Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLM.Limar.4368
Добавлен в вирусную базу Dr.Web:
2012-10-11
Описание добавлено:
2012-10-18
Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
%TEMP%\9.tmp
%TEMP%\4.tmp
%TEMP%\7.tmp
%TEMP%\8.tmp
%TEMP%\6.tmp
%TEMP%\5.tmp
<Текущая директория>\rfuQjdkFYy.exe
%TEMP%\1.tmp
%TEMP%\2.tmp
%TEMP%\3.tmp
%TEMP%\A.tmp
%TEMP%\9.tmp (загружен из сети Интернет)
%TEMP%\A.tmp (загружен из сети Интернет)
%TEMP%\8.tmp (загружен из сети Интернет)
%TEMP%\7.tmp (загружен из сети Интернет)
%TEMP%\3.tmp (загружен из сети Интернет)
%TEMP%\2.tmp (загружен из сети Интернет)
%TEMP%\1.tmp (загружен из сети Интернет)
%TEMP%\6.tmp (загружен из сети Интернет)
%TEMP%\5.tmp (загружен из сети Интернет)
%TEMP%\4.tmp (загружен из сети Интернет)
Запускает на исполнение:
<SYSTEM32>\svchost.exe
<SYSTEM32>\cmd.exe /c flzvsstXSk.bat
Внедряет код в
следующие системные процессы:
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\7.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[4].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[4].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[4].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[3].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[3].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[3].php
%TEMP%\6.tmp
%TEMP%\8.tmp
%TEMP%\A.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[5].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[6].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[5].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[5].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[4].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[5].php
%TEMP%\9.tmp
<Текущая директория>\&luck=1
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[1].php
%TEMP%\2.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[1].php
<Текущая директория>\rfuQjdkFYy.exe
<Текущая директория>\flzvsstXSk.bat
%TEMP%\1.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\load[2].php
%TEMP%\4.tmp
%TEMP%\5.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[3].php
%TEMP%\3.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\load[2].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\load[2].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\load[2].php
Удаляет следующие файлы:
<Текущая директория>\rfuQjdkFYy.exe
Самоудаляется.
Сетевая активность:
Подключается к:
'da##ers.ru':80
'localhost':1036
TCP:
Запросы HTTP GET:
da##ers.ru/load.php?fi###########
da##ers.ru/load.php?fi####
UDP:
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK