Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.

Защити созданное

Другие наши ресурсы

free.drweb.uz — бесплатные утилиты, плагины, информеры
av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
curenet.drweb.uz — сетевая лечащая утилита Dr.Web CureNet!
www.drweb.uz/web-iq — ВебIQметр

Закрыть

Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

Все: -
Незакрытые: -
Последний: -

Создать новый запрос Частые вопросы

Позвоните

Бесплатно по России:
8-800-333-79-32

UZ

RU CN DE EN ES FR IT JP KZ UZ PL BY

Закрыть

Сервисы

Сканеры

Dr.Web vxCube

Вход в анализатор

Экспертиза ВКИ

Вирусная библиотека

База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Мифы об антивирусах

Новости

Win32.HLLW.Autoruner.54774

Добавлен в вирусную базу Dr.Web: 2011-07-21

Описание добавлено: 2011-07-22

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MSWUpdate' = '"%APPDATA%\lsass.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MSWUpdate' = '"%APPDATA%\lsass.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 ""%TEMP%\IXP000.TMP\""'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe "%APPDATA%\lsass.exe"'

Creates the following files on removable media:

<Drive name for removable media>:\Autorun.inf
<Drive name for removable media>:\SYSTEM.EXE

Malicious functions:

Creates and executes the following:

%APPDATA%\lsass.exe /d "%TEMP%\svchost.exe"

Executes the following:

<SYSTEM32>\netsh.exe firewall add allowedprogram program = %APPDATA%\lsass.exename = Nero mode = ENABLE

Modifies file system :

Creates the following files:

%TEMP%\mrt3.tmp\kcfile.mfx
%TEMP%\mrt3.tmp\Download.mfx
%TEMP%\mrt3.tmp\KcActiveX.mfx
%TEMP%\mrt3.tmp\mmfs2.dll
%TEMP%\mrt3.tmp\kclist.mfx
%TEMP%\mrt3.tmp\Registry2.mfx
%APPDATA%\lsass.exe
%TEMP%\mrt3.tmp\volume.mfx
%TEMP%\IXP000.TMP\tubelist.dat
%TEMP%\mrt3.tmp\Yaso.mfx
%TEMP%\mrt3.tmp\kcwctrl.mfx
%TEMP%\mrt3.tmp\kctaskpr.mfx
%TEMP%\mrt3.tmp\stdrt.exe
%TEMP%\IXP000.TMP\flex.exe
%TEMP%\IXP000.TMP\pdvd.exe
%TEMP%\IXP000.TMP\PowerDVD10.sim
%TEMP%\Pdvd_Patch32.exe
%TEMP%\svchost.exe
%TEMP%\IXP000.TMP\CLAud.sim
%TEMP%\mrt2.tmp\Registry2.mfx
%TEMP%\mrt2.tmp\kcfile.mfx
%TEMP%\mrt2.tmp\KcBoxA.mfx
%TEMP%\mrt2.tmp\stdrt.exe
%TEMP%\mrt2.tmp\mmfs2.dll
%TEMP%\mrt2.tmp\KcBoxB.mfx

Sets the 'hidden' attribute to the following files:

<Drive name for removable media>:\Autorun.inf
<Drive name for removable media>:\SYSTEM.EXE
%APPDATA%\lsass.exe

Deletes the following files:

%TEMP%\mrt3.tmp\Yaso.mfx
%TEMP%\mrt3.tmp\KcActiveX.mfx
%TEMP%\mrt3.tmp\Download.mfx
%TEMP%\mrt3.tmp\volume.mfx
%TEMP%\mrt3.tmp\kctaskpr.mfx
%TEMP%\mrt3.tmp\kcwctrl.mfx
%TEMP%\mrt3.tmp\mmfs2.dll
%TEMP%\mrt3.tmp\stdrt.exe
%TEMP%\svchost.exe
%TEMP%\mrt3.tmp\kcfile.mfx
%TEMP%\mrt3.tmp\Registry2.mfx
%TEMP%\mrt3.tmp\kclist.mfx

Network activity:

Connects to:

't8#.#yndns.info':3175
'www.tu###kid.com':80

TCP:

HTTP GET requests:

www.tu###kid.com/tubeapp/tubelist.dat

UDP:

DNS ASK t8#.#yndns.info
DNS ASK www.tu###kid.com

Miscellaneous:

Searches for the following windows:

ClassName: '' WindowName: 'ibhikhii'
ClassName: 'Indicator' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: '' WindowName: 'HB'