ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Autoruner1.11672

Добавлен в вирусную базу Dr.Web: 2012-02-07

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Server' = '<SYSTEM32>\Server.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Server' = '<SYSTEM32>\Server.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wuaclt.exe' = '%WINDIR%\14785\SYSTEMSHELL.exe'
Создает следующие файлы на съемном носителе:
  • <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<LS_APPDATA>\server.exe' = '<LS_APPDATA>\server.exe:*:Enabled:svchost'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
  • скрытых файлов
блокирует запуск следующих системных утилит:
  • Диспетчера задач (Taskmgr)
Создает и запускает на исполнение:
  • <LS_APPDATA>\server.exe 
Запускает на исполнение:
  • <SYSTEM32>\attrib.exe +S +H +R "F:\autorun.inf"
  • <SYSTEM32>\attrib.exe +S +H +R "G:\autorun.inf"
  • <SYSTEM32>\attrib.exe +S +H +R "J:\1044404.EXE"
  • <SYSTEM32>\attrib.exe +S +H +R "E:\autorun.inf"
  • <SYSTEM32>\attrib.exe +S +H +R "J:\autorun.inf"
  • <SYSTEM32>\ping.exe 127.0.0.1 -n 60
  • <SYSTEM32>\attrib.exe +S +H +R "H:\autorun.inf"
  • <SYSTEM32>\attrib.exe +S +H +R "I:\autorun.inf"
  • <SYSTEM32>\attrib.exe +S +H +R "I:\1044404.EXE"
  • <SYSTEM32>\netsh.exe firewall add allowedprogram <LS_APPDATA>\server.exe svchost ENABLE ALL
  • <SYSTEM32>\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_DWORD /d "2" /f
  • <SYSTEM32>\reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wuaclt.exe /t REG_SZ /d "%WINDIR%\14785\SYSTEMSHELL.exe" /f
  • <SYSTEM32>\reg.exe ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d "1" /f
  • <SYSTEM32>\attrib.exe +S +H +R "G:\1044404.EXE"
  • <SYSTEM32>\attrib.exe +S +H +R "H:\1044404.EXE"
  • <SYSTEM32>\attrib.exe +S +H +R "E:\1044404.EXE"
  • <SYSTEM32>\attrib.exe +S +H +R "F:\1044404.EXE"
Изменения в файловой системе:
Создает следующие файлы:
  • <SYSTEM32>\Server.exe
  • %WINDIR%\CRNJEUFU.txt
  • %WINDIR%\14785\WINUPDATE.DLL
  • <LS_APPDATA>\server.exe
  • <LS_APPDATA>\RND_UnHide.bat
  • %TEMP%\a51962.bat
Присваивает атрибут 'скрытый' для следующих файлов:
  • <Имя диска съемного носителя>:\autorun.inf
  • %TEMP%\a51962.bat
Сетевая активность:
Подключается к:
  • 'www.0c##ch.com':21
UDP:
  • DNS ASK www.0c##ch.com
  • '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
  • ClassName: 'Indicator' WindowName: ''