ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLM.Siggen.4116

Добавлен в вирусную базу Dr.Web: 2016-05-26

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{C9E9A340-D1F1-11D0-821E-BIFROST999999}] 'stubpath' = '<SYSTEM32>\dllcache\fudeu.exe s'
  • [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{43EB5254-E4B3-4E69-6484-8E4E2C23A78E}] 'StubPath' = '<Полный путь к вирусу>'
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\Oddysee] 'ImagePath' = '<SYSTEM32>\ntoskrnl.exe:kernel'
Вредоносные функции:
Создает и запускает на исполнение:
  • '<SYSTEM32>\oddysee.exe' -rk Oddysee
  • '<SYSTEM32>\oddysee.exe' -rk {C9E9A340-D1F1-11D0-821E-BIFROST999999}
  • '<SYSTEM32>\oddysee.exe' -i
  • '<SYSTEM32>\oddysee.exe' -pnm explorer.exe
Запускает на исполнение:
  • '<SYSTEM32>\net1.exe' start Oddysee
  • '<SYSTEM32>\oddysee.exe' -pnm explorer.exe
  • '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE'
  • '<SYSTEM32>\oddysee.exe' -rk {C9E9A340-D1F1-11D0-821E-BIFROST999999}
  • '<SYSTEM32>\oddysee.exe' -rk Oddysee
  • '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' -nohome
  • '%WINDIR%\explorer.exe'
  • '<SYSTEM32>\net.exe' start Oddysee
  • '<SYSTEM32>\oddysee.exe' -i
Внедряет код в
следующие системные процессы:
  • %WINDIR%\explorer.exe
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
  • NtQuerySystemInformation, драйвер-обработчик: kernel
  • NtEnumerateValueKey, драйвер-обработчик: kernel
  • NtEnumerateKey, драйвер-обработчик: kernel
Скрывает следующие процессы:
  • %WINDIR%\explorer.exe
  • %ProgramFiles%\Internet Explorer\IEXPLORE.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • <SYSTEM32>\ntoskrnl.exe:kernel
  • <SYSTEM32>\dllcache\fudeu.exe
  • <SYSTEM32>\dllcache\ntkrnlmp.exe.new
  • <SYSTEM32>\oddysee.exe
  • <SYSTEM32>\ssvschost.sys
  • %APPDATA%\addon.dat
Присваивает атрибут 'скрытый' для следующих файлов:
  • %APPDATA%\addon.dat
  • <SYSTEM32>\dllcache\fudeu.exe
Сетевая активность:
Подключается к:
  • 'na#####nta3.no-ip.org':1201
  • 'my#####og.dyndns.org':1201
  • 'na#####nta1.no-ip.org':1201
  • 'na#####nta2.no-ip.org':1201
  • 'na#####nta1.no-ip.org':2201
  • 'my#####og.dyndns.org':2201
  • 'na#####nta3.no-ip.org':2201
  • 'na#####nta2.no-ip.org':2201
UDP:
  • DNS ASK na#####nta2.no-ip.org
  • DNS ASK na#####nta3.no-ip.org
  • DNS ASK my#####og.dyndns.org
  • DNS ASK na#####nta1.no-ip.org