Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Win32.HLLW.Autoruner.53704
Добавлен в вирусную базу Dr.Web:
2011-07-08
Описание добавлено:
2011-07-09
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinDefend' = '%APPDATA%\newer1.exe'
[<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{FEDBDBAD-AB4A-ABBE-E9FC-8BB5ABCCDFBF}] 'StubPath' = '%APPDATA%\newer1.exe'
[<HKCU>\Software\Microsoft\Active Setup\Installed Components\{FEDBDBAD-AB4A-ABBE-E9FC-8BB5ABCCDFBF}] 'StubPath' = '%APPDATA%\newer1.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SysCore' = '%APPDATA%\hidserv.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SysCore' = '%APPDATA%\hidserv.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WinDefend' = '%APPDATA%\newer1.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\DFGDFJJJJDFJDFJGFDJTURTURUTJJF\DFG-2352-26235-2322322-624621221-2622255\explorer.exe
<Имя диска съемного носителя>:\autorun.inf
<Имя диска съемного носителя>:\DFGDFJJJJDFJDFJGFDJTURTURUTJJF\DFG-2352-26235-2322322-624621221-2622255\Desktop.ini
<Имя диска съемного носителя>:\newer1.exe
<Имя диска съемного носителя>:\Autorun.ini
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\newer1.exe' = '%APPDATA%\newer1.exe:*:Enabled:Windows Messanger'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '"%TEMP%\newer1.exe"' = '"%TEMP%\newer1.exe:*:Enabled:Windows" Messanger'
Запускает на исполнение:
<SYSTEM32>\reg.exe ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "%APPDATA%\newer1.exe" /t REG_SZ /d "%APPDATA%\newer1.exe:*:Enabled:Windows Messanger" /f
<SYSTEM32>\reg.exe ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v ""%TEMP%\newer1.exe"" /t REG_SZ /d ""%TEMP%\newer1.exe":*:Enabled:Windows Messanger" /f
<SYSTEM32>\reg.exe ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f
Внедряет код в
следующие системные процессы:
Изменения в файловой системе:
Создает следующие файлы:
%APPDATA%\newer1.exe
%APPDATA%\data.dat
%TEMP%\newer1.exe
%APPDATA%\hidserv.exe
Присваивает атрибут 'скрытый' для следующих файлов:
<Имя диска съемного носителя>:\newer1.exe
<Имя диска съемного носителя>:\Autorun.ini
<Имя диска съемного носителя>:\DFGDFJJJJDFJDFJGFDJTURTURUTJJF\DFG-2352-26235-2322322-624621221-2622255\explorer.exe
%APPDATA%\hidserv.exe
%APPDATA%\newer1.exe
%TEMP%\newer1.exe
Сетевая активность:
Подключается к:
'xd####.no-ip.biz':1820
'xd###.no-ip.biz':7349
UDP:
DNS ASK xd####.no-ip.biz
DNS ASK xd###.no-ip.biz
Другое:
Ищет следующие окна:
ClassName: 'shell_traywnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK