Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.53368
Добавлен в вирусную базу Dr.Web:
2013-08-08
Описание добавлено:
2013-08-09
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'adtime.exe' = 'c:\programdata\adtime.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\adtime.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 'C:\programdata\adtime.exe' = 'C:\programdata\adtime.exe:*:Enabled:adtime'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:<Имя вируса>'
Создает и запускает на исполнение:
'C:\programdata\system.exe'
'C:\programdata\adtime.exe'
'C:\programdata\system.exe' (загружен из сети Интернет)
Запускает на исполнение:
'<SYSTEM32>\attrib.exe' e:\autorun.inf +s +h +r
'<SYSTEM32>\attrib.exe' z: [\\.host\Shared Folders\vm_shara]\adtime.exe -s -r
'<SYSTEM32>\attrib.exe' e:\autorun.inf -s -r
'<SYSTEM32>\attrib.exe' e:\adtime.exe -s -r
'<SYSTEM32>\attrib.exe' e:\adtime.exe +s +h +r
'<SYSTEM32>\attrib.exe' c:\programdata +s +h +r
'<SYSTEM32>\cmd.exe' /c c:\programdata\runupdate.cmd
'<SYSTEM32>\attrib.exe' z: [\\.host\Shared Folders\vm_shara]\autorun.inf +s +h +r
'<SYSTEM32>\attrib.exe' z: [\\.host\Shared Folders\vm_shara]\adtime.exe +s +h +r
'<SYSTEM32>\attrib.exe' z: [\\.host\Shared Folders\vm_shara]\autorun.inf -s -r
'<SYSTEM32>\attrib.exe' c:\adtime.exe +s +h +r
'<SYSTEM32>\attrib.exe' c:\autorun.inf -s -r
'<SYSTEM32>\attrib.exe' c:\adtime.exe -s -r
'<SYSTEM32>\cmd.exe' /c c:\programdata\sys2.cmd
'<SYSTEM32>\cmd.exe' /c c:\programdata\sys.cmd
'<SYSTEM32>\attrib.exe' <Имя диска съемного носителя>:\autorun.inf -s -r
'<SYSTEM32>\attrib.exe' <Имя диска съемного носителя>:\autorun.inf +s +h +r
'<SYSTEM32>\attrib.exe' <Имя диска съемного носителя>:\adtime.exe +s +h +r
'<SYSTEM32>\attrib.exe' c:\autorun.inf +s +h +r
'<SYSTEM32>\attrib.exe' <Имя диска съемного носителя>:\adtime.exe -s -r
Изменения в файловой системе:
Создает следующие файлы:
C:\programdata\runupdate.cmd
C:\programdata\updated
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\system[1].exe
C:\programdata\system.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\command[1]
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\system[1].exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\command[1]
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\system[1].exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\command[1]
C:\programdata\autorun.inf
C:\programdata\sys2.cmd
C:\programdata\adtime.exe
C:\autorun.inf
C:\programdata\06-27-2013
C:\programdata\sys.cmd
C:\adtime.exe
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\adtime.exe
<Имя диска съемного носителя>:\autorun.inf
C:\adtime.exe
C:\autorun.inf
Удаляет следующие файлы:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\system[1].exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\command[1]
%TEMP%\~DF3F5B.tmp
%TEMP%\~DFBFA0.tmp
%TEMP%\~DFE9C1.tmp
%TEMP%\~DF76D5.tmp
%TEMP%\~DF4C7E.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\system[1].exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\command[1]
Сетевая активность:
Подключается к:
'localhost':1041
'fu####s.allalla.com':80
'localhost':1037
'fu####s.allalla.com':21
TCP:
Запросы HTTP GET:
fu####s.allalla.com/system.exe
fu####s.allalla.com/command
UDP:
DNS ASK fu####s.allalla.com
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK