Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.30162
Добавлен в вирусную базу Dr.Web:
2012-11-23
Описание добавлено:
2012-11-23
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'csrss' = 'C:\Users\Public\smxss.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'csrss' = 'C:\Users\Public\smxss.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\SandiskU3.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
C:\Users\Public\rar.exe e kays.rar
C:\Users\Public\smxss.exe
C:\Users\Public\rar.exe e bm.rar
C:\Users\Public\rar.exe (загружен из сети Интернет)
Запускает на исполнение:
<SYSTEM32>\tskill.exe /A threatwork
<SYSTEM32>\taskkill.exe /f /im threatwork.exe
<SYSTEM32>\tskill.exe /A Ad-Aware
<SYSTEM32>\tskill.exe /A avp
<SYSTEM32>\net1.exe stop aawservice
<SYSTEM32>\taskkill.exe /f /im avp.exe
<SYSTEM32>\taskkill.exe /f /im AAWTray.exe
<SYSTEM32>\tskill.exe /A AAWService
<SYSTEM32>\taskkill.exe /f /im regedit.exe
<SYSTEM32>\taskkill.exe /f /im Ad-Aware.exe
<SYSTEM32>\net.exe stop aawservice
<SYSTEM32>\tskill.exe /A AAWTray
<SYSTEM32>\tskill.exe /A fuckyou
<SYSTEM32>\taskkill.exe /f /im fuckyou.exe
<SYSTEM32>\net1.exe /A taskmgr
<SYSTEM32>\reg.exe /f /im regedit.exe
<SYSTEM32>\tskill.exe /pid=2876
<SYSTEM32>\tskill.exe /A <Имя вируса>
<SYSTEM32>\tskill.exe /pid=3756
<SYSTEM32>\tskill.exe /f /im TeaTimer.exe
<SYSTEM32>\cmd.exe /c C:\Users\Public\cpx.bat
<SYSTEM32>\taskkill.exe /pid=3332
<SYSTEM32>\tskill.exe /pid=3584
<SYSTEM32>\net1.exe /pid=3448
<SYSTEM32>\cmd.exe /c C:\Users\Public\instv.bat
<SYSTEM32>\tskill.exe /A taskmgr
<SYSTEM32>\reg.exe add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v csrss /d C:\Users\Public\smxss.exe /f
<SYSTEM32>\taskkill.exe /f /im <Имя вируса>.exe
<SYSTEM32>\cmd.exe /c C:\Users\Public\load.bat
<SYSTEM32>\taskkill.exe /f /im taskmgr.exe
<SYSTEM32>\taskkill.exe /f /im smxss.exe
<SYSTEM32>\tskill.exe /A smxss
<SYSTEM32>\cmd.exe /c C:\mkxxosrw.bat
<SYSTEM32>\cmd.exe /c C:\Users\Public\instmnr.bat
<SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v csrss /d C:\Users\Public\smxss.exe /f
<SYSTEM32>\cmd.exe /c C:\Users\Public\aiasodjfapughaw.bat
<SYSTEM32>\tskill.exe /A Update
<SYSTEM32>\taskkill.exe /f /im Update.exe
<SYSTEM32>\tskill.exe /A SUpdate
<SYSTEM32>\taskkill.exe /f /im AAWService.exe
<SYSTEM32>\tskill.exe /A mbam
<SYSTEM32>\taskkill.exe /f /im mbam.exe
<SYSTEM32>\tskill.exe /A TeaTimer
<SYSTEM32>\tskill.exe /A regedit
<SYSTEM32>\taskkill.exe /f /im TeaTimer.exe
<SYSTEM32>\taskkill.exe /f /im SUpdate.exe
<SYSTEM32>\tskill.exe /A SpybotSD
<SYSTEM32>\taskkill.exe /f /im SpybotSD.exe
Внедряет код в
следующие системные процессы:
<SYSTEM32>\taskkill.exe
<SYSTEM32>\reg.exe
<SYSTEM32>\tskill.exe
<SYSTEM32>\net1.exe
Завершает или пытается завершить
следующие пользовательские процессы:
Изменения в файловой системе:
Создает следующие файлы:
C:\Users\Public\instv.bat
C:\Users\Public\instlx9xz7b8x.txt
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\kays[1].rar
C:\Users\Public\kays.rar
C:\Users\Public\load.bat
C:\SandiskU3.exe
C:\autorun.inf
C:\Users\Public\ar.i
C:\Users\Public\cpx.bat
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\rar[1].exe
C:\Users\Public\rar.exe
C:\mkxxosrw.bat
C:\Users\Public\aiasodjfapughaw.bat
C:\Users\Public\bm.rar
C:\Users\Public\instmnr.bat
C:\Users\Public\smxss.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\bm[1].rar
Удаляет следующие файлы:
%TEMP%\8d92_appcompat.txt
<SYSTEM32>\dllcache\NT5.CAT
<Имя диска съемного носителя>:\autorun.inf
%TEMP%\8deb_appcompat.txt
C:\Users\Public\ar.i
C:\Users\Public\bm.rar
<SYSTEM32>\dllcache\NT5INF.CAT
<SYSTEM32>\fuckyou.exe
Перемещает следующие системные файлы:
<SYSTEM32>\taskmgr.exe в <SYSTEM32>\fuckyou.exe
Сетевая активность:
Подключается к:
'dl.##opbox.com':80
'localhost':1035
TCP:
Запросы HTTP GET:
dl.##opbox.com/u/99035685/kays.rar
dl.##opbox.com/u/99035685/bm.rar
dl.##opbox.com/u/99035685/rar.exe
UDP:
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''
ClassName: '' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK