Win32.HLLW.Autoruner2.53432

Техническая информация

Для обеспечения автозапуска и распространения

Модифицирует следующие ключи реестра

[<HKCU>\Control Panel\Desktop] 'SCRNSAVE.EXE' = 'ssmarque.scr'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] 'Debugger' = 'drivers\Kazekage.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe] 'Debugger' = 'drivers\Kazekage.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe] 'Debugger' = 'drivers\Kazekage.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thumbs.com] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Funny UST Scandal.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Funny UST Scandal.avi.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] 'Debugger' = 'drivers\Kazekage.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe] 'Debugger' = 'drivers\Kazekage.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe] 'Debugger' = 'drivers\Kazekage.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe] 'Debugger' = 'drivers\Kazekage.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\Software\Classes\VBSFile\Shell\Open\Command] '' = 'calc.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,drivers\system32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe, drivers\csrss.exe'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'SystemRun' = 'drivers\csrss.exe'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] '644r4' = '23-7-2019.exe'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'FreeAV' = 'Fonts\user 23 - 7 - 2019\Gaara.exe'
[<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'DesertSand' = 'Fonts\user 23 - 7 - 2019\smss.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe] 'Debugger' = 'cmd.exe /c del'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe] 'Debugger' = 'drivers\Kazekage.exe'

Изменяет следующие исполняемые системные файлы

<SYSTEM32>\mscomctl.ocx

Создает следующие файлы на съемном носителе

<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\user games\hokage-sampit (nothing).exe
<Имя диска съемного носителя>:\gaara.exe
<Имя диска съемного носителя>:\user games\readme.txt
<Имя диска съемного носителя>:\user games\gaara games - naruto.exe
<Имя диска съемного носителя>:\user games\naruto games.exe
<Имя диска съемного носителя>:\user games\anbu team sampit (nothing).exe
<Имя диска съемного носителя>:\user games\kazekage.exe
<Имя диска съемного носителя>:\user games\kazekage vs hokage.exe
<Имя диска съемного носителя>:\user games\gaara go to kazekage.exe

Вредоносные функции

Для затруднения выявления своего присутствия в системе

блокирует отображение:

скрытых файлов
расширений файлов

блокирует запуск следующих системных утилит:

Редактора реестра (RegEdit)

блокирует:

Компонент восстановления системы (SR)
Средство контроля пользовательских учетных записей (UAC)

изменяет следующие системные настройки:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFind' = '00000001'

Ищет следующие окна с целью

обнаружения утилит для анализа:

ClassName: 'PROCEXPL', WindowName: ''

Изменяет следующие настройки браузера Windows Internet Explorer

[<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = '!!! Hello HokageFile (AnbuTeam-Sampit), Is this my places, Wanna start a War !!!'

Изменения в файловой системе

Создает следующие файлы

%WINDIR%\fonts\the kazekage.jpg
C:\user games\kazekage vs hokage.exe
C:\user games\gaara go to kazekage.exe
D:\user games\kazekage.exe
C:\user games\kazekage.exe
D:\user games\anbu team sampit (nothing).exe
C:\user games\anbu team sampit (nothing).exe
D:\user games\naruto games.exe
C:\user games\naruto games.exe
D:\user games\gaara games - naruto.exe
C:\user games\gaara games - naruto.exe
%WINDIR%\mscomctl.ocx
D:\user games\readme.txt
D:\gaara.exe
D:\user games\hokage-sampit (nothing).exe
D:\autorun.inf
C:\user games\readme.txt
C:\gaara.exe
C:\user games\hokage-sampit (nothing).exe
C:\autorun.inf
<Текущая директория>\gaara the kazekage.exe
%WINDIR%\system\msvbvm60.dll
%WINDIR%\msvbvm60.dll
%WINDIR%\fonts\user 23 - 7 - 2019\msvbvm60.dll
<DRIVERS>\system32.exe
<DRIVERS>\kazekage.exe
<SYSTEM32>\23-7-2019.exe
%WINDIR%\fonts\user 23 - 7 - 2019\csrss.exe
%WINDIR%\fonts\user 23 - 7 - 2019\gaara.exe
%WINDIR%\fonts\user 23 - 7 - 2019\smss.exe
D:\user games\kazekage vs hokage.exe
D:\user games\gaara go to kazekage.exe

Присваивает атрибут 'скрытый' для следующих файлов

C:\autorun.inf
C:\gaara.exe
D:\autorun.inf
D:\gaara.exe
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\gaara.exe
%WINDIR%\msvbvm60.dll

Сетевая активность

UDP

DNS ASK 22#.###.0.0.in-addr.arpa

Другое

Ищет следующие окна

ClassName: 'THUNDERRT6FORMDC' WindowName: ''
ClassName: 'SYMINTEGRATORWND' WindowName: ''
ClassName: 'CENTRALFRAME' WindowName: ''
ClassName: 'TMCAFEEVIRUSSCANCENTRAL' WindowName: ''
ClassName: 'NAI_VS_STAT' WindowName: ''
ClassName: 'VIRUSSCANCONSULEWINDOWSCLASS' WindowName: ''
ClassName: 'TMESSAGEFORM' WindowName: ''
ClassName: 'TFROM1' WindowName: ''
ClassName: 'TPANEL' WindowName: ''
ClassName: 'NAVAPWNDCLASS' WindowName: ''
ClassName: 'TAPPLICATION' WindowName: ''
ClassName: 'TXPTITLE' WindowName: ''
ClassName: 'TMAINFORM' WindowName: ''
ClassName: 'CONSOLEWINDOWCLASS' WindowName: ''
ClassName: 'ANSAV#2194' WindowName: ''
ClassName: 'HONEYKISSME' WindowName: ''
ClassName: 'THUNDERRT6USERCONTROL' WindowName: ''
ClassName: 'THUNDERRT6USERCONTROLDC' WindowName: ''
ClassName: 'THUNDERRT6FRAME' WindowName: ''
ClassName: 'TTFXPFORM' WindowName: ''
ClassName: 'SYM_CCWEBWINDOWS_CLASS' WindowName: ''

Создает и запускает на исполнение

'%WINDIR%\fonts\user 23 - 7 - 2019\smss.exe'
'%WINDIR%\fonts\user 23 - 7 - 2019\gaara.exe'
'%WINDIR%\fonts\user 23 - 7 - 2019\csrss.exe'
'<DRIVERS>\kazekage.exe'
'<DRIVERS>\system32.exe'
'%WINDIR%\fonts\user 23 - 7 - 2019\smss.exe' ' (со скрытым окном)
'%WINDIR%\fonts\user 23 - 7 - 2019\gaara.exe' ' (со скрытым окном)
'%WINDIR%\fonts\user 23 - 7 - 2019\csrss.exe' ' (со скрытым окном)
'<DRIVERS>\kazekage.exe' ' (со скрытым окном)
'<DRIVERS>\system32.exe' ' (со скрытым окном)
'<SYSTEM32>\ping.exe' -a -l www.ra####yang.com.my 65500' (со скрытым окном)
'<SYSTEM32>\ping.exe' -a -l www.du###sex.com 65500' (со скрытым окном)

Запускает на исполнение

'<SYSTEM32>\winmine.exe'
'<SYSTEM32>\ping.exe' -a -l www.ra####yang.com.my 65500
'<SYSTEM32>\ping.exe' -a -l www.du###sex.com 65500

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация