_d_<Имя вируса>.exe
  • <SYSTEM32>\p_p_<Имя вируса>.exe
  • <SYSTEM32>\winst.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\p_d[1].exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\p_n[1].exe
  • <SYSTEM32>\s_s_winst.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\m[1].exe
  • <SYSTEM32>\m_l_<Имя вируса>.exe
  • <SYSTEM32>\s_n_winst.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\check[1].php
  • <SYSTEM32>\<Имя вируса>.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\check[1].php
  • <SYSTEM32>\p_i_<Имя вируса>.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\p_m[1].exe
  • <SYSTEM32>\p_m_<Имя вируса>.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\p_i[1].exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\p_f[1].exe
  • <SYSTEM32>\p_f_<Имя вируса>.exe
  • <SYSTEM32>\log_master.bat
Присваивает атрибут 'скрытый' для следующих файлов:
  • <Имя диска съемного носителя>:\autorun.inf
  • <SYSTEM32>\m_l_<Имя вируса>.exe
  • <SYSTEM32>\winst.exe
  • <Имя диска съемного носителя>:\<Имя вируса>.exe
  • <SYSTEM32>\<Имя вируса>.exe
  • <SYSTEM32>\s_n_winst.exe
  • <SYSTEM32>\s_s_winst.exe
Удаляет следующие файлы:
  • <SYSTEM32>\p_p_<Имя вируса>.exe
  • <SYSTEM32>\p_r_<Имя вируса>.exe
  • <SYSTEM32>\p_e_<Имя вируса>.exe
  • <SYSTEM32>\log_master.txt
  • <SYSTEM32>\p_c_<Имя вируса>.exe
  • <SYSTEM32>\p_d_<Имя вируса>.exe
  • <SYSTEM32>\p_n_<Имя вируса>.exe
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\check[1].php
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\check[1].php
  • %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\check[1].php
  • <SYSTEM32>\p_m_<Имя вируса>.exe
  • <SYSTEM32>\p_i_<Имя вируса>.exe
  • <SYSTEM32>\p_f_<Имя вируса>.exe
Сетевая активность:
Подключается к:
  • 'localhost':1044
  • 'localhost':1046
  • 'localhost':1041
  • 'localhost':1036
  • 'www.la###ategia.com':80
TCP:
Запросы HTTP GET:
  • www.la###ategia.com/winst/files/p_r.exe
  • www.la###ategia.com/winst/files/p_e.exe
  • www.la###ategia.com/winst/files/p_p.exe
  • www.la###ategia.com/winst/files/p_c.exe
  • www.la###ategia.com/winst/files/p_d.exe
  • www.la###ategia.com/winst/files/p_n.exe
  • www.la###ategia.com/winst/files/m.exe
  • www.la###ategia.com/winst/???#########################
  • www.la###ategia.com/winst/files/p_f.exe
  • www.la###ategia.com/winst/files/p_m.exe
  • www.la###ategia.com/winst/files/p_i.exe
UDP:
  • DNS ASK www.la###ategia.com
Другое:
Ищет следующие окна:
  • ClassName: 'Indicator' WindowName: ''
  • ClassName: '' WindowName: ''