Win32.HLLW.Gedzac.11

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
[<HKLM>\SOFTWARE\Classes\regfile\shell\open\command] '' = '%WINDIR%\MSRundll32.exe "%1" %*'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
[<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '%WINDIR%\MSRundll32.exe "%1" %*'

Вредоносные функции:

Для затруднения выявления своего присутствия в системе

блокирует запуск следующих системных утилит:

Диспетчера задач (Taskmgr)
Редактора реестра (RegEdit)

блокирует:

Компонент восстановления системы (SR)
Cредство проверки системных файлов (SFC)

Создает и запускает на исполнение:

%WINDIR%\MSRundll32.exe "<SYSTEM32>\grpconv.exe" -o
%WINDIR%\MSRundll32.exe

Запускает на исполнение:

<SYSTEM32>\grpconv.exe
<SYSTEM32>\net.exe stop SharedAccess
<SYSTEM32>\net1.exe stop SharedAccess
<SYSTEM32>\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 C:\vi.inf
<SYSTEM32>\runonce.exe -r
%WINDIR%\regedit.exe /s c:\l.reg

Внедряет код в

следующие системные процессы:

<SYSTEM32>\svchost.exe

Завершает или пытается завершить

следующие пользовательские процессы:

httplook.exe
GUARD.EXE
magent.exe
mpftray.exe
MCAGENT.EXE
fsav.exe
Drwebwcl.exe
fsav32.exe
fsavgui.exe
fsavaui.exe
WebMoney.exe
spidernt.exe
zapro.exe
ZONEALARM.EXE
zlclient.exe
nod.exe
NAVAPW32.EXE
nod32.exe
smc.exe
outpost.exe
AVP.COM
AVGCTRL.EXE
AVP.EXE
AVPCC.EXE
AVP32.EXE
ashAvast.exe
ash.exe
ashAvSrv.exe
AVGCC32.EXE
avgcc.exe
drweb.exe
ClamWin.exe
Drweb32w.exe
Drwebupw.exe
drweb386.exe
AVSYNMGR.EXE
AVPM.EXE
bdagent.exe
ccapp.exe
bdss.exe

Изменяет следующие настройки проводника Windows (Windows Explorer):

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFileMenu' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoCommonGroups' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoSaveSettings' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoClose' = '00000000'

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\Temp\OLD3E.tmp
C:\SET3F.tmp
%WINDIR%\Temp\OLD40.tmp
\Device\LanmanRedirector\#$%^&*\MAILSLOT\NET\NETLOGON
%WINDIR%\Temp\OLD3C.tmp
C:\SET3D.tmp
C:\SET41.tmp
C:\SET45.tmp
%WINDIR%\Temp\OLD46.tmp
C:\SET47.tmp
%WINDIR%\Temp\OLD42.tmp
C:\SET43.tmp
%WINDIR%\Temp\OLD44.tmp
C:\SET3B.tmp
%WINDIR%\Temp\OLD34.tmp
C:\SET35.tmp
\Device\LanmanRedirector\#$*\MAILSLOT\NET\NETLOGON
C:\SET31.tmp
%WINDIR%\Temp\OLD32.tmp
C:\SET33.tmp
%WINDIR%\Temp\OLD36.tmp
C:\SET39.tmp
\Device\LanmanRedirector\#$%^*\MAILSLOT\NET\NETLOGON
%WINDIR%\Temp\OLD3A.tmp
C:\SET37.tmp
\Device\LanmanRedirector\#$%*\MAILSLOT\NET\NETLOGON
%WINDIR%\Temp\OLD38.tmp
%WINDIR%\Temp\OLD48.tmp
%WINDIR%\Temp\OLD5A.tmp
C:\SET5B.tmp
%WINDIR%\Temp\OLD5C.tmp
C:\SET57.tmp
%WINDIR%\Temp\OLD58.tmp
C:\SET59.tmp
C:\SET5D.tmp
C:\SET61.tmp
%WINDIR%\Temp\OLD62.tmp
C:\SET63.tmp
%WINDIR%\Temp\OLD5E.tmp
C:\SET5F.tmp
%WINDIR%\Temp\OLD60.tmp
%WINDIR%\Temp\OLD56.tmp
%WINDIR%\Temp\OLD4C.tmp
C:\SET4D.tmp
%WINDIR%\Temp\OLD4E.tmp
C:\SET49.tmp
%WINDIR%\Temp\OLD4A.tmp
C:\SET4B.tmp
C:\SET4F.tmp
C:\SET53.tmp
%WINDIR%\Temp\OLD54.tmp
C:\SET55.tmp
%WINDIR%\Temp\OLD50.tmp
C:\SET51.tmp
%WINDIR%\Temp\OLD52.tmp
%WINDIR%\Temp\OLD30.tmp
%WINDIR%\ymsg\chicas_girls.zip
%WINDIR%\ymsg\Video.zip
%WINDIR%\ymsg\mi poema.zip
%WINDIR%\Wininit.ini
%WINDIR%\Leliel.zip
%WINDIR%\ymsg\Mi foto.zip
%WINDIR%\ymsg\amor_love.zip
C:\SET11.tmp
%WINDIR%\Temp\OLD12.tmp
C:\SET13.tmp
%WINDIR%\Temp\OLDE.tmp
C:\SETF.tmp
%WINDIR%\Temp\OLD10.tmp
C:\SETD.tmp
C:\SET5.tmp
C:\l.reg
%WINDIR%\Temp\OLD6.tmp
C:\GEDZAC.TXT
C:\vi.inf
%WINDIR%\MSRundll32.exe
C:\SET7.tmp
C:\SETB.tmp
%WINDIR%\Temp\OLDC.tmp
C:\hst.sys
%WINDIR%\Temp\OLD8.tmp
C:\SET9.tmp
%WINDIR%\Temp\OLDA.tmp
%WINDIR%\Temp\OLD14.tmp
%WINDIR%\Temp\OLD26.tmp
C:\SET27.tmp
%WINDIR%\Temp\OLD28.tmp
C:\SET23.tmp
%WINDIR%\Temp\OLD24.tmp
C:\SET25.tmp
C:\SET29.tmp
C:\SET2D.tmp
%WINDIR%\Temp\OLD2E.tmp
C:\SET2F.tmp
%WINDIR%\Temp\OLD2A.tmp
C:\SET2B.tmp
%WINDIR%\Temp\OLD2C.tmp
%WINDIR%\Temp\OLD22.tmp
%WINDIR%\Temp\OLD18.tmp
C:\SET19.tmp
%WINDIR%\Temp\OLD1A.tmp
C:\SET15.tmp
%WINDIR%\Temp\OLD16.tmp
C:\SET17.tmp
C:\SET1B.tmp
C:\SET1F.tmp
%WINDIR%\Temp\OLD20.tmp
C:\SET21.tmp
%WINDIR%\Temp\OLD1C.tmp
C:\SET1D.tmp
%WINDIR%\Temp\OLD1E.tmp

Удаляет следующие файлы:

%WINDIR%\Temp\OLD44.tmp
%WINDIR%\Temp\OLD42.tmp
%WINDIR%\Temp\OLD40.tmp
%WINDIR%\Temp\OLD4A.tmp
%WINDIR%\Temp\OLD48.tmp
%WINDIR%\Temp\OLD46.tmp
%WINDIR%\Temp\OLD38.tmp
%WINDIR%\Temp\OLD36.tmp
%WINDIR%\Temp\OLD34.tmp
%WINDIR%\Temp\OLD3E.tmp
%WINDIR%\Temp\OLD3C.tmp
%WINDIR%\Temp\OLD3A.tmp
%WINDIR%\Temp\OLD5C.tmp
%WINDIR%\Temp\OLD5A.tmp
%WINDIR%\Temp\OLD58.tmp
%WINDIR%\Temp\OLD62.tmp
%WINDIR%\Temp\OLD60.tmp
%WINDIR%\Temp\OLD5E.tmp
%WINDIR%\Temp\OLD50.tmp
%WINDIR%\Temp\OLD4E.tmp
%WINDIR%\Temp\OLD4C.tmp
%WINDIR%\Temp\OLD56.tmp
%WINDIR%\Temp\OLD54.tmp
%WINDIR%\Temp\OLD52.tmp
%WINDIR%\Temp\OLD14.tmp
%WINDIR%\Temp\OLD12.tmp
%WINDIR%\Temp\OLD10.tmp
%WINDIR%\Temp\OLD1A.tmp
%WINDIR%\Temp\OLD18.tmp
%WINDIR%\Temp\OLD16.tmp
%WINDIR%\Temp\OLD8.tmp
%WINDIR%\Temp\OLD6.tmp
C:\LELIEL.TXT
%WINDIR%\Temp\OLDE.tmp
%WINDIR%\Temp\OLDC.tmp
%WINDIR%\Temp\OLDA.tmp
%WINDIR%\Temp\OLD2C.tmp
%WINDIR%\Temp\OLD2A.tmp
%WINDIR%\Temp\OLD28.tmp
%WINDIR%\Temp\OLD32.tmp
%WINDIR%\Temp\OLD30.tmp
%WINDIR%\Temp\OLD2E.tmp
%WINDIR%\Temp\OLD20.tmp
%WINDIR%\Temp\OLD1E.tmp
%WINDIR%\Temp\OLD1C.tmp
%WINDIR%\Temp\OLD26.tmp
%WINDIR%\Temp\OLD24.tmp
%WINDIR%\Temp\OLD22.tmp

Сетевая активность:

Подключается к:

'<IP-адрес в локальной сети>':139
'<IP-адрес в локальной сети>':80
'www.fb#.gov':80
'<IP-адрес в локальной сети>':445

TCP:

Запросы HTTP GET:

www.fb#.gov/

UDP:

DNS ASK www.fb#.gov

Другое:

Ищет следующие окна:

ClassName: 'RegEdit_RegEdit' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация