ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Siggen.1648

Добавлен в вирусную базу Dr.Web: 2011-06-12

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\2089594176] 'Name' = '"%TEMP%\srvAE0.tmp"'
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\srvAE0] 'Start' = '00000002'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NNU8WKXK\X[1]
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SF0Z72ME\desktop.ini
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HM80NSAT\desktop.ini
  • <SYSTEM32>\a.exe
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NNU8WKXK\wpad[1].dat
  • C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5OP\wpad[2].dat
  • C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5OP\wpad[1].dat
  • %WINDIR%\Temp\2.tmp
  • %TEMP%\srvAE0.ini
  • %TEMP%\srvAE0.tmp
  • %WINDIR%\Temp\3.tmp
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S92NC5AN\desktop.ini
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NNU8WKXK\desktop.ini
  • %WINDIR%\Temp\4.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HM80NSAT\desktop.ini
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SF0Z72ME\desktop.ini
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S92NC5AN\desktop.ini
  • %TEMP%\srvAE0.tmp
  • C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NNU8WKXK\desktop.ini
Самоперемещается:
  • из <Полный путь к вирусу> в %TEMP%\1.tmp
Сетевая активность:
Подключается к:
  • '<IP-адрес в локальной сети>':80
  • 'localhost':1308
  • 'wpad.localdomain':80
  • '86.##.210.75':80
  • '<IP-адрес в локальной сети>':445
  • '<IP-адрес в локальной сети>':139
  • '86.##.210.72':80
TCP:
Запросы HTTP GET:
  • 86.##.210.72//srv
  • wpad.localdomain/wpad.dat
  • 86.##.210.75/service/scripts/files/aff_50120.dll
  • 86.##.210.72/X
  • 86.##.210.72/service/listener.php?af#########
UDP:
  • DNS ASK wpad.localdomain