Win32.HLLW.Autoruner2.52382

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Microsoft Windows Driver' = '%WINDIR%\1637425641\winenhw.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'Microsoft Windows Driver' = '%WINDIR%\1637425641\winenhw.exe'

Создает следующие файлы на съемном носителе

<Имя диска съемного носителя>:\.lnk
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\archer.avi
<Имя диска съемного носителя>:\000814251_video_01.avi
<Имя диска съемного носителя>:\default.bmp
<Имя диска съемного носителя>:\dashborder_96.bmp
<Имя диска съемного носителя>:\contosoroot.cer
<Имя диска съемного носителя>:\coffee.bmp
<Имя диска съемного носителя>:\sdkfailsafeemulator.cer
<Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
<Имя диска съемного носителя>:\contoso_1.cer
<Имя диска съемного носителя>:\testcertificate.cer
<Имя диска съемного носителя>:\dashborder_192.bmp
<Имя диска съемного носителя>:\fi51.doc
<Имя диска съемного носителя>:\february_catalogue__2015.doc
<Имя диска съемного носителя>:\ovp25012015.doc

Вредоносные функции

Для затруднения выявления своего присутствия в системе

блокирует:

Компонент восстановления системы (SR)
Центр обеспечения безопасности (Security Center)

Завершает или пытается завершить

следующие системные процессы:

<SYSTEM32>\wininit.exe

Изменения в файловой системе

Создает следующие файлы

%WINDIR%\1637425641\winenhw.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\re1n75kr\1[1].exe
%TEMP%\3539940747.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\0u8lpyu9\2[1].exe
%TEMP%\3939516910.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\bzjx5bke\4[1].exe
%TEMP%\3320729512.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\caasbycl\5[1].exe
%TEMP%\1447132115.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\re1n75kr\6[1].exe
%TEMP%\4253537320.exe

Присваивает атрибут 'скрытый' для следующих файлов

%WINDIR%\1637425641\winenhw.exe
<Имя диска съемного носителя>:\.lnk
<Имя диска съемного носителя>:\autorun.inf

Сетевая активность

TCP

Запросы HTTP GET

http://19#.#2.161.69/1.exe
http://19#.#2.161.69/2.exe
http://19#.#2.161.69/3.exe
http://19#.#2.161.69/4.exe
http://19#.#2.161.69/5.exe
http://19#.#2.161.69/6.exe
http://19#.#2.161.69/7.exe

Другое

Создает и запускает на исполнение

'%WINDIR%\1637425641\winenhw.exe'
'%TEMP%\3320729512.exe'
'%TEMP%\3939516910.exe'
'%TEMP%\3539940747.exe'
'%TEMP%\1447132115.exe'
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\glidescope_review_rev_010.docx", "<Имя диска съемного носителя>:\\_\glidescope_review_rev_010.docx"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\thlps_keeper_mayer_1965.docx", "<Имя диска съемного носителя>:\\_\thlps_keeper_mayer_1965.docx"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\weeklysheet1215.doc", "<Имя диска съемного носителя>:\\_\weeklysheet1215.doc"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\fi51.doc", "<Имя диска съемного носителя>:\\_\fi51.doc"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\ovp25012015.doc", "<Имя диска съемного носителя>:\\_\ovp25012015.doc"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\february_catalogue__2015.doc", "<Имя диска съемного носителя>:\\_\february_catalogue__2015.doc"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\TestCertificate.cer", "<Имя диска съемного носителя>:\\_\TestCertificate.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\testEE.cer", "<Имя диска съемного носителя>:\\_\testEE.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contoso.cer", "<Имя диска съемного носителя>:\\_\contoso.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\SDKSamplePrivDeveloper.cer", "<Имя диска съемного носителя>:\\_\SDKSamplePrivDeveloper.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\SDKFailsafeEmulator.cer", "<Имя диска съемного носителя>:\\_\SDKFailsafeEmulator.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contosoroot.cer", "<Имя диска съемного носителя>:\\_\contosoroot.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dashBorder_192.bmp", "<Имя диска съемного носителя>:\\_\dashBorder_192.bmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\coffee.bmp", "<Имя диска съемного носителя>:\\_\coffee.bmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\default.bmp", "<Имя диска съемного носителя>:\\_\default.bmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dashBorder_96.bmp", "<Имя диска съемного носителя>:\\_\dashBorder_96.bmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\archer.avi", "<Имя диска съемного носителя>:\\_\archer.avi"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\000814251_video_01.avi", "<Имя диска съемного носителя>:\\_\000814251_video_01.avi"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contoso_1.cer", "<Имя диска съемного носителя>:\\_\contoso_1.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\holycrosschurchinstructions.docx", "<Имя диска съемного носителя>:\\_\holycrosschurchinstructions.docx"' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\000814251_video_01.avi", "<Имя диска съемного носителя>:\\_\000814251_video_01.avi"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\thlps_keeper_mayer_1965.docx", "<Имя диска съемного носителя>:\\_\thlps_keeper_mayer_1965.docx"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\weeklysheet1215.doc", "<Имя диска съемного носителя>:\\_\weeklysheet1215.doc"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\fi51.doc", "<Имя диска съемного носителя>:\\_\fi51.doc"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\ovp25012015.doc", "<Имя диска съемного носителя>:\\_\ovp25012015.doc"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\february_catalogue__2015.doc", "<Имя диска съемного носителя>:\\_\february_catalogue__2015.doc"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\TestCertificate.cer", "<Имя диска съемного носителя>:\\_\TestCertificate.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contoso.cer", "<Имя диска съемного носителя>:\\_\contoso.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\testEE.cer", "<Имя диска съемного носителя>:\\_\testEE.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\SDKFailsafeEmulator.cer", "<Имя диска съемного носителя>:\\_\SDKFailsafeEmulator.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contoso_1.cer", "<Имя диска съемного носителя>:\\_\contoso_1.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\SDKSamplePrivDeveloper.cer", "<Имя диска съемного носителя>:\\_\SDKSamplePrivDeveloper.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contosoroot.cer", "<Имя диска съемного носителя>:\\_\contosoroot.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dashBorder_192.bmp", "<Имя диска съемного носителя>:\\_\dashBorder_192.bmp"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\coffee.bmp", "<Имя диска съемного носителя>:\\_\coffee.bmp"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\default.bmp", "<Имя диска съемного носителя>:\\_\default.bmp"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dashBorder_96.bmp", "<Имя диска съемного носителя>:\\_\dashBorder_96.bmp"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\archer.avi", "<Имя диска съемного носителя>:\\_\archer.avi"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\glidescope_review_rev_010.docx", "<Имя диска съемного носителя>:\\_\glidescope_review_rev_010.docx"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\holycrosschurchinstructions.docx", "<Имя диска съемного носителя>:\\_\holycrosschurchinstructions.docx"

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация