Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.MyBot.10079
Добавлен в вирусную базу Dr.Web:
2013-04-06
Описание добавлено:
2013-04-14
Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\Telnet Services v3.4.ef] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 'unwise_me.exe' = 'unwise_me.exe:*:Enabled:SYSTEM'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DisableNotifications' = '00000001'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Fonts\unwise_me.exe' = '%WINDIR%\Fonts\unwise_me.exe:*:Enabled:workstation'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] 'unwise_me.exe' = 'unwise_me.exe:*:Enabled:SYSTEM'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Для затруднения выявления своего присутствия в системе
блокирует:
Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
%WINDIR%\Fonts\unwise_me.exe
Запускает на исполнение:
<SYSTEM32>\netsh.exe firewall set portopening TCP 9991 PORT2
<SYSTEM32>\netsh.exe firewall add allowedprogram "%WINDIR%\Fonts\unwise_me.exe" workstation ENABLE ALL
<SYSTEM32>\netsh.exe firewall set allowedprogram "%WINDIR%\Fonts\unwise_me.exe" workstation ENABLE ALL
<SYSTEM32>\netsh.exe firewall set portopening TCP 9999 PORT1
<SYSTEM32>\netsh.exe firewall set portopening TCP 445 NB
<SYSTEM32>\netsh.exe firewall set portopening TCP 139 NB
<SYSTEM32>\netsh.exe firewall set portopening TCP 1013 BS
Изменения в файловой системе:
Создает следующие файлы:
%WINDIR%\Fonts\unwise_me.exe
Присваивает атрибут 'скрытый' для следующих файлов:
%WINDIR%\Fonts\unwise_me.exe
Удаляет следующие файлы:
<SYSTEM32>\config\SysEvent.Evt
<SYSTEM32>\config\SecEvent.Evt
<SYSTEM32>\config\AppEvent.Evt
Самоудаляется.
Сетевая активность:
Подключается к:
'ir#.#fnet.fr':6667
'ir#.#fnet.nl':6667
'ir#.##raphysics.net':6667
'ir#.#fnet.no':6667
'ir#.##ersible.com':6667
'ef###.#ultiplay.co.uk':6667
'ef###.port80.se':6667
'ir#.#zima.net':6667
'ir#.nac.net':6667
'ef###.xs4all.nl':6667
'ir#.##derworld.no':6667
'ir#.##outcast.com':6667
'ir#.#hoopa.ca':6667
'ir#.#fnet.pl':6667
UDP:
DNS ASK ir#.#fnet.fr
DNS ASK ir#.#fnet.nl
DNS ASK ir#.##raphysics.net
DNS ASK ir#.#fnet.no
DNS ASK ir#.##ersible.com
DNS ASK ef###.#ultiplay.co.uk
DNS ASK ef###.port80.se
DNS ASK ir#.#zima.net
DNS ASK ir#.nac.net
DNS ASK ef###.xs4all.nl
DNS ASK ir#.##derworld.no
DNS ASK ir#.##outcast.com
DNS ASK ir#.#hoopa.ca
DNS ASK ir#.#fnet.pl
Другое:
Ищет следующие окна:
ClassName: 'mIRC' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK