Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner2.9576
Добавлен в вирусную базу Dr.Web:
2014-02-27
Описание добавлено:
2014-03-02
Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\pljaa.pif
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Explorer.EXE' = '%WINDIR%\Explorer.EXE:*:Enabled:ipsec'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ipsec'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
блокирует:
Средство контроля пользовательских учетных записей (UAC)
Центр обеспечения безопасности (Security Center)
Внедряет код в
следующие системные процессы:
<SYSTEM32>\cmd.exe
<SYSTEM32>\cscript.exe
%WINDIR%\Explorer.EXE
<SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\winmlmb.exe
%TEMP%\fuixm.exe
%TEMP%\winftnfjs.exe
%TEMP%\winuikh.exe
%TEMP%\winrhhy.exe
%TEMP%\bcfg.exe
C:\autorun.inf
C:\bhpeuq.pif
%TEMP%\rfplvh.exe
<DRIVERS>\ljrkk.sys
%TEMP%\winyajcdh.exe
%TEMP%\mgkcog.exe
%TEMP%\winmwnp.exe
%TEMP%\winppcl.exe
%TEMP%\winuvdjx.exe
%TEMP%\esiibd.exe
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\pljaa.pif
C:\autorun.inf
C:\bhpeuq.pif
Удаляет следующие файлы:
%TEMP%\winftnfjs.exe
%TEMP%\rfplvh.exe
%TEMP%\winppcl.exe
%TEMP%\fuixm.exe
%TEMP%\winmlmb.exe
%TEMP%\winuikh.exe
<DRIVERS>\ljrkk.sys
%TEMP%\mgkcog.exe
%TEMP%\winyajcdh.exe
%TEMP%\winmwnp.exe
%TEMP%\esiibd.exe
%TEMP%\winuvdjx.exe
Сетевая активность:
Подключается к:
'46.##5.103.219':80
'pa###p.com.ds':80
TCP:
Запросы HTTP GET:
46.##5.103.219/sobakavolos.gif?7d###########
pa###p.com.ds/sobaka1.gif?7c###########
UDP:
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK