Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner2.52382
Добавлен в вирусную базу Dr.Web:
2019-07-17
Описание добавлено:
2019-07-17
Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
[<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Microsoft Windows Driver' = '%WINDIR%\1637425641\winenhw.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'Microsoft Windows Driver' = '%WINDIR%\1637425641\winenhw.exe'
Создает следующие файлы на съемном носителе
<Имя диска съемного носителя>:\.lnk
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\archer.avi
<Имя диска съемного носителя>:\000814251_video_01.avi
<Имя диска съемного носителя>:\default.bmp
<Имя диска съемного носителя>:\dashborder_96.bmp
<Имя диска съемного носителя>:\contosoroot.cer
<Имя диска съемного носителя>:\coffee.bmp
<Имя диска съемного носителя>:\sdkfailsafeemulator.cer
<Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
<Имя диска съемного носителя>:\contoso_1.cer
<Имя диска съемного носителя>:\testcertificate.cer
<Имя диска съемного носителя>:\dashborder_192.bmp
<Имя диска съемного носителя>:\fi51.doc
<Имя диска съемного носителя>:\february_catalogue__2015.doc
<Имя диска съемного носителя>:\ovp25012015.doc
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
Компонент восстановления системы (SR)
Центр обеспечения безопасности (Security Center)
Завершает или пытается завершить
следующие системные процессы:
Изменения в файловой системе
Создает следующие файлы
%WINDIR%\1637425641\winenhw.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\re1n75kr\1[1].exe
%TEMP%\3539940747.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\0u8lpyu9\2[1].exe
%TEMP%\3939516910.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\bzjx5bke\4[1].exe
%TEMP%\3320729512.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\caasbycl\5[1].exe
%TEMP%\1447132115.exe
<LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\re1n75kr\6[1].exe
%TEMP%\4253537320.exe
Присваивает атрибут 'скрытый' для следующих файлов
%WINDIR%\1637425641\winenhw.exe
<Имя диска съемного носителя>:\.lnk
<Имя диска съемного носителя>:\autorun.inf
Сетевая активность
TCP
Запросы HTTP GET
http://19#.#2.161.69/1.exe
http://19#.#2.161.69/2.exe
http://19#.#2.161.69/3.exe
http://19#.#2.161.69/4.exe
http://19#.#2.161.69/5.exe
http://19#.#2.161.69/6.exe
http://19#.#2.161.69/7.exe
Другое
Создает и запускает на исполнение
'%WINDIR%\1637425641\winenhw.exe'
'%TEMP%\3320729512.exe'
'%TEMP%\3939516910.exe'
'%TEMP%\3539940747.exe'
'%TEMP%\1447132115.exe'
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\glidescope_review_rev_010.docx", "<Имя диска съемного носителя>:\\_\glidescope_review_rev_010.docx"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\thlps_keeper_mayer_1965.docx", "<Имя диска съемного носителя>:\\_\thlps_keeper_mayer_1965.docx"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\weeklysheet1215.doc", "<Имя диска съемного носителя>:\\_\weeklysheet1215.doc"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\fi51.doc", "<Имя диска съемного носителя>:\\_\fi51.doc"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\ovp25012015.doc", "<Имя диска съемного носителя>:\\_\ovp25012015.doc"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\february_catalogue__2015.doc", "<Имя диска съемного носителя>:\\_\february_catalogue__2015.doc"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\TestCertificate.cer", "<Имя диска съемного носителя>:\\_\TestCertificate.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\testEE.cer", "<Имя диска съемного носителя>:\\_\testEE.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contoso.cer", "<Имя диска съемного носителя>:\\_\contoso.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\SDKSamplePrivDeveloper.cer", "<Имя диска съемного носителя>:\\_\SDKSamplePrivDeveloper.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\SDKFailsafeEmulator.cer", "<Имя диска съемного носителя>:\\_\SDKFailsafeEmulator.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contosoroot.cer", "<Имя диска съемного носителя>:\\_\contosoroot.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dashBorder_192.bmp", "<Имя диска съемного носителя>:\\_\dashBorder_192.bmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\coffee.bmp", "<Имя диска съемного носителя>:\\_\coffee.bmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\default.bmp", "<Имя диска съемного носителя>:\\_\default.bmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dashBorder_96.bmp", "<Имя диска съемного носителя>:\\_\dashBorder_96.bmp"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\archer.avi", "<Имя диска съемного носителя>:\\_\archer.avi"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\000814251_video_01.avi", "<Имя диска съемного носителя>:\\_\000814251_video_01.avi"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contoso_1.cer", "<Имя диска съемного носителя>:\\_\contoso_1.cer"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\holycrosschurchinstructions.docx", "<Имя диска съемного носителя>:\\_\holycrosschurchinstructions.docx"' (со скрытым окном)
Запускает на исполнение
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\000814251_video_01.avi", "<Имя диска съемного носителя>:\\_\000814251_video_01.avi"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\thlps_keeper_mayer_1965.docx", "<Имя диска съемного носителя>:\\_\thlps_keeper_mayer_1965.docx"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\weeklysheet1215.doc", "<Имя диска съемного носителя>:\\_\weeklysheet1215.doc"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\fi51.doc", "<Имя диска съемного носителя>:\\_\fi51.doc"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\ovp25012015.doc", "<Имя диска съемного носителя>:\\_\ovp25012015.doc"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\february_catalogue__2015.doc", "<Имя диска съемного носителя>:\\_\february_catalogue__2015.doc"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\TestCertificate.cer", "<Имя диска съемного носителя>:\\_\TestCertificate.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contoso.cer", "<Имя диска съемного носителя>:\\_\contoso.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\testEE.cer", "<Имя диска съемного носителя>:\\_\testEE.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\SDKFailsafeEmulator.cer", "<Имя диска съемного носителя>:\\_\SDKFailsafeEmulator.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contoso_1.cer", "<Имя диска съемного носителя>:\\_\contoso_1.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\SDKSamplePrivDeveloper.cer", "<Имя диска съемного носителя>:\\_\SDKSamplePrivDeveloper.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\contosoroot.cer", "<Имя диска съемного носителя>:\\_\contosoroot.cer"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dashBorder_192.bmp", "<Имя диска съемного носителя>:\\_\dashBorder_192.bmp"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\coffee.bmp", "<Имя диска съемного носителя>:\\_\coffee.bmp"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\default.bmp", "<Имя диска съемного носителя>:\\_\default.bmp"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\dashBorder_96.bmp", "<Имя диска съемного носителя>:\\_\dashBorder_96.bmp"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\archer.avi", "<Имя диска съемного носителя>:\\_\archer.avi"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\glidescope_review_rev_010.docx", "<Имя диска съемного носителя>:\\_\glidescope_review_rev_010.docx"
'%WINDIR%\syswow64\cmd.exe' /c move /y "<Имя диска съемного носителя>:\\holycrosschurchinstructions.docx", "<Имя диска съемного носителя>:\\_\holycrosschurchinstructions.docx"
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK