Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Win32.HLLW.Autoruner1.30479
Добавлен в вирусную базу Dr.Web:
2012-11-27
Описание добавлено:
2012-11-27
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Print Spooler Process' = '<SYSTEM32>\spool\drivers\w32x86\3\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\spooler.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Запускает на исполнение:
<SYSTEM32>\attrib.exe +h N:\autorun.inf
<SYSTEM32>\attrib.exe +h M:\autorun.inf
<SYSTEM32>\attrib.exe +h L:\autorun.inf
<SYSTEM32>\attrib.exe +h Q:\autorun.inf
<SYSTEM32>\attrib.exe +h P:\autorun.inf
<SYSTEM32>\attrib.exe +h O:\autorun.inf
<SYSTEM32>\attrib.exe +h K:\autorun.inf
<SYSTEM32>\attrib.exe +h G:\autorun.inf
<SYSTEM32>\attrib.exe +h F:\autorun.inf
<SYSTEM32>\attrib.exe +h E:\autorun.inf
<SYSTEM32>\attrib.exe +h J:\autorun.inf
<SYSTEM32>\attrib.exe +h I:\autorun.inf
<SYSTEM32>\attrib.exe +h H:\autorun.inf
<SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings" /f /v "Enabled" /t REG_DWORD /d 00000001
<SYSTEM32>\attrib.exe +h Z:\autorun.inf
<SYSTEM32>\attrib.exe +h Y:\autorun.inf
<SYSTEM32>\cmd.exe /c ""<Текущая директория>\ftp.bat" "
<SYSTEM32>\wscript.exe "<Текущая директория>\b.vbs"
<SYSTEM32>\reg.exe add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v "Print Spooler Process" /d <SYSTEM32>\spool\drivers\w32x86\3\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\spooler.exe
<SYSTEM32>\attrib.exe +h X:\autorun.inf
<SYSTEM32>\attrib.exe +h T:\autorun.inf
<SYSTEM32>\attrib.exe +h S:\autorun.inf
<SYSTEM32>\attrib.exe +h R:\autorun.inf
<SYSTEM32>\attrib.exe +h W:\autorun.inf
<SYSTEM32>\attrib.exe +h V:\autorun.inf
<SYSTEM32>\attrib.exe +h U:\autorun.inf
<SYSTEM32>\attrib.exe +h <Имя диска съемного носителя>:\autorun.inf
<SYSTEM32>\attrib.exe +h K:\RECYCLER
<SYSTEM32>\attrib.exe +h J:\RECYCLER
<SYSTEM32>\attrib.exe +h I:\RECYCLER
<SYSTEM32>\attrib.exe +h N:\RECYCLER
<SYSTEM32>\attrib.exe +h M:\RECYCLER
<SYSTEM32>\attrib.exe +h L:\RECYCLER
<SYSTEM32>\attrib.exe +h H:\RECYCLER
<SYSTEM32>\attrib.exe +h <Имя диска съемного носителя>:\RECYCLER
<SYSTEM32>\attrib.exe +h C:\RECYCLER
<SYSTEM32>\attrib.exe +h "<SYSTEM32>\spool\drivers\w32x86\3\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\spooler.exe"
<SYSTEM32>\attrib.exe +h G:\RECYCLER
<SYSTEM32>\attrib.exe +h F:\RECYCLER
<SYSTEM32>\attrib.exe +h E:\RECYCLER
<SYSTEM32>\attrib.exe +h X:\RECYCLER
<SYSTEM32>\attrib.exe +h W:\RECYCLER
<SYSTEM32>\attrib.exe +h V:\RECYCLER
<SYSTEM32>\attrib.exe +h C:\autorun.inf
<SYSTEM32>\attrib.exe +h Z:\RECYCLER
<SYSTEM32>\attrib.exe +h Y:\RECYCLER
<SYSTEM32>\attrib.exe +h U:\RECYCLER
<SYSTEM32>\attrib.exe +h Q:\RECYCLER
<SYSTEM32>\attrib.exe +h P:\RECYCLER
<SYSTEM32>\attrib.exe +h O:\RECYCLER
<SYSTEM32>\attrib.exe +h T:\RECYCLER
<SYSTEM32>\attrib.exe +h S:\RECYCLER
<SYSTEM32>\attrib.exe +h R:\RECYCLER
Изменения в файловой системе:
Создает следующие файлы:
<Текущая директория>\ftp.bat
<Текущая директория>\b.vbs
<Текущая директория>\a.vbs
<Текущая директория>\tmp
%TEMP%\bt2516.bat
C:\autorun.inf
%TEMP%\reg
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\autorun.inf
C:\autorun.inf
%TEMP%\bt2516.bat
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK