ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Win32.HLLW.Autoruner1.37693

Добавлен в вирусную базу Dr.Web: 2013-05-22

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe] 'Debugger' = 'cwrdsye_.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe] 'Debugger' = 'dttezfx_.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe] 'Debugger' = 'xxyiof_.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe] 'Debugger' = 'gjmynan_.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows License Check' = '%CommonProgramFiles%\Windows License Check.{2227A280-3AEA-1069-A2DE-08002B30309D}\vvhweqgtk.exe'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Windows License Check' = '%CommonProgramFiles%\Windows License Check.{2227A280-3AEA-1069-A2DE-08002B30309D}\vvhweqgtk.exe'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows License Check' = '%CommonProgramFiles%\Windows License Check.{2227A280-3AEA-1069-A2DE-08002B30309D}\vvhweqgtk.exe'
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\SSDPSRV] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
  • скрытых файлов
Создает и запускает на исполнение:
  • '%CommonProgramFiles%\Windows License Check.{2227A280-3AEA-1069-A2DE-08002B30309D}\vvhweqgtk.exe'
Запускает на исполнение:
  • '<SYSTEM32>\wuauclt.exe'
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FTP Commander]
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FTP Commander Deluxe]
  • [<HKCU>\Software\FTPWare\CoreFTP\Sites]
  • [<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]
Изменяет следующие настройки браузера Windows Internet Explorer:
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '2500' = '00000003'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2500' = '00000003'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '2500' = '00000003'
Изменения в файловой системе:
Создает следующие файлы:
  • %CommonProgramFiles%\Windows License Check.{2227A280-3AEA-1069-A2DE-08002B30309D}\vvhweqgtk.exe
Присваивает атрибут 'скрытый' для следующих файлов:
  • %CommonProgramFiles%\Windows License Check.{2227A280-3AEA-1069-A2DE-08002B30309D}\vvhweqgtk.exe
Сетевая активность:
Подключается к:
  • '20#.#6.232.182':80
UDP:
  • DNS ASK as####.hfgfr56745fg.com
  • DNS ASK microsoft.com
Другое:
Ищет следующие окна:
  • ClassName: 'cccccccc' WindowName: 'uuuuuuuu'
  • ClassName: 'vohohoho' WindowName: 'giaiaiai'
  • ClassName: 'fdhzbbbb' WindowName: 'ysauiiii'
  • ClassName: 'txtxtxtx' WindowName: 'gcgcgcgc'
  • ClassName: 'zmlkripg' WindowName: 'uusccgug'
  • ClassName: 'uuuuuuuu' WindowName: 'aaaaaaaa'
  • ClassName: 'xjtnprlv' WindowName: 'cygiucsg'
  • ClassName: 'xxxxxxxx' WindowName: 'cccccccc'
  • ClassName: 'ndfxdfxd' WindowName: 'isycsycs'
  • ClassName: 'imwwwwww' WindowName: 'guyyyyyy'
  • ClassName: 'raxqzsby' WindowName: 'cicsuyis'
  • ClassName: 'hfptvtvt' WindowName: 'ayuggggg'
  • ClassName: 'xvdxvdxv' WindowName: 'cgscgscg'
  • ClassName: 'eeeeeeee' WindowName: 'cccccccc'
  • ClassName: 'vcxwdqfs' WindowName: 'gucyssyy'
  • ClassName: 'djtflnpj' WindowName: 'sygysiuy'
  • ClassName: 'gggggggg' WindowName: 'gggggggg'
  • ClassName: 'xtxtxtxt' WindowName: 'cgcgcgcg'
  • ClassName: 'ffffffff' WindowName: 'yyyyyyyy'
  • ClassName: 'fyrapkpk' WindowName: 'ysciucuc'
  • ClassName: 'pppppppp' WindowName: 'uuuuuuuu'
  • ClassName: 'rixgveby' WindowName: 'cgcggcis'
  • ClassName: 'xsvqbytw' WindowName: 'cygsisgy'
  • ClassName: 'bdfztptp' WindowName: 'isyugugu'
  • ClassName: 'wwwwwwww' WindowName: 'yyyyyyyy'
  • ClassName: 'kmqaiuyi' WindowName: 'cusigasg'
  • ClassName: 'zzzzzzzz' WindowName: 'uuuuuuuu'
  • ClassName: 'Indicator' WindowName: '(null)'
  • ClassName: '' WindowName: ''
  • ClassName: 'hyxqjotc' WindowName: 'ascsyigu'
  • ClassName: 'vunopqrk' WindowName: 'gaiiuscc'
  • ClassName: 'bdbdbdbd' WindowName: 'isisisis'
  • ClassName: 'hbphbphb' WindowName: 'aiuaiuai'
  • ClassName: 'dddddddd' WindowName: 'ssssssss'
  • ClassName: 'zuxsdmfo' WindowName: 'uacysuyi'
  • ClassName: 'oooooooo' WindowName: 'iiiiiiii'
  • ClassName: 'jmpknitg' WindowName: 'yuuciggg'
  • ClassName: 'bzjbzjbz' WindowName: 'iuyiuyiu'
  • ClassName: 'nxbfvlzn' WindowName: 'iciygsui'
  • ClassName: 'fahqhqhq' WindowName: 'yiasasas'
  • ClassName: 'bnrjxxxx' WindowName: 'iicycccc'
  • ClassName: 'lhlhlhlh' WindowName: 'sasasasa'
  • ClassName: 'zevirmpk' WindowName: 'ucggcuuc'