Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.14783
Добавлен в вирусную базу Dr.Web:
2012-04-17
Описание добавлено:
2012-05-08
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'VERS_IP02' = '<SYSTEM32>\updt\sys_32ip.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\updt\sys_32ip.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe J_Y.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'J_Y' = '%WINDIR%\J_Y.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\J_Y.Jpg
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\J_Y.WoRm.Jpg
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
Диспетчера задач (Taskmgr)
Редактора реестра (RegEdit)
блокирует:
Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
Запускает на исполнение:
%WINDIR%\explorer.exe
%WINDIR%\NOTEPAD.EXE
Ищет следующие окна с целью
обнаружения утилит для анализа:
ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'RegmonClass' WindowName: ''
ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
ClassName: 'GBDYLLO' WindowName: ''
ClassName: 'OLLYDBG' WindowName: ''
ClassName: 'FilemonClass' WindowName: ''
ClassName: 'pediy06' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
<SYSTEM32>\updt\sys_32ip.exe
C:\J_Y.WoRm.Jpg
%WINDIR%\AuToRuN.InF
%TEMP%\aut3.tmp
C:\J_Y.Jpg
C:\autorun.inf
%TEMP%\aut1.tmp
%WINDIR%\J_Y.exe
%WINDIR%\J_Y.WoRm.Jpg
%WINDIR%\J_Y.Jpg
%TEMP%\aut2.tmp
%WINDIR%\J-Y.WoRm.Jpg
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\J_Y.Jpg
<SYSTEM32>\updt\sys_32ip.exe
C:\autorun.inf
C:\J_Y.Jpg
Удаляет следующие файлы:
C:\autorun.inf
%WINDIR%\AuToRuN.InF
%TEMP%\aut3.tmp
<Имя диска съемного носителя>:\J_Y.Jpg
<Имя диска съемного носителя>:\autorun.inf
C:\J_Y.Jpg
%WINDIR%\J-Y.WoRm.Jpg
%TEMP%\aut1.tmp
%WINDIR%\J_Y.exe
%WINDIR%\J_Y.WoRm.Jpg
<Имя диска съемного носителя>:\J_Y.WoRm.Jpg
C:\J_Y.WoRm.Jpg
%TEMP%\aut2.tmp
Сетевая активность:
Подключается к:
UDP:
DNS ASK wi###.no-ip.biz
'<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
ClassName: '#32770' WindowName: ''
ClassName: 'SysListView32' WindowName: ''
ClassName: '#32770' WindowName: 'Program Manager'
ClassName: 'Indicator' WindowName: ''
ClassName: '18467-41' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK