Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.51122
Добавлен в вирусную базу Dr.Web:
2013-07-06
Описание добавлено:
2013-07-21
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctfmon' = 'c:\53027861.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,53027861.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Запускает на исполнение:
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe o:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe n:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe m:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe p:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe s:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe r:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe q:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe l:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe g:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe f:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe e:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe h:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe k:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe j:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe i:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe t:\
'<SYSTEM32>\attrib.exe' +h +s +a %WINDIR%\system\autorun.inf
'<SYSTEM32>\attrib.exe' +h +s +a %WINDIR%\system\53027861.exe
'<SYSTEM32>\attrib.exe' +h +s +a z:\autorun.inf
'%WINDIR%\regedit.exe' /s .\hjw.reg
'<SYSTEM32>\net1.exe' user %USERNAME% "qq149116149"
'%WINDIR%\regedit.exe' /s .\hjw2.reg
'%WINDIR%\regedit.exe' /s .\hjw1.reg
'<SYSTEM32>\attrib.exe' +h +s +a e:\autorun.inf
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe w:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe v:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe u:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe x:\
'<SYSTEM32>\attrib.exe' +h +s +a c:\autorun.inf
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe z:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe y:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe <Имя диска съемного носителя>:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf g:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf f:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf e:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf h:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf k:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf j:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf i:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf <Имя диска съемного носителя>:\
'%WINDIR%\explorer.exe' \
'<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\autorun.BAT" "
'<SYSTEM32>\wscript.exe' "<Текущая директория>\shell.vbs"
'<SYSTEM32>\xcopy.exe' /h /y /r /k .\53027861.exe %WINDIR%\system\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf c:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k %WINDIR%\system\53027861.exe .\
'<SYSTEM32>\xcopy.exe' /h /y /r /k .\autorun.inf %WINDIR%\system\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf l:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf w:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf v:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf u:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf x:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k 53027861.exe c:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf z:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf y:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf t:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf o:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf n:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf m:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf p:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf s:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf r:\
'<SYSTEM32>\xcopy.exe' /h /y /r /k autorun.inf q:\
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
<Текущая директория>\hjw.reg
C:\autorun.inf
<Текущая директория>\hjw2.reg
<Текущая директория>\hjw1.reg
<Текущая директория>\autorun.inf
<Текущая директория>\autorun.bat
%WINDIR%\system\autorun.inf
<Текущая директория>\shell.vbs
Присваивает атрибут 'скрытый' для следующих файлов:
C:\autorun.inf
<Имя диска съемного носителя>:\autorun.inf
%WINDIR%\system\autorun.inf
<Текущая директория>\autorun.bat
<Текущая директория>\autorun.inf
<Текущая директория>\shell.vbs
Удаляет следующие файлы:
<Текущая директория>\hjw2.reg
<Текущая директория>\shell.vbs
<Текущая директория>\hjw.reg
<Текущая директория>\hjw1.reg
Другое:
Ищет следующие окна:
ClassName: '' WindowName: '(null)'
ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
ClassName: 'EDIT' WindowName: '(null)'
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK