Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner1.34499
Добавлен в вирусную базу Dr.Web:
2013-03-27
Описание добавлено:
2013-04-07
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'm_l_<Имя вируса>' = '<SYSTEM32>\m_l_<Имя вируса>.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'm_l_<Имя вируса>' = '<SYSTEM32>\m_l_<Имя вируса>.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'm_l_<Имя вируса>' = '<SYSTEM32>\m_l_<Имя вируса>.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'm_l_<Имя вируса>' = '<SYSTEM32>\m_l_<Имя вируса>.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\<Имя вируса>.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\m_l_<Имя вируса>.exe' = '<SYSTEM32>\m_l_<Имя вируса>.exe:*:Enabled:m_l_winst'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\<Имя вируса>.exe' = '<SYSTEM32>\<Имя вируса>.exe:*:Enabled:winst'
Создает и запускает на исполнение:
<SYSTEM32>\p_e_<Имя вируса>.exe /stext <SYSTEM32>\p_e.log
<SYSTEM32>\p_r_<Имя вируса>.exe /stext <SYSTEM32>\p_r.log
<SYSTEM32>\p_m_<Имя вируса>.exe /stext <SYSTEM32>\p_m.log
<SYSTEM32>\p_n_<Имя вируса>.exe /stext <SYSTEM32>\p_n.log
<SYSTEM32>\winst.exe
<SYSTEM32>\p_c_<Имя вируса>.exe /stext <SYSTEM32>\p_c.log
<SYSTEM32>\p_p_<Имя вируса>.exe /stext <SYSTEM32>\p_p.log
<SYSTEM32>\p_d_<Имя вируса>.exe /stext <SYSTEM32>\p_d.log
<SYSTEM32>\s_n_winst.exe sentinel
<SYSTEM32>\p_f_<Имя вируса>.exe /stext <SYSTEM32>\p_f.log
<SYSTEM32>\s_s_winst.exe sentinel
<SYSTEM32>\p_i_<Имя вируса>.exe /stext <SYSTEM32>\p_i.log
<SYSTEM32>\m_l_<Имя вируса>.exe
<SYSTEM32>\<Имя вируса>.exe
<SYSTEM32>\p_c_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\p_p_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\p_d_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\p_f_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\p_m_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\p_i_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\p_n_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\p_r_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\m_l_<Имя вируса>.exe (загружен из сети Интернет)
<SYSTEM32>\p_e_<Имя вируса>.exe (загружен из сети Интернет)
Запускает на исполнение:
<SYSTEM32>\cmd.exe /c ""<SYSTEM32>\log_master.bat" "
%WINDIR%\explorer.exe <Текущая директория>\
Завершает или пытается завершить
следующие пользовательские процессы:
AVSYNMGR.EXE
fsav.exe
AVPCC.EXE
AVPM.EXE
fsavgui.exe
NAVAPW32.EXE
fsav32.exe
fsavaui.exe
avgcc.exe
AVGCC32.EXE
ashAvast.exe
ashAvSrv.exe
AVP.EXE
AVP32.EXE
AVGCTRL.EXE
AVP.COM
Изменения в файловой системе:
Создает следующие файлы:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\p_r[1].exe
<SYSTEM32>\p_r_<Имя вируса>.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\p_p[1].exe
<SYSTEM32>\p_e_<Имя вируса>.exe
<SYSTEM32>\p_n_<Имя вируса>.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\check[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\p_e[1].exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\p_c[1].exe
<SYSTEM32>\p_c_<Имя вируса>.exe
<SYSTEM32>\log_master.txt
<SYSTEM32>\p_d_<Имя вируса>.exe
<SYSTEM32>\p_p_<Имя вируса>.exe
<SYSTEM32>\winst.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\p_d[1].exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\p_n[1].exe
<SYSTEM32>\s_s_winst.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\m[1].exe
<SYSTEM32>\m_l_<Имя вируса>.exe
<SYSTEM32>\s_n_winst.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\check[1].php
<SYSTEM32>\<Имя вируса>.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\check[1].php
<SYSTEM32>\p_i_<Имя вируса>.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\p_m[1].exe
<SYSTEM32>\p_m_<Имя вируса>.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\p_i[1].exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\p_f[1].exe
<SYSTEM32>\p_f_<Имя вируса>.exe
<SYSTEM32>\log_master.bat
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\autorun.inf
<SYSTEM32>\m_l_<Имя вируса>.exe
<SYSTEM32>\winst.exe
<Имя диска съемного носителя>:\<Имя вируса>.exe
<SYSTEM32>\<Имя вируса>.exe
<SYSTEM32>\s_n_winst.exe
<SYSTEM32>\s_s_winst.exe
Удаляет следующие файлы:
<SYSTEM32>\p_p_<Имя вируса>.exe
<SYSTEM32>\p_r_<Имя вируса>.exe
<SYSTEM32>\p_e_<Имя вируса>.exe
<SYSTEM32>\log_master.txt
<SYSTEM32>\p_c_<Имя вируса>.exe
<SYSTEM32>\p_d_<Имя вируса>.exe
<SYSTEM32>\p_n_<Имя вируса>.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\check[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\check[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\check[1].php
<SYSTEM32>\p_m_<Имя вируса>.exe
<SYSTEM32>\p_i_<Имя вируса>.exe
<SYSTEM32>\p_f_<Имя вируса>.exe
Сетевая активность:
Подключается к:
'localhost':1044
'localhost':1046
'localhost':1041
'localhost':1036
'www.la###ategia.com':80
TCP:
Запросы HTTP GET:
www.la###ategia.com/winst/files/p_r.exe
www.la###ategia.com/winst/files/p_e.exe
www.la###ategia.com/winst/files/p_p.exe
www.la###ategia.com/winst/files/p_c.exe
www.la###ategia.com/winst/files/p_d.exe
www.la###ategia.com/winst/files/p_n.exe
www.la###ategia.com/winst/files/m.exe
www.la###ategia.com/winst/???#########################
www.la###ategia.com/winst/files/p_f.exe
www.la###ategia.com/winst/files/p_m.exe
www.la###ategia.com/winst/files/p_i.exe
UDP:
DNS ASK www.la###ategia.com
Другое:
Ищет следующие окна:
ClassName: 'Indicator' WindowName: ''
ClassName: '' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK