Win32.HLLW.Autoruner1.1973

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgcsrvx.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgemc.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCTAVSvc.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnsx.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgtray.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashDisp.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashServ.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgam.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrsx.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCTAV.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BluPro.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bkav2006.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'read_sl' = '%WINDIR%\read_ls.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ResidentShield.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FastHelper.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sched.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.com] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rav.exe] 'Debugger' = '<SYSTEM32>\dllcache\alo.exe'

Создает следующие файлы на съемном носителе:

<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\fbi.exe

Вредоносные функции:

Для затруднения выявления своего присутствия в системе

блокирует:

Центр обеспечения безопасности (Security Center)

Создает и запускает на исполнение:

%WINDIR%\sdaemon.exe
%WINDIR%\read_ls.exe

Запускает на исполнение:

<SYSTEM32>\net1.exe share "phim_hai_hay=C:\Documents and Settings\film"

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\sdaemon.exe
C:\fbi.exe
C:\autorun.inf
<SYSTEM32>\dllcache\alo.exe
C:\Documents and Settings\film\top_10_cau_tan_gai_hay_nhat.pdf.exe
%WINDIR%\read_ls.exe

Присваивает атрибут 'скрытый' для следующих файлов:

C:\autorun.inf
<Имя диска съемного носителя>:\fbi.exe
<Имя диска съемного носителя>:\autorun.inf
%WINDIR%\read_ls.exe
%WINDIR%\sdaemon.exe
C:\fbi.exe

Удаляет следующие файлы:

%TEMP%\~DFCBF0.tmp

Другое:

Ищет следующие окна:

ClassName: 'Indicator' WindowName: ''

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация