Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner3.912
Добавлен в вирусную базу Dr.Web:
2019-10-25
Описание добавлено:
2019-10-27
Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MyApp' = '%APPDATA%\MyApp\MyApp.exe'
Создает или изменяет следующие файлы
<SYSTEM32>\tasks\updates\rygxoeifrhavrk
Создает следующие файлы на съемном носителе
<Имя диска съемного носителя>:\scr.exe
<Имя диска съемного носителя>:\adadsi.html.lnk
<Имя диска съемного носителя>:\browse.html.lnk
<Имя диска съемного носителя>:\alert.html.lnk
<Имя диска съемного носителя>:\region-north-karelia.jpeg.lnk
<Имя диска съемного носителя>:\2.jpeg.lnk
<Имя диска съемного носителя>:\3.jpeg.lnk
<Имя диска съемного носителя>:\1189.jpeg.lnk
<Имя диска съемного носителя>:\parnas_01.jpeg.lnk
<Имя диска съемного носителя>:\2.jpg.lnk
<Имя диска съемного носителя>:\pushkin.jpg.lnk
<Имя диска съемного носителя>:\4f0bf7ff71f28.jpg.lnk
<Имя диска съемного носителя>:\13.jpg.lnk
<Имя диска съемного носителя>:\168.jpg.lnk
<Имя диска съемного носителя>:\parnas_01.jpg.lnk
<Имя диска съемного носителя>:\region-north-karelia.jpg.lnk
<Имя диска съемного носителя>:\dag2_panel1_320_ref.mov.lnk
<Имя диска съемного носителя>:\scan.mov.lnk
<Имя диска съемного носителя>:\etc6_m_1.mov.lnk
<Имя диска съемного носителя>:\firefly1.mov.lnk
<Имя диска съемного носителя>:\d0068197bb5a41fea16a220c45390606.mp4.lnk
<Имя диска съемного носителя>:\51.mp4.lnk
<Имя диска съемного носителя>:\video.mp4.lnk
<Имя диска съемного носителя>:\2015-02-patients-topic-work-related-asthma-jobs.pdf.lnk
<Имя диска съемного носителя>:\ituneshelpunavailable.html.lnk
<Имя диска съемного носителя>:\spib_pima.pdf.lnk
<Имя диска съемного носителя>:\about.html.lnk
<Имя диска съемного носителя>:\ituneshelpunavailable.htm.lnk
<Имя диска съемного носителя>:\delete.avi.lnk
<Имя диска съемного носителя>:\split.avi.lnk
<Имя диска съемного носителя>:\correct.avi.lnk
<Имя диска съемного носителя>:\dialmap.bmp.lnk
<Имя диска съемного носителя>:\tileimage.bmp.lnk
<Имя диска съемного носителя>:\dashborder_192.bmp.lnk
<Имя диска съемного носителя>:\default.bmp.lnk
<Имя диска съемного носителя>:\dashborder_96.bmp.lnk
<Имя диска съемного носителя>:\dial.bmp.lnk
<Имя диска съемного носителя>:\contosoroot_1.cer.lnk
<Имя диска съемного носителя>:\testcertificate.cer.lnk
<Имя диска съемного носителя>:\contosoroot.cer.lnk
<Имя диска съемного носителя>:\pmd.cer.lnk
<Имя диска съемного носителя>:\testee.cer.lnk
<Имя диска съемного носителя>:\508softwareandos.doc.lnk
<Имя диска съемного носителя>:\ovp25012015.doc.lnk
<Имя диска съемного носителя>:\uep_form_786_bulletin_1726i602.doc.lnk
<Имя диска съемного носителя>:\nwfieldnotes1966.docx.lnk
<Имя диска съемного носителя>:\sdszfo.docx.lnk
<Имя диска съемного носителя>:\issi2013_template_for_posters.docx.lnk
<Имя диска съемного носителя>:\aoc_saq_d_v3_merchant.docx.lnk
<Имя диска съемного носителя>:\calc.exe.lnk
<Имя диска съемного носителя>:\trivial-merge.htm.lnk
<Имя диска съемного носителя>:\advice_process.htm.lnk
<Имя диска съемного носителя>:\dualectls.pdf.lnk
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
[<HKCU>\Software\RimArts\B2\Settings]
[<HKCU>\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions]
[<HKCU>\Software\FTPWare\COREFTP\Sites]
Читает файлы, отвечающие за хранение паролей сторонними программами
%APPDATA%\thunderbird\profiles.ini
Изменения в файловой системе
Создает следующие файлы
%APPDATA%\rygxoeifrhavrk.exe
%TEMP%\tmp358.tmp
%APPDATA%\myapp\myapp.exe
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
%PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
<LS_APPDATA>\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
Присваивает атрибут 'скрытый' для следующих файлов
%APPDATA%\rygxoeifrhavrk.exe
<Имя диска съемного носителя>:\scr.exe
Удаляет следующие файлы
Другое
Создает и запускает на исполнение
'%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\rygXoEiFrhavRK" /XML "%TEMP%\tmp358.tmp"' (со скрытым окном)
Запускает на исполнение
'%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\rygXoEiFrhavRK" /XML "%TEMP%\tmp358.tmp"
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK