Win32 hllw rendoc 3 что за вирус

Добавлен в вирусную базу Dr.Web: 2016-07-09

Описание добавлено: 2019-07-22

Техническая информация

  • [ SoftwareMicrosoftWindowsCurrentVersionRun] ‘mls’ = ‘"%APPDATA%RACmls.exe" -s’
  • %TEMP%237384764.tmp
  • :weeklysheet1215.exe
  • %TEMP%27644748.tmp
  • %TEMP%
    cxa2ce.tmp
  • %TEMP%
    cxa35c.tmp

.xlsx

  • %TEMP%237384764.tmp
  • %TEMP%
    cxb201.tmp
  • %TEMP%
    cxb250.tmp
  • %TEMP%
    cxb29f.tmp
  • %TEMP%232154774.tmp
    • %TEMP%
      cxa2ce.tmp в %TEMP%27644748.tmp
    • %TEMP%
      cxa35c.tmp в %TEMP%27644748.tmp
    • %TEMP%27644748.tmp в %APPDATA%
      acmls.exe
    • %TEMP%
      cxb201.tmp в %TEMP%237384764.tmp
    • %TEMP%
      cxb250.tmp в %TEMP%237384764.tmp
    • %TEMP%
      cxb29f.tmp в %TEMP%237384764.tmp
    • DNS ASK wx###lytics.ru
    • ClassName: ‘XLMAIN’ WindowName: ‘Microsoft Excel (Product Activation Failed) — Book1’
    • ClassName: ‘XLMAIN’ WindowName: »
    • ‘%APPDATA%
      acmls.exe’ -s
    • ‘%ProgramFiles%microsoft officeoffice14excel.exe’ /dde’ (со скрытым окном)
    • ‘%APPDATA%
      acmls.exe’ -s’ (со скрытым окном)
    • ‘%ProgramFiles%microsoft officeoffice14excel.exe’ /dde

    Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory).

    Уязвимые ОС: WinNT-based

    Размер: 117 248 байт

    Написан на языке программирования Visual Basic.

    При своём запуске создаёт несколько копий исходного файла:
    %Systemroot%System32ctfmon.exe
    %Systemroot%System32рsagоr18.sys
    %Systemroot%System32АHTОMSYS19.exe
    %Systemroot%System32DETER177smss.exe
    %Systemroot%System32DETER177svсhоst.exe
    %Systemroot%System32DETER177lsass.exe

    Все файлы имеют атрибут "Скрытый". Одновременно в памяти находятся две копии червя. При попытке завершить одну из них, происходит её автоматический перезапуск. Помимо этого, некоторые символы в именах файлов-носителей являются кириллическими.

    Для обеспечения своего запуска при каждом старте Windows регистрирует созданные копии в системном реестре:

    Shell = Explorer.exe %Systemroot%system32АHTОMSYS19.exe

    Осуществляет попытки определить окна программ мгновенного обмена сообщениями и, при обнаружении таковых, вставляет в них текст ""Я незнаю ее там помоему небыло (((. вот, посмотри <ссылка на архив>".

    Читайте также:  D link dap 2310 настройка

    Обладает функционалом работы с электронной почтой.

    При наличии подмонтированного flash-накопителя создаёт на нём свою копию flash.scr с иконкой папки.

    Уничтожает файлы *.doc, *.xls, *.rtf, перезаписывая их мусорным текстом инвективного содержания. В файлы в формате *.bmp, *.jpg вставляет свой jpeg с надписью Penetrator.

    Может создать файлы cdburn.exe и соответствующий autorun.inf в каталоге%USERPROFILE%Local SettingsApplication DataMicrosoftCD Burning.

    Обладает возможностью создания копий своего файла в каталогах общего доступа, пути к которым сохранены в %USERPROFILE%NetHood.

    Отслеживает отображение предупреждающих окон разраличных антивирусов и межсетевых экранов и закрывает их. Помимо этого, отслеживает запуск Regedit и сдвигает его окно за пределы экрана.

    особенности, лечение, червь, win32.hllw.shadow.based

    Обзор умной колонки Яндекс.Станция Мини: джедайские штучки Всего лишь очередная компактная умная колонка с голосовым помощником, понимающим русский язык? Ну кого таким можно удивить на излете 2019-го? За полтора года мы уже настолько привыкли к Алисе, что не хватает разве только утюга. Впрочем, кажется, инженерам Яндекса все-таки удалось сделать кое-что интересное для любителей новых технологий

    © 1997-2020 3DNews — Daily Digital Digest | Лицензия Минпечати Эл ФС 77-22224

    При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением
    российского и международного законодательства и возможно только с согласия редакции 3DNews.

    var _tmr = window._tmr || (window._tmr = []); _tmr.push(< );