Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Service Host' = '%HOMEPATH%\Start Menu\Programs\Startup\mscvhost.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe huelar.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'winlogos.exe' = '%WINDIR%\winlogos.exe /s'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Huelar Services 2.0' = '<SYSTEM32>\huelar.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\mscvhost.exe
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Folder.htt
- <Имя диска съемного носителя>:\desktop.ini
- <Имя диска съемного носителя>:\My Sexy Photos.exe
- <Имя диска съемного носителя>:\console.exe
- <Имя диска съемного носителя>:\Autorun.inf
- <Имя диска съемного носителя>:\x64console.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Создает и запускает на исполнение:
- %WINDIR%\winlogos.exe /s
- %HOMEPATH%\Start Menu\Programs\Startup\mscvhost.exe
- <SYSTEM32>\huelar.exe
Запускает на исполнение:
- %WINDIR%\explorer.exe <Имя вируса>
Завершает или пытается завершить
следующие пользовательские процессы:
- fsavgui.exe
- AVPM.EXE
- AVPCC.EXE
- GUARD.EXE
- ZONEALARM.EXE
- nod32.exe
- NAVAPW32.EXE
- AVGCC32.EXE
- avgcc.exe
- ashAvast.exe
- AVGCTRL.EXE
- AVP32.EXE
- AVP.EXE
- AVP.COM
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] 'NoFolderOptions' = '00000001'
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = 'Huelar Browser'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\CryptnetUrlCache.exe
- %APPDATA%\Microsoft\CryptnetUrlCache\Content.exe
- %APPDATA%\Microsoft\Credentials.exe
- %APPDATA%\Microsoft\Credentials\S-1-5-21-1275210071-117609710-1801674531-500.exe
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData.exe
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch.exe
- %APPDATA%\Microsoft\Media Player.exe
- %APPDATA%\Microsoft\HTML Help.exe
- %APPDATA%\Microsoft\Internet Explorer.exe
- %APPDATA%\Microsoft.exe
- %WINDIR%\huelar.exe
- <Текущая директория>.exe
- %WINDIR%\winlogos.exe
- <SYSTEM32>\huelar.exe
- C:\Documents and Settings.exe
- %APPDATA%\Identities.exe
- %APPDATA%\Identities\{4FF38130-294D-42C8-BD62-3A52854427FF}.exe
- %HOMEPATH%.exe
- %APPDATA%.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\x64console.exe
- <Имя диска съемного носителя>:\Autorun.inf
- <Имя диска съемного носителя>:\desktop.ini
- <Имя диска съемного носителя>:\Folder.htt
- <Имя диска съемного носителя>:\console.exe
- <SYSTEM32>\huelar.exe
- %WINDIR%\winlogos.exe
- %HOMEPATH%\Start Menu\Programs\Startup\mscvhost.exe
- %WINDIR%\huelar.exe
Удаляет следующие файлы:
- <Имя диска съемного носителя>:\Autorun.inf
Сетевая активность:
Подключается к:
- '10.#.1.2':139
- '10.#.1.2':445
UDP:
- DNS ASK ya##o.com
- DNS ASK 1.#.#.#0.in-addr.arpa
- '10.#.1.1':1047
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Power Meter'
- ClassName: '' WindowName: 'MS_WebcheckMonitor'
- ClassName: '' WindowName: 'Tiny H-Pot v1.6'
- ClassName: '' WindowName: 'Connections Tray'
- ClassName: '' WindowName: '3? Floppy (A:)'
- ClassName: '' WindowName: '3? Floppy (B:)'
- ClassName: '' WindowName: 'Program Manager'
- ClassName: '' WindowName: '<Имя вируса>'
- ClassName: '' WindowName: '<Служебное имя>'
- ClassName: '' WindowName: 'CiceroUIWndFrame'
- ClassName: '' WindowName: 'TF_FloatingLangBar_WndTitle'
- ClassName: '' WindowName: ''
- ClassName: '' WindowName: 'SysFader'
- ClassName: '' WindowName: '<Служебное имя> - build Mar 22 2011'
- ClassName: '' WindowName: '<SYSTEM32>\cscript.exe'
- ClassName: '' WindowName: 'Windows Explorer'
- ClassName: '' WindowName: 'Form1'
