Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner.21195
Добавлен в вирусную базу Dr.Web:
2010-05-20
Описание добавлено:
2014-10-06
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rva.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMain.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RvaMon.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC1.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC2.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.EXE] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Twister.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SNATask.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'NOTEPAD' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FilMsg.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\gss.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysWarn.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sloemnit.exe] 'Debugger' = '%WINDIR%\CMD32.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
блокирует запуск следующих системных утилит:
Редактора реестра (RegEdit)
Запускает на исполнение:
'<SYSTEM32>\net1.exe' net start ShellHWDetection
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
\Device\HarddiskVolume3\autorun.inf
%WINDIR%\CMD32.exe
<Текущая директория>\autorun.inf
Присваивает атрибут 'скрытый' для следующих файлов:
\Device\HarddiskVolume3\autorun.inf
<Имя диска съемного носителя>:\autorun.inf
<Текущая директория>\autorun.inf
%WINDIR%\CMD32.exe
Удаляет следующие файлы:
<Текущая директория>\autorun.inf
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK