Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.12212
Добавлен в вирусную базу Dr.Web:
2012-02-18
Описание добавлено:
2012-03-09
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'csrss' = '%ALLUSERSPROFILE%\Application Data\csrss.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'usbhubber' = '<SYSTEM32>\usbhub.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '%WINDIR%\Explorer.exe %WINDIR%\cache\apps\Microsoft\Applications\Ms-office\Ms-Word\Networking\internet\system32\lsass.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe <SYSTEM32>\1036\winlogon.exe'
Создает или изменяет следующие файлы:
%WINDIR%\Tasks\At4.job
%WINDIR%\Tasks\At5.job
%WINDIR%\Tasks\At6.job
%WINDIR%\Tasks\At1.job
%WINDIR%\Tasks\At2.job
%WINDIR%\Tasks\At3.job
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\TlntSvr] 'Start' = '00000002'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\VerySecretPics.exe
<Имя диска съемного носителя>:\DCIM78340.exe
<Имя диска съемного носителя>:\DCIM36230.exe
<Имя диска съемного носителя>:\DCIM76670.exe
<Имя диска съемного носителя>:\DCIM73520.exe
<Имя диска съемного носителя>:\DCIM97590.exe
<Имя диска съемного носителя>:\DCIM96320.exe
<Имя диска съемного носителя>:\DCIM96550.exe
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\DCIM58470.exe
<Имя диска съемного носителя>:\DCIM54420.exe
<Имя диска съемного носителя>:\picnic.exe
<Имя диска съемного носителя>:\typshala.pif
<Имя диска съемного носителя>:\sexyhot.exe
<Имя диска съемного носителя>:\DCIM83290.exe
<Имя диска съемного носителя>:\<Имя вируса>.exe
<Имя диска съемного носителя>:\HeadChopped.exe
<Имя диска съемного носителя>:\Baby_Killed_With_knife.exe
<Имя диска съемного носителя>:\My_hot_moment.exe
<Имя диска съемного носителя>:\facebooknewpic.exe
<Имя диска съемного носителя>:\cybersansarSex.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\tlntsvr.exe' = '<SYSTEM32>\tlntsvr.exe:*:Enabled:iexplorer'
Для затруднения выявления своего присутствия в системе
блокирует:
Средство контроля пользовательских учетных записей (UAC)
Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
<SYSTEM32>\iexplorer.exe
<SYSTEM32>\usbhub.exe
<SYSTEM32>\iexplorer.exe (загружен из сети Интернет)
Запускает на исполнение:
<SYSTEM32>\at.exe /delete /yes
<SYSTEM32>\at.exe 09:00 /interactive /EVERY:m,t,w,th,f,s,su <SYSTEM32>\mlan.exe
<SYSTEM32>\netsh.exe firewall set allowedprogram <SYSTEM32>\tskmgr.exe iexplorer enable
<SYSTEM32>\netsh.exe firewall set allowedprogram <SYSTEM32>\iexplorer.exe iexplorer enable
<SYSTEM32>\at.exe 10:00 /interactive /EVERY:m,t,w,th,f,s,su <SYSTEM32>\mlan.exe
<SYSTEM32>\at.exe 04:00 /interactive /EVERY:m,t,w,th,f,s,su <SYSTEM32>\mlan.exe
<SYSTEM32>\at.exe 02:00 /interactive /EVERY:m,t,w,th,f,s,su <SYSTEM32>\mlan.exe
<SYSTEM32>\at.exe 08:00 /interactive /EVERY:m,t,w,th,f,s,su <SYSTEM32>\mlan.exe
<SYSTEM32>\at.exe 05:00 /interactive /EVERY:m,t,w,th,f,s,su <SYSTEM32>\mlan.exe
<SYSTEM32>\net1.exe localgroup 'remote desktop users' Redbull /add
<SYSTEM32>\sc.exe config tlntsvr start= auto
<SYSTEM32>\net1.exe user Redbull 123456789 /add
<SYSTEM32>\net1.exe localgroup %USERNAME%s Redbull /add
<SYSTEM32>\netsh.exe firewall set allowedprogram <SYSTEM32>\tlntsvr.exe iexplorer enable
<SYSTEM32>\regsvr32.exe /s <SYSTEM32>\tlntsvrp.dll
<SYSTEM32>\netsh.exe firewall set allowedprogram <SYSTEM32>\nc.exe iexplorer enable
<SYSTEM32>\sc.exe start tlntsvr
<SYSTEM32>\tlntsvr.exe
Завершает или пытается завершить
следующие пользовательские процессы:
Изменяет следующие настройки браузера Windows Internet Explorer:
[<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = 'Webcat ninja'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
<SYSTEM32>\tckl.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\minocx[1].tar
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\tckl[1].tar
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\iexplorer[1].tar
<SYSTEM32>\iexplorer.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sub7svr[1].tar
<SYSTEM32>\sub7svr.exe
<SYSTEM32>\ocx.exe
<SYSTEM32>\minocx.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\ocx[1].tar
%TEMP%\aut1.tmp
<SYSTEM32>\usbhub.exe
<SYSTEM32>\mlan.exe
%WINDIR%\cache\apps\Microsoft\Applications\Ms-office\Ms-Word\Networking\internet\system32\lsass.exe
<SYSTEM32>\1036\winlogon.exe
C:\VerySecretPics.exe
C:\autorun.inf
C:\<Имя вируса>.exe
%ALLUSERSPROFILE%\Application Data\csrss.exe
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\<Имя вируса>.exe
<Имя диска съемного носителя>:\autorun.inf
C:\<Имя вируса>.exe
C:\autorun.inf
Удаляет следующие файлы:
Сетевая активность:
Подключается к:
TCP:
Запросы HTTP GET:
www.si###ame.com/ocx.tar
www.si###ame.com/sub7svr.tar
www.si###ame.com/minocx.tar
www.si###ame.com/iexplorer.tar
www.si###ame.com/tckl.tar
UDP:
DNS ASK www.si###ame.com
'<IP-адрес в локальной сети>':1037
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK