PARA USUARIOS

Mi biblioteca

+ Añadir a la biblioteca

Buscar

Soporte 24 horas | Normas de contactar

Escribir

una solicitud al rellenar un formulario

Llamar

+7 (495) 789-45-86

Foro

Sus solicitudes

Todas: -
No cerradas: -
Última: -

Crear una nueva solicitud

Llamar

+7 (495) 789-45-86

ES

RU CN DE EN ES FR IT JP KZ UZ PL BY

Dr.Web vxCube

Entrar en el analizador

Peritaje de IIV

Biblioteca de virus

Base de conocimiento

Tecnologías

Términos

Formación y educación

Mitos

Mitos sobre los antivirus

Win32.HLLW.Autoruner2.41770

Added to the Dr.Web virus database: 2018-07-16

Virus description added: 2018-07-15

Technical Information

Malicious functions:

To bypass firewall, removes or modifies the following registry keys:

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winlogon.exe' = '<SYSTEM32>\winlogon.exe:*:enabled:@shell32...

Injects code into

the following system processes:

<SYSTEM32>\winlogon.exe
<SYSTEM32>\services.exe
<SYSTEM32>\lsass.exe
<SYSTEM32>\svchost.exe
%WINDIR%\Explorer.EXE
<SYSTEM32>\spoolsv.exe
<SYSTEM32>\ctfmon.exe
<SYSTEM32>\alg.exe
<SYSTEM32>\cmd.exe
<SYSTEM32>\cscript.exe

a large number of user processes.

Modifies file system:

Modifies the HOSTS file.

Network activity:

Connects to:

'sy#.zief.pl':65520
'localhost':1040

UDP:

DNS ASK sy#.zief.pl

Miscellaneous:

Searches for the following windows:

ClassName: 'ActiveDialerApplication' WindowName: ''