Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.20448
Добавлен в вирусную базу Dr.Web:
2012-07-17
Описание добавлено:
2012-08-07
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'KiSs' = '%WINDIR%\%USERNAME%\%USERNAME%.exe'
Создает или изменяет следующие файлы:
%HOMEPATH%\Start Menu\Programs\Startup\GoodBye.%USERNAME%.bat
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\Redhouane.eXe
<Имя диска съемного носителя>:\SoMoZATY.exe
<Имя диска съемного носителя>:\AutoRun.inf
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
блокирует запуск следующих системных утилит:
Интерпретатора командной строки (CMD)
Диспетчера задач (Taskmgr)
Редактора реестра (RegEdit)
Создает и запускает на исполнение:
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Csrss.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Services.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\BosS.Redhouane.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\smss.exe
%WINDIR%\%USERNAME%\%USERNAME%.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Killer.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Winlogon.exe
Запускает на исполнение:
<SYSTEM32>\ping.exe -n 3 -l 6555 www.xn##.com
<SYSTEM32>\ping.exe -n 3 -l 6555 www.xn###ovies.com
Изменяет следующие настройки проводника Windows (Windows Explorer):
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] 'DisableLocalMachineRun' = '00000000'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] 'NoRun' = '00000001'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] 'NoFolderOptions' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Csrss.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\BosS.Redhouane.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Services.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\%USERNAME%.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Winlogon.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\smss.exe
C:\SoMoZATY.exe
C:\AutoRun.inf
<SYSTEM32>\Meriem.bin
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Killer.exe
%WINDIR%\%USERNAME%\%USERNAME%.exe
C:\Redhouane.eXe
Присваивает атрибут 'скрытый' для следующих файлов:
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Killer.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Csrss.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\BosS.Redhouane.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Services.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Winlogon.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\%USERNAME%.exe
%APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\smss.exe
C:\SoMoZATY.exe
C:\AutoRun.inf
<SYSTEM32>\Meriem.bin
<Имя диска съемного носителя>:\AutoRun.inf
%HOMEPATH%\Start Menu\Programs\Startup\GoodBye.%USERNAME%.bat
%WINDIR%\%USERNAME%\%USERNAME%.exe
<Имя диска съемного носителя>:\SoMoZATY.exe
Удаляет следующие файлы:
<SYSTEM32>\msvbvm50.dll
<SYSTEM32>\msvbvm60.dll
Сетевая активность:
UDP:
DNS ASK www.xn##.com
DNS ASK www.cd##rls.com
DNS ASK www.Pl#####angmywife.com
DNS ASK www.ba###ros.com
DNS ASK www.df#.com
DNS ASK www.89.com
DNS ASK www.po##.com
DNS ASK www.xn###ovies.com
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK