Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.24949
Добавлен в вирусную базу Dr.Web:
2012-08-16
Описание добавлено:
2012-09-05
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Classes\.cmd] '' = 'Pr00-X '
[<HKLM>\SOFTWARE\Classes\.exe] '' = 'Pr00-X '
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Vista Activation Pacth' = '<SYSTEM32>\Vista Activation Pacth.exe'
[<HKLM>\SOFTWARE\Classes\.com] '' = 'Pr00-X'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Запускает на исполнение:
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.wave"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.exe"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.ini"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.png"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.gif"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.bmp"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.pdf"
<SYSTEM32>\rundll32.exe <SYSTEM32>\shell32.dll,OpenAs_RunDLL <SYSTEM32>\H
<SYSTEM32>\msg.exe * H A C K E D
<SYSTEM32>\ping.exe 127.0.0.1 -n 30
<SYSTEM32>\ping.exe 127.0.0.1 -n 4
<SYSTEM32>\reg.exe delete "HKLM\SYSTEM\currentcontrolset\control\safeboot\minimal" /f
<SYSTEM32>\reg.exe delete "HKLM\SYSTEM\CurrentControlSet\control\safeboot\network" /f
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.jpg"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.log"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.wmv"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.txt"
<SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Vista Activation Pacth" /t REG_SZ /d "<SYSTEM32>\Vista Activation Pacth.exe" /f
<SYSTEM32>\reg.exe add "HKLM\System\CurrentControlSet\Services\Mouclass" /v Start /t REG_DWORD /d "4" /f
<SYSTEM32>\reg.exe add "HKLM\System\CurrentControlSet\Services\Kbdclass" /v Start /t REG_DWORD /d "4" /f
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.dll"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.cmd"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.wav"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.mp3"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.sys"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.reg"
<SYSTEM32>\attrib.exe -s -r -h "<SYSTEM32>\*.com"
Изменения в файловой системе:
Создает следующие файлы:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\microsoft[1]
<SYSTEM32>\H
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\microsoft[1]
C:\autorun.inf
%TEMP%\~1.bat
<SYSTEM32>\Vista Activation Pacth.exe
<SYSTEM32>\<Имя вируса>.exe
Присваивает атрибут 'скрытый' для следующих файлов:
Удаляет следующие файлы:
Сетевая активность:
Подключается к:
'localhost':1039
'20#.#6.232.182':80
'localhost':1036
TCP:
UDP:
DNS ASK www.microsoft.com
DNS ASK microsoft.com
Другое:
Ищет следующие окна:
ClassName: 'IEFrame' WindowName: ''
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebcheckMonitor' WindowName: ''
ClassName: 'Indicator' WindowName: ''
ClassName: '' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK