ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Autoruner2.16465

Добавлен в вирусную базу Dr.Web: 2014-07-27

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Network Services' = 'C:\WINNIT\0x03847\SYS\cservice.exe'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Network Services' = 'C:\WINNIT\0x03847\SYS\cservice.exe'
Создает следующие файлы на съемном носителе:
  • <Имя диска съемного носителя>:\I.LOVE.YOU.txt.vbs
  • <Имя диска съемного носителя>:\NtTerminate.exe
  • <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
  • скрытых файлов
блокирует:
  • Компонент восстановления системы (SR)
Создает и запускает на исполнение:
  • 'C:\WINNIT\0x03847\SYS\cservice.exe'
Запускает на исполнение:
  • '<SYSTEM32>\wscript.exe' "C:\WINNIT\0x03847\SYS\arrayService.vbs"
  • '<SYSTEM32>\wscript.exe' "C:\WINNIT\0x03847\SYS\NetworkServices.vbs"
  • '<SYSTEM32>\wscript.exe' "C:\WINNIT\0x03847\SYS\RegistryServiceBackup.vbs"
Изменения в файловой системе:
Создает следующие файлы:
  • <Служебный элемент>
  • %PROGRAM_FILES%\I.LOVE.YOU.txt.vbs
  • %PROGRAM_FILES%\NtTerminate.exe
  • C:\Far2\I.LOVE.YOU.txt.vbs
  • %APPDATA%\arrays.txt
  • C:\Far2\NtTerminate.exe
  • %WINDIR%\NtTerminate.exe
  • C:\WINNIT\I.LOVE.YOU.txt.vbs
  • C:\WINNIT\NtTerminate.exe
  • C:\RECYCLER\I.LOVE.YOU.txt.vbs
  • C:\RECYCLER\NtTerminate.exe
  • %WINDIR%\I.LOVE.YOU.txt.vbs
  • C:\WINNIT\0x03847\SYS\RegistryServiceBackup.vbs
  • C:\WINNIT\0x03847\SYS\NetworkServices.vbs
  • C:\WINNIT\0x03847\SYS\arrayService.vbs
  • C:\WINNIT\0x03847\SYS\cservice.exe
  • C:\WINNIT\0x03847\SYS\hhh.txt
  • C:\WINNIT\0x03847\SYS\autorunService.inf
  • <Текущая директория>\NtTerminate.exe
  • C:\Documents and Settings\I.LOVE.YOU.txt.vbs
  • C:\Documents and Settings\NtTerminate.exe
  • C:\I.LOVE.YOU.txt.vbs
  • C:\NtTerminate.exe
  • <Текущая директория>\I.LOVE.YOU.txt.vbs
Присваивает атрибут 'скрытый' для следующих файлов:
  • C:\RECYCLER\NtTerminate.exe
  • %PROGRAM_FILES%\NtTerminate.exe
  • <Служебный элемент>
  • %WINDIR%\NtTerminate.exe
  • <Имя диска съемного носителя>:\NtTerminate.exe
  • <Имя диска съемного носителя>:\autorun.inf
  • C:\WINNIT\NtTerminate.exe
  • C:\WINNIT\0x03847\SYS\NetworkServices.vbs
  • C:\WINNIT\0x03847\SYS\RegistryServiceBackup.vbs
  • C:\WINNIT\0x03847\SYS\cservice.exe
  • C:\NtTerminate.exe
  • C:\Far2\NtTerminate.exe
  • C:\Documents and Settings\NtTerminate.exe
  • <Текущая директория>\NtTerminate.exe
Удаляет следующие файлы:
  • <Имя диска съемного носителя>:\autorun.inf
  • C:\WINNIT\0x03847\SYS\hhh.txt
Сетевая активность:
Подключается к:
  • '20#.#1.117.127':3921
Другое:
Ищет следующие окна:
  • ClassName: 'Indicator' WindowName: '(null)'