Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Win32.HLLW.Autoruner1.13633
Добавлен в вирусную базу Dr.Web:
2012-03-19
Описание добавлено:
2012-04-08
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'msinit' = '<SYSTEM32>\msinit.bat'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\RECYCLER\S-1-5-21-790565478-1060287698-527137240-2506\msinit1.bat
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
Запускает на исполнение:
%WINDIR%\sleep.exe 2
<SYSTEM32>\attrib.exe +r +s +h E:\autorun.inf
<SYSTEM32>\reg.exe add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDriveTypeAutoRun" /t REG_DWORD /d "0x91" /f
<SYSTEM32>\attrib.exe +s +h del.bat
<SYSTEM32>\attrib.exe +r +s +h E:\RECYCLER\S-1-5-21-790565478-1060287698-527137240-2506\msinit.bat
<SYSTEM32>\attrib.exe +r +s +h <SYSTEM32>\msinit.bat
<SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "msinit" /t REG_SZ /d "<SYSTEM32>\msinit.bat" /f
<SYSTEM32>\attrib.exe -r +s +h "<DRIVERS>\etc\hosts"
<SYSTEM32>\attrib.exe -r -a -s -h <DRIVERS>\etc\hosts
<SYSTEM32>\reg.exe add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "ShowSuperHidden" /t REG_DWORD /d "0" /f
<SYSTEM32>\reg.exe add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "Hidden" /t REG_DWORD /d "2" /f
<SYSTEM32>\reg.exe add "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll" /v "CheckedValue" /t REG_DWORD /d "0" /f
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
<Текущая директория>\tmp1.bat
%TEMP%\2831.bat
<SYSTEM32>\123321.bat
<Текущая директория>\del.bat
<Текущая директория>\tmp2.bat
%APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\749279db-bee1-4f13-a91a-dd5f09591317
%APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\8bf4a743402324568655823639768a92_23ef5514-3059-436f-a4a7-4cefaab20eb1
%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\549b9b645cadfe6bb4bc69cf363c354c_23ef5514-3059-436f-a4a7-4cefaab20eb1
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\RECYCLER\S-1-5-21-790565478-1060287698-527137240-2506\msinit.bat
<Текущая директория>\del.bat
<SYSTEM32>\msinit.bat
%TEMP%\2831.bat
<Имя диска съемного носителя>:\autorun.inf
Удаляет следующие файлы:
<Текущая директория>\tmp2.bat
%TEMP%\2831.bat
<Текущая директория>\tmp1.bat
Перемещает следующие системные файлы:
<DRIVERS>\etc\hosts в <DRIVERS>\etc\hоsts
Подменяет файл HOSTS.
Самоудаляется.
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK