Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner.51454
Добавлен в вирусную базу Dr.Web:
2011-06-08
Описание добавлено:
2011-06-14
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Classes\VBSFile\Shell\Open\Command] '' = '%WINDIR%\winlog.EXE %1'
[<HKLM>\SOFTWARE\Classes\chm.file\shell\open\command] '' = '%WINDIR%\winlog.EXE %1'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Classes\regfile\shell\open\command] '' = '%WINDIR%\winlog.EXE %1'
[<HKLM>\SOFTWARE\Classes\inifile\shell\open\command] '' = '%WINDIR%\winlog.EXE %1'
[<HKLM>\SOFTWARE\Classes\Drive\shell\open\command] '' = '%WINDIR%\winlog.EXE %1'
[<HKLM>\SOFTWARE\Classes\txtfile\shell\open\command] '' = '%WINDIR%\winlog.EXE %1'
[<HKLM>\SOFTWARE\Classes\inffile\shell\open\command] '' = '%WINDIR%\winlog.EXE %1'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe] 'Debugger' = '%WINDIR%\winlog.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe] 'Debugger' = '%WINDIR%\winlog.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE
<Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
Создает и запускает на исполнение:
Изменения в файловой системе:
Создает следующие файлы:
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\autorun.inf
%WINDIR%\winlog.EXE
Сетевая активность:
Подключается к:
TCP:
Запросы HTTP GET:
hu####520.11nn.net/lj/lj.txt
UDP:
DNS ASK hu####520.11nn.net
Другое:
Ищет следующие окна:
ClassName: '' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK