Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.28530
Добавлен в вирусную базу Dr.Web:
2012-10-23
Описание добавлено:
2012-10-23
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'DEEP' = '"%APPDATA%\DEEP.scr"'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\evmu.pif
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:Windows Messanger'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\isa.exe' = '%APPDATA%\isa.exe:*:Enabled:Windows Messanger'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ipsec'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
блокирует запуск следующих системных утилит:
Диспетчера задач (Taskmgr)
Редактора реестра (RegEdit)
блокирует:
Средство контроля пользовательских учетных записей (UAC)
Центр обеспечения безопасности (Security Center)
Запускает на исполнение:
<SYSTEM32>\reg.exe ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "%APPDATA%\isa.exe" /t REG_SZ /d "%APPDATA%\isa.exe:*:Enabled:Windows Messanger" /f
<SYSTEM32>\reg.exe ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<Полный путь к вирусу>" /t REG_SZ /d "<Полный путь к вирусу>:*:Enabled:Windows Messanger" /f
<SYSTEM32>\reg.exe ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
Внедряет код в
следующие системные процессы:
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
%APPDATA%\Winzip
C:\autorun.inf
C:\rjdxh.exe
%APPDATA%\DEEP.scr
%TEMP%\pkpexk.exe
%APPDATA%\isa.exe
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\evmu.pif
C:\autorun.inf
C:\rjdxh.exe
Удаляет следующие файлы:
Сетевая активность:
Подключается к:
'6i##.#ervequake.com':4443
'9i##.#ervequake.com':4443
'is#.##rvequake.com':4443
'5i##.#ervequake.com':4443
UDP:
DNS ASK 6i##.#ervequake.com
DNS ASK 5i##.#ervequake.com
DNS ASK 7i##.#ervequake.com
DNS ASK 9i##.#ervequake.com
DNS ASK 8i##.#ervequake.com
DNS ASK 1i##.#ervequake.com
DNS ASK is#.##rvequake.com
DNS ASK 2i##.#ervequake.com
DNS ASK 4i##.#ervequake.com
DNS ASK 3i##.#ervequake.com
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK