Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Win32.HLLW.Autoruner2.65
Добавлен в вирусную базу Dr.Web:
2013-12-24
Описание добавлено:
2013-12-25
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Update' = '"%TEMP%\Server.exe" ..'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Update' = '"%TEMP%\Server.exe" ..'
Создает или изменяет следующие файлы:
%HOMEPATH%\Start Menu\Programs\Startup\Update.exe
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf.lnk
<Имя диска съемного носителя>:\install.exe.lnk
<Имя диска съемного носителя>:\install.exe
<Имя диска съемного носителя>:\Update.exe
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\Server.exe' = '%TEMP%\Server.exe:*:Enabled:Server.exe'
Создает и запускает на исполнение:
'%TEMP%\Server.exe'
'<LS_APPDATA>BlEjkkjpyX.exe'
Запускает на исполнение:
'<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\Server.exe" "Server.exe" ENABLE
'<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen <LS_APPDATA>cgvAgRhdIR.JPEG
Изменения в файловой системе:
Создает следующие файлы:
<SYSTEM32>\dllcache\recycled.exe
C:\install.exe
C:\autorun.inf
<DRIVERS>\svchost.exe
<SYSTEM32>\dllcache\doc.pif
<SYSTEM32>\dllcache\myporn.scr
%HOMEPATH%\Recent\Local Settings.lnk
%TEMP%\Server.exe
<LS_APPDATA>cgvAgRhdIR.JPEG
<LS_APPDATA>BlEjkkjpyX.exe
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.new
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.new
%HOMEPATH%\Recent\Application DatacgvAgRhdIR.lnk
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\install.exe
C:\install.exe
<Имя диска съемного носителя>:\Update.exe
C:\autorun.inf
Перемещает следующие файлы:
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.new в %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.new в %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch
Другое:
Ищет следующие окна:
ClassName: 'Indicator' WindowName: '(null)'
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: 'ShImgVw:CPreviewWnd' WindowName: '(null)'
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK