Win32.HLLW.Autoruner2.43585

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 's' = 'wscript.exe //B "%APPDATA%\s.VBS"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 's' = 'wscript.exe //B "%APPDATA%\s.VBS"'

Создает или изменяет следующие файлы:

%HOMEPATH%\Start Menu\Programs\Startup\s.VBS

Создает следующие файлы на съемном носителе:

<Имя диска съемного носителя>:\s.VBS

Изменения в файловой системе:

Создает следующие файлы:

%TEMP%\$inst\2.tmp
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1055.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.2052.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.2070.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.3082.dll
C:\bf1ff71e3383c83e894136ece9870d26\setup.exe
C:\bf1ff71e3383c83e894136ece9870d26\SITSetup.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapUI.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1025.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1028.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1029.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1030.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1031.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1032.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1053.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1036.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1037.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1038.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1040.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1041.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1042.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1043.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1044.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1045.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1046.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1049.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1053.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1055.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.1035.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1029.dll
%TEMP%\dd_dotnetfx35error.txt
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1045.dll
%TEMP%\uxeventlog.txt
%TEMP%\dd_dotnetfx35install.txt
C:\bf1ff71e3383c83e894136ece9870d26\$shtdwn$.req
C:\bf1ff71e3383c83e894136ece9870d26\gencomp.dll
C:\bf1ff71e3383c83e894136ece9870d26\dlmgr.dll
C:\bf1ff71e3383c83e894136ece9870d26\vsbasereqs.dll
C:\bf1ff71e3383c83e894136ece9870d26\vsscenario.dll
C:\bf1ff71e3383c83e894136ece9870d26\DeleteTemp.exe
C:\bf1ff71e3383c83e894136ece9870d26\vs70uimgr.dll
C:\bf1ff71e3383c83e894136ece9870d26\vs_setup.dll
C:\bf1ff71e3383c83e894136ece9870d26\HtmlLite.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1025.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1028.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.2052.dll
%APPDATA%\s.VBS
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1030.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1031.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1032.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1035.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1036.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1037.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1038.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1040.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1041.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1042.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1043.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1044.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1049.dll
C:\bf1ff71e3383c83e894136ece9870d26\setupres.1046.dll
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.2070.dll
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1032.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1037.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1038.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1040.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1041.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1042.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1043.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1044.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1045.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1046.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1049.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1053.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1055.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.2052.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1036.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.2070.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.ini
C:\bf1ff71e3383c83e894136ece9870d26\vs_setup.pdi
C:\bf1ff71e3383c83e894136ece9870d26\setup.sdb
C:\bf1ff71e3383c83e894136ece9870d26\deffactory.dat
C:\bf1ff71e3383c83e894136ece9870d26\baseline.dat
C:\bf1ff71e3383c83e894136ece9870d26\vs_setup.MS_
C:\bf1ff71e3383c83e894136ece9870d26\DW20.EXE
C:\bf1ff71e3383c83e894136ece9870d26\DWINTL20.DLL
%ProgramFiles%\Microsoft Corporation\microsoft-net-framework_microsoft_.net_framework_3.5_anglais_12834\Uninstall.ini
%ProgramFiles%\Microsoft Corporation\microsoft-net-framework_microsoft_.net_framework_3.5_anglais_12834\Uninstall.exe
%ProgramFiles%\microsoft-net-framework_microsoft_.net_framework_3.5_anglais_12834.exe
<SYSTEM32>\s.VBS
%TEMP%\$inst\temp_0.tmp
C:\bf1ff71e3383c83e894136ece9870d26\locdata.3082.ini
C:\bf1ff71e3383c83e894136ece9870d26\eula.1044.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1025.rtf
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1031.ini
C:\bf1ff71e3383c83e894136ece9870d26\eula.1028.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1029.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1030.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1031.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1032.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1033.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1035.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1036.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1037.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1038.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1040.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1041.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1042.rtf
C:\bf1ff71e3383c83e894136ece9870d26\WapRes.3082.dll
C:\bf1ff71e3383c83e894136ece9870d26\eula.1043.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1045.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1046.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1049.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1053.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.1055.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.2052.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.2070.rtf
C:\bf1ff71e3383c83e894136ece9870d26\eula.3082.rtf
C:\bf1ff71e3383c83e894136ece9870d26\logo.bmp
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1025.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1028.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1029.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1030.ini
C:\bf1ff71e3383c83e894136ece9870d26\locdata.1035.ini
%TEMP%\dd_depcheck_NETFX_EXP_35.txt

Присваивает атрибут 'скрытый' для следующих файлов:

<Имя диска съемного носителя>:\s.VBS

Удаляет следующие файлы:

%TEMP%\$inst\temp_0.tmp
%TEMP%\$inst\2.tmp

Сетевая активность:

Подключается к:

'localhost':1039
'fa#####ssin22.ddns.net':1188
'20#.#6.232.182':80

TCP:

Запросы HTTP GET:

http://crl.microsoft.com/pki/crl/products/CSPCA.crl via 20#.#6.232.182

UDP:

DNS ASK fa#####ssin22.ddns.net
DNS ASK crl.microsoft.com

Другое:

Создает и запускает на исполнение:

'<SYSTEM32>\wscript.exe' "<SYSTEM32>\s.VBS"
'%ProgramFiles%\microsoft-net-framework_microsoft_.net_framework_3.5_anglais_12834.exe'
'C:\bf1ff71e3383c83e894136ece9870d26\setup.exe' /web
'<SYSTEM32>\wscript.exe' //B "%APPDATA%\s.VBS"

Запускает на исполнение:

'%WINDIR%\Microsoft.NET\Framework\v2.0.50727\ngen.exe' queue pause
'<SYSTEM32>\msiexec.exe' /V

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация