Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.1973
Добавлен в вирусную базу Dr.Web:
2011-11-09
Описание добавлено:
2011-11-10
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgcsrvx.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgemc.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCTAVSvc.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnsx.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgtray.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashDisp.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashServ.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgam.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrsx.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCTAV.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BluPro.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bkav2006.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'read_sl' = '%WINDIR%\read_ls.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ResidentShield.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FastHelper.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sched.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.com] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rav.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\fbi.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
%WINDIR%\sdaemon.exe
%WINDIR%\read_ls.exe
Запускает на исполнение:
<SYSTEM32>\net1.exe share "phim_hai_hay=C:\Documents and Settings\film"
Изменения в файловой системе:
Создает следующие файлы:
%WINDIR%\sdaemon.exe
C:\fbi.exe
C:\autorun.inf
<SYSTEM32>\dllcache\alo.exe
C:\Documents and Settings\film\top_10_cau_tan_gai_hay_nhat.pdf.exe
%WINDIR%\read_ls.exe
Присваивает атрибут 'скрытый' для следующих файлов:
C:\autorun.inf
<Имя диска съемного носителя>:\fbi.exe
<Имя диска съемного носителя>:\autorun.inf
%WINDIR%\read_ls.exe
%WINDIR%\sdaemon.exe
C:\fbi.exe
Удаляет следующие файлы:
Другое:
Ищет следующие окна:
ClassName: 'Indicator' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK