Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.VirLock.18
Добавлен в вирусную базу Dr.Web:
2017-08-08
Описание добавлено:
2021-03-19
Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
[<HKCU>\software\microsoft\windows\currentversion\run] 'BgkYkAMs.exe' = '%HOMEPATH%\qcgMoIYc\BgkYkAMs.exe'
[<HKLM>\software\Wow6432Node\microsoft\windows\currentversion\run] 'cUcsEgAE.exe' = '%ALLUSERSPROFILE%\hgEUUkMo\cUcsEgAE.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%ALLUSERSPROFILE%\hgEUUkMo\cUcsEgAE.exe,'
[<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,%ALLUSERSPROFILE%\hgEUUkMo\cUcsEgAE.exe,'
Устанавливает следующие настройки сервисов
[<HKLM>\System\CurrentControlSet\Services\zYoUIYCJ] 'Start' = '00000002'
[<HKLM>\System\CurrentControlSet\Services\zYoUIYCJ] 'ImagePath' = '%ALLUSERSPROFILE%\vUAsAQAI\ZIwkMIUI.exe'
Создает следующие сервисы
'zYoUIYCJ' %ALLUSERSPROFILE%\vUAsAQAI\ZIwkMIUI.exe
Заражает следующие исполняемые файлы
C:\far2\far.exe
C:\msocache\all users\{90140000-0011-0000-1000-0000000ff1ce}-c\setup.exe
C:\msocache\all users\{90140000-0115-0409-1000-0000000ff1ce}-c\dw20.exe
%ALLUSERSPROFILE%\adobe\arm\s\10428\adobearmhelper.exe
%ALLUSERSPROFILE%\adobe\setup\{ac76ba86-7ad7-1033-7b44-ac0f074e4100}\setup.exe
Изменения в файловой системе
Создает следующие файлы
%HOMEPATH%\qcgmoiyc\bgkykams
%ALLUSERSPROFILE%\hgeuukmo\cucsegae
%HOMEPATH%\qcgmoiyc\bgkykams.exe
%ALLUSERSPROFILE%\hgeuukmo\cucsegae.exe
%ALLUSERSPROFILE%\vuasaqai\ziwkmiui.exe
%ALLUSERSPROFILE%\jisa.txt
%HOMEPATH%\qcgmoiyc\zwwm.exe
%HOMEPATH%\qcgmoiyc\dkqe.exe
%WINDIR%\syswow64\config\systemprofile\qcgmoiyc\bgkykams
%HOMEPATH%\qcgmoiyc\aqey.exe
%HOMEPATH%\qcgmoiyc\skaa.exe
%TEMP%\fcgyskkw.bat
<PATH_SAMPLE>
%HOMEPATH%\qcgmoiyc\nkkw.exe
%HOMEPATH%\qcgmoiyc\bqug.exe
%ALLUSERSPROFILE%\microsoft\device stage\device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\background.png.exe
Удаляет следующие файлы
%HOMEPATH%\qcgmoiyc\zwwm.exe
%HOMEPATH%\qcgmoiyc\dkqe.exe
%HOMEPATH%\qcgmoiyc\aqey.exe
%HOMEPATH%\qcgmoiyc\skaa.exe
%TEMP%\fcgyskkw.bat
%HOMEPATH%\qcgmoiyc\nkkw.exe
%HOMEPATH%\qcgmoiyc\bqug.exe
Другое
Ищет следующие окна
ClassName: '' WindowName: 'cUcsEgAE.exe'
ClassName: '' WindowName: 'Microsoft Windows'
Создает и запускает на исполнение
'%HOMEPATH%\qcgmoiyc\bgkykams.exe'
'%ALLUSERSPROFILE%\hgeuukmo\cucsegae.exe'
'%ALLUSERSPROFILE%\vuasaqai\ziwkmiui.exe'
'%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1' (со скрытым окном)
'%WINDIR%\syswow64\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f' (со скрытым окном)
'%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2' (со скрытым окном)
Запускает на исполнение
'%WINDIR%\syswow64\cmd.exe' /c "<PATH_SAMPLE>"
'%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1
'%WINDIR%\syswow64\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f
'%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v Hidden /t REG_DWORD /d 2
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK