Win32.HLLW.Autohit.16767

Добавлен в вирусную базу Dr.Web: 2017-12-27

Описание добавлено: 2017-12-27

Вредоносные функции:

Внедряет код в

следующие системные процессы:

Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:

[<HKCU>\Software\SimonTatham\PuTTY\Sessions]
[<HKCU>\Software\NCH Software\ClassicFTP\FTPAccounts]
[<HKLM>\Software\NCH Software\ClassicFTP\FTPAccounts]
[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
[<HKLM>\Software\Martin Prikryl]
[<HKLM>\Software\SimonTatham\PuTTY\Sessions]
[<HKCU>\Software\NCH Software\Fling\Accounts]
[<HKCU>\Software\Far\Plugins\FTP\Hosts]
[<HKCU>\Software\Martin Prikryl]
[<HKCU>\Software\Ghisler\Total Commander]
[<HKLM>\Software\NCH Software\Fling\Accounts]
[<HKCU>\Software\VanDyke\SecureFX]
[<HKCU>\Software\Far2\Plugins\FTP\Hosts]

Изменения в файловой системе:

Создает следующие файлы:

%APPDATA%\Microsoft\Protect\CREDHIST
%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
%APPDATA%\517D9D\DE2515.lck
%TEMP%\QLORMW.exe
%TEMP%\aut1.tmp
%TEMP%\hdeoaxv
%TEMP%\aut2.tmp

Удаляет следующие файлы:

%APPDATA%\517D9D\DE2515.lck
%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
%TEMP%\aut2.tmp
%TEMP%\aut1.tmp
%TEMP%\hdeoaxv

Перемещает следующие системные файлы:

%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe в %APPDATA%\517D9D\DE2515.exe

Подменяет следующие файлы:

%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1

Сетевая активность:

Подключается к:

TCP:

Запросы HTTP POST:

Другое:

Создает и запускает на исполнение:

Запускает на исполнение: