ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY ID
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Facebook.156.origin

Добавлен в вирусную базу Dr.Web: 2025-01-31

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
  • [HKLM\System\CurrentControlSet\Services\ddnsfilter] 'Start' = '00000002'
  • [HKLM\System\CurrentControlSet\Services\ddnsfilter] 'ImagePath' = '<SYSTEM32>\SvchoSt.ExE -k ddnsfilter'
  • [HKLM\sYsTEM\CuRrenTcoNtroLsET\serVicES\dDNsFilter\pAraMEters] 'ServICeDll' = '%ProgramFiles(x86)%\DDnsFilter\DDnsFilter.dll'
  • [HKLM\System\CurrentControlSet\Services\DnsFilter] 'Start' = '00000001'
  • [HKLM\System\CurrentControlSet\Services\DnsFilter] 'ImagePath' = '<DRIVERS>\DnsFilter.sys'
Создает следующие сервисы
  • 'ddnsfilter' <SYSTEM32>\SvchoSt.ExE -k ddnsfilter
  • 'DnsFilter' <DRIVERS>\DnsFilter.sys
Вредоносные функции
Запускает на исполнение
  • '%WINDIR%\syswow64\netsh.exe' fIrewaLl AdD AllOWeDPrOgrAm naMe="ddnsfilter" prOGram="<SYSTEM32>\SvchoSt.ExE" mode=ENABLE
  • '%WINDIR%\syswow64\netsh.exe' fIrewaLl AdD pOrToPEnIng tcP 8085 ddnsfilter eNABLe
Изменения в файловой системе
Создает следующие файлы
  • <Полный путь к файлу>.exe
  • %WINDIR%\syswow64\drivers\dnsfilter.sys
  • %ProgramFiles(x86)%\ddnsfilter\ddnsfilter.dll
  • %TEMP%\dnsfilter.bat
Удаляет следующие файлы
  • <Полный путь к файлу>.exe
Сетевая активность
Подключается к
  • 'localhost':8085
Другое
Создает и запускает на исполнение
  • '<Полный путь к файлу>.exe' /res
Запускает на исполнение
  • '%WINDIR%\syswow64\cmd.exe' /c copy "<Полный путь к файлу>" "<Полный путь к файлу>.exe" (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c "<Полный путь к файлу>.exe" /res >%teMP%\DnsFilter.bat (со скрытым окном)
  • '%WINDIR%\syswow64\cmd.exe' /c "%teMP%\DnsFilter.bat" (со скрытым окном)
  • '%WINDIR%\syswow64\reg.exe' add "soFtWARe\miCRoSOfT\INTerNEt exPloREr\MAin" /v tp /t REG_SZ /d 8238
  • '%WINDIR%\syswow64\sc.exe' CreATe "ddnsfilter" tyPE= share start= auto binPaTh= "<SYSTEM32>\SvchoSt.ExE -k ddnsfilter"
  • '%WINDIR%\syswow64\reg.exe' adD "hklm\sYsTEM\CuRrenTcoNtroLsET\serVicES\dDNsFilter\pAraMEters" /v ServICeDll /t ReG_EXpaND_Sz /d "%ProgramFiles(x86)%\DDnsFilter\DDnsFilter.dll" /f
  • '%WINDIR%\syswow64\reg.exe' adD "hklm\sYsTEM\CuRrenTcoNtroLsET\serVicES\dDNsFilter" /v FailuREaCtIOns /t rEG_BInaRY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f
  • '%WINDIR%\syswow64\reg.exe' adD "hklm\SOfTwaRe\mIcrOSoFt\WiNdoWs nt\CURrENtveRSiOn\svcHoSt" /v ddnsfilter /t rEg_mULti_sz /d "ddnsfilter\0" /f
  • '%WINDIR%\syswow64\sc.exe' start ddnsfilter
  • '%WINDIR%\syswow64\svchost.exe' -k ddnsfilter
  • '%WINDIR%\syswow64\sc.exe' boot ok
  • '%WINDIR%\syswow64\ipconfig.exe' /flushdns