Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner.51449
Добавлен в вирусную базу Dr.Web:
2011-06-07
Описание добавлено:
2011-06-14
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '<Полный путь к вирусу>'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'Explorer.exe <Полный путь к вирусу>'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>.exe~~!!!@' = '<Полный путь к вирусу>'
[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = '<Полный путь к вирусу>'
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\Whosyourdaddy] 'Start' = '00000002'
[<HKLM>\SYSTEM\ControlSet001\Services\ПµНі·юОс2] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
<SYSTEM32>\taskmgr.exe
<SYSTEM32>\ctfmon.exe
<SYSTEM32>\notepad.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
Редактора реестра (RegEdit)
Запускает на исполнение:
<SYSTEM32>\sc.exe description "ПµНі·юОс2" ЦШТЄЖф¶ЇПо,ЗлОрЙѕіэ!
<SYSTEM32>\sc.exe Create "ПµНі·юОс3" type= own type= interact start= disabled DisplayName= "Daddy" binPath= "cmd.exe /c start "<Полный путь к вирусу>"
<SYSTEM32>\sc.exe description "ПµНі·юОс3" ЦШТЄЖф¶ЇПо,ЗлОрЙѕіэ!
<SYSTEM32>\sc.exe Create "ПµНі·юОс1" type= own type= interact start= demand DisplayName= "Whosy" binPath= "cmd.exe /c start "<Полный путь к вирусу>"
<SYSTEM32>\sc.exe description "ПµНі·юОс1" ЦШТЄЖф¶ЇПо,ЗлОрЙѕіэ!
<SYSTEM32>\sc.exe Create "ПµНі·юОс2" type= own type= interact start= auto DisplayName= "Our" binPath= "cmd.exe /c start "<Полный путь к вирусу>"
Завершает или пытается завершить
следующие системные процессы:
Изменяет следующие настройки проводника Windows (Windows Explorer):
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoClose' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFind' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoRun' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoSetFolders' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000001'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoViewOnDrive' = '00000004'
Изменения в файловой системе:
Создает следующие файлы:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\include_page090326[1].shtml
Присваивает атрибут 'скрытый' для следующих файлов:
Сетевая активность:
Подключается к:
'dn#.qq.com':80
'localhost':1036
TCP:
Запросы HTTP GET:
dn#.qq.com/client/include_page090326.shtml
UDP:
Другое:
Ищет следующие окна:
ClassName: '' WindowName: 'ctfmon.exe'
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebcheckMonitor' WindowName: ''
ClassName: '' WindowName: 'notepad.exe'
ClassName: '' WindowName: 'taskmgr.exe'
ClassName: '#32770' WindowName: 'Windows ??????????'
ClassName: '' WindowName: 'regedit.exe'
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK