Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Gedzac.11
Добавлен в вирусную базу Dr.Web:
2012-07-28
Описание добавлено:
2012-08-18
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
[<HKLM>\SOFTWARE\Classes\regfile\shell\open\command] '' = '%WINDIR%\MSRundll32.exe "%1" %*'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
[<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '%WINDIR%\MSRundll32.exe "%1" %*'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
Диспетчера задач (Taskmgr)
Редактора реестра (RegEdit)
блокирует:
Компонент восстановления системы (SR)
Cредство проверки системных файлов (SFC)
Создает и запускает на исполнение:
%WINDIR%\MSRundll32.exe "<SYSTEM32>\grpconv.exe" -o
%WINDIR%\MSRundll32.exe
Запускает на исполнение:
<SYSTEM32>\grpconv.exe
<SYSTEM32>\net.exe stop SharedAccess
<SYSTEM32>\net1.exe stop SharedAccess
<SYSTEM32>\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 C:\vi.inf
<SYSTEM32>\runonce.exe -r
%WINDIR%\regedit.exe /s c:\l.reg
Внедряет код в
следующие системные процессы:
Завершает или пытается завершить
следующие пользовательские процессы:
httplook.exe
GUARD.EXE
magent.exe
mpftray.exe
MCAGENT.EXE
fsav.exe
Drwebwcl.exe
fsav32.exe
fsavgui.exe
fsavaui.exe
WebMoney.exe
spidernt.exe
zapro.exe
ZONEALARM.EXE
zlclient.exe
nod.exe
NAVAPW32.EXE
nod32.exe
smc.exe
outpost.exe
AVP.COM
AVGCTRL.EXE
AVP.EXE
AVPCC.EXE
AVP32.EXE
ashAvast.exe
ash.exe
ashAvSrv.exe
AVGCC32.EXE
avgcc.exe
drweb.exe
ClamWin.exe
Drweb32w.exe
Drwebupw.exe
drweb386.exe
AVSYNMGR.EXE
AVPM.EXE
bdagent.exe
ccapp.exe
bdss.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFileMenu' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoCommonGroups' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoSaveSettings' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoClose' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
Удаляет следующие файлы:
%WINDIR%\Temp\OLD44.tmp
%WINDIR%\Temp\OLD42.tmp
%WINDIR%\Temp\OLD40.tmp
%WINDIR%\Temp\OLD4A.tmp
%WINDIR%\Temp\OLD48.tmp
%WINDIR%\Temp\OLD46.tmp
%WINDIR%\Temp\OLD38.tmp
%WINDIR%\Temp\OLD36.tmp
%WINDIR%\Temp\OLD34.tmp
%WINDIR%\Temp\OLD3E.tmp
%WINDIR%\Temp\OLD3C.tmp
%WINDIR%\Temp\OLD3A.tmp
%WINDIR%\Temp\OLD5C.tmp
%WINDIR%\Temp\OLD5A.tmp
%WINDIR%\Temp\OLD58.tmp
%WINDIR%\Temp\OLD62.tmp
%WINDIR%\Temp\OLD60.tmp
%WINDIR%\Temp\OLD5E.tmp
%WINDIR%\Temp\OLD50.tmp
%WINDIR%\Temp\OLD4E.tmp
%WINDIR%\Temp\OLD4C.tmp
%WINDIR%\Temp\OLD56.tmp
%WINDIR%\Temp\OLD54.tmp
%WINDIR%\Temp\OLD52.tmp
%WINDIR%\Temp\OLD14.tmp
%WINDIR%\Temp\OLD12.tmp
%WINDIR%\Temp\OLD10.tmp
%WINDIR%\Temp\OLD1A.tmp
%WINDIR%\Temp\OLD18.tmp
%WINDIR%\Temp\OLD16.tmp
%WINDIR%\Temp\OLD8.tmp
%WINDIR%\Temp\OLD6.tmp
C:\LELIEL.TXT
%WINDIR%\Temp\OLDE.tmp
%WINDIR%\Temp\OLDC.tmp
%WINDIR%\Temp\OLDA.tmp
%WINDIR%\Temp\OLD2C.tmp
%WINDIR%\Temp\OLD2A.tmp
%WINDIR%\Temp\OLD28.tmp
%WINDIR%\Temp\OLD32.tmp
%WINDIR%\Temp\OLD30.tmp
%WINDIR%\Temp\OLD2E.tmp
%WINDIR%\Temp\OLD20.tmp
%WINDIR%\Temp\OLD1E.tmp
%WINDIR%\Temp\OLD1C.tmp
%WINDIR%\Temp\OLD26.tmp
%WINDIR%\Temp\OLD24.tmp
%WINDIR%\Temp\OLD22.tmp
Сетевая активность:
Подключается к:
'<IP-адрес в локальной сети>':139
'<IP-адрес в локальной сети>':80
'www.fb#.gov':80
'<IP-адрес в локальной сети>':445
TCP:
UDP:
Другое:
Ищет следующие окна:
ClassName: 'RegEdit_RegEdit' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK