Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Win32.HLLW.Autoruner2.22317

Added to the Dr.Web virus database: 2015-10-17

Virus description added:

Technical Information

To ensure autorun and distribution:
Modifies the following registry keys:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Extender Bluetooth WebClient' = '<SYSTEM32>\teapifemno.exe'
Creates the following services:
  • [<HKLM>\SYSTEM\ControlSet001\Services\Port Machine Session Performance Audio Shadow] 'Start' = '00000002'
Malicious functions:
To complicate detection of its presence in the operating system,
blocks the following features:
  • Windows Security Center
Creates and executes the following:
  • '<SYSTEM32>\szfheiht.exe' "<SYSTEM32>\teapifemno.exe"
  • '%WINDIR%\Temp\xmahvm3r3nidwi0ia.exe' -r 23221 tcp
  • '%TEMP%\xmahvm3r3juvwi0iarqkfqu.exe'
  • '<SYSTEM32>\teapifemno.exe'
Modifies file system :
Creates the following files:
  • <SYSTEM32>\yglssflbpydoyjn\run
  • <SYSTEM32>\yglssflbpydoyjn\rng
  • %WINDIR%\Temp\xmahvm3r3nidwi0ia.exe
  • <SYSTEM32>\yglssflbpydoyjn\cfg
  • <SYSTEM32>\szfheiht.exe
  • %TEMP%\xmahvm3r3juvwi0iarqkfqu.exe
  • <SYSTEM32>\yglssflbpydoyjn\tst
  • <SYSTEM32>\teapifemno.exe
  • <SYSTEM32>\yglssflbpydoyjn\etc
Sets the 'hidden' attribute to the following files:
  • <SYSTEM32>\szfheiht.exe
  • <SYSTEM32>\teapifemno.exe
Deletes the following files:
  • %WINDIR%\Temp\xmahvm3r3nidwi0ia.exe
  • %TEMP%\xmahvm3r3juvwi0iarqkfqu.exe
  • <DRIVERS>\etc\hosts
Substitutes the HOSTS file.
Network activity:
Connects to:
  • 'si###dare.net':80
  • 'th###dare.net':80
  • 'du###ell.net':80
  • 'th###dance.net':80
  • 'si###body.net':80
  • 'th###body.net':80
  • 'si###dance.net':80
  • 'wi###ance.net':80
  • 'du###are.net':80
  • 'wi###are.net':80
  • 'du###ance.net':80
  • 'wi###ell.net':80
  • 'du###ody.net':80
  • 'wi###ody.net':80
  • 'he###ell.net':80
  • 'ca###ell.net':80
  • 'he###ody.net':80
  • 'qu###dare.net':80
  • 'th###ance.net':80
  • 'qu###dance.net':80
  • 'th###are.net':80
  • 'ca###are.net':80
  • 'si###tell.net':80
  • 'th###tell.net':80
  • 'he###are.net':80
  • 'ca###ody.net':80
  • 'he###ance.net':80
  • 'ca###ance.net':80
  • 'si###oday.net':80
  • 'me###oday.net':80
  • 'si###even.net':80
  • 'me###uch.net':80
  • 'da###ome.net':80
  • 'cl###some.net':80
  • 'si###uch.net':80
  • 'la###onea.com':80
  • 'fr###secas.com':80
  • 'do####n4guia.com':80
  • 'da###ekilai.com':80
  • 'me###even.net':80
  • 'st###march.net':80
  • 'ta###fruit.net':80
  • 'tr###dance.net':80
  • 'mi###ance.net':80
  • 'tr###dare.net':80
  • 'mi###ody.net':80
  • 'tr###tell.net':80
  • 'mi###ell.net':80
  • 'tr###body.net':80
  • 'cl###today.net':80
  • 'da###even.net':80
  • 'cl###seven.net':80
  • 'da###oday.net':80
  • 'mi###are.net':80
  • 'da###uch.net':80
  • 'cl###such.net':80
TCP:
HTTP GET requests:
  • http://si###dare.net/forum/search.php?me#########################################
  • http://th###dare.net/forum/search.php?me#########################################
  • http://du###ell.net/forum/search.php?me#########################################
  • http://th###dance.net/forum/search.php?me#########################################
  • http://si###body.net/forum/search.php?me#########################################
  • http://th###body.net/forum/search.php?me#########################################
  • http://si###dance.net/forum/search.php?me#########################################
  • http://wi###ance.net/forum/search.php?me#########################################
  • http://du###are.net/forum/search.php?me#########################################
  • http://wi###are.net/forum/search.php?me#########################################
  • http://du###ance.net/forum/search.php?me#########################################
  • http://wi###ell.net/forum/search.php?me#########################################
  • http://du###ody.net/forum/search.php?me#########################################
  • http://wi###ody.net/forum/search.php?me#########################################
  • http://he###ell.net/forum/search.php?me#########################################
  • http://ca###ell.net/forum/search.php?me#########################################
  • http://he###ody.net/forum/search.php?me#########################################
  • http://qu###dare.net/forum/search.php?me#########################################
  • http://th###ance.net/forum/search.php?me#########################################
  • http://qu###dance.net/forum/search.php?me#########################################
  • http://th###are.net/forum/search.php?me#########################################
  • http://ca###are.net/forum/search.php?me#########################################
  • http://si###tell.net/forum/search.php?me#########################################
  • http://th###tell.net/forum/search.php?me#########################################
  • http://he###are.net/forum/search.php?me#########################################
  • http://ca###ody.net/forum/search.php?me#########################################
  • http://he###ance.net/forum/search.php?me#########################################
  • http://ca###ance.net/forum/search.php?me#########################################
  • http://si###oday.net/forum/search.php?me#########################################
  • http://me###oday.net/forum/search.php?me#########################################
  • http://si###even.net/forum/search.php?me#########################################
  • http://me###uch.net/forum/search.php?me#########################################
  • http://da###ome.net/forum/search.php?me#########################################
  • http://cl###some.net/forum/search.php?me#########################################
  • http://si###uch.net/forum/search.php?me#########################################
  • http://la###onea.com/forum/search.php?me#########################################
  • http://fr###secas.com/forum/search.php?me#########################################
  • http://do####n4guia.com/forum/search.php?me#########################################
  • http://da###ekilai.com/forum/search.php?me#########################################
  • http://me###even.net/forum/search.php?me#########################################
  • http://st###march.net/forum/search.php?me#########################################
  • http://ta###fruit.net/forum/search.php?me#########################################
  • http://tr###dance.net/forum/search.php?me#########################################
  • http://mi###ance.net/forum/search.php?me#########################################
  • http://tr###dare.net/forum/search.php?me#########################################
  • http://mi###ody.net/forum/search.php?me#########################################
  • http://tr###tell.net/forum/search.php?me#########################################
  • http://mi###ell.net/forum/search.php?me#########################################
  • http://tr###body.net/forum/search.php?me#########################################
  • http://cl###today.net/forum/search.php?me#########################################
  • http://da###even.net/forum/search.php?me#########################################
  • http://cl###seven.net/forum/search.php?me#########################################
  • http://da###oday.net/forum/search.php?me#########################################
  • http://mi###are.net/forum/search.php?me#########################################
  • http://da###uch.net/forum/search.php?me#########################################
  • http://cl###such.net/forum/search.php?me#########################################
UDP:
  • DNS ASK si###dare.net
  • DNS ASK th###dare.net
  • DNS ASK du###ell.net
  • DNS ASK th###dance.net
  • DNS ASK si###body.net
  • DNS ASK th###body.net
  • DNS ASK si###dance.net
  • DNS ASK wi###ance.net
  • DNS ASK du###are.net
  • DNS ASK wi###are.net
  • DNS ASK du###ance.net
  • DNS ASK wi###ell.net
  • DNS ASK du###ody.net
  • DNS ASK wi###ody.net
  • DNS ASK th###tell.net
  • DNS ASK qu###dare.net
  • DNS ASK he###ell.net
  • DNS ASK ca###ell.net
  • DNS ASK th###are.net
  • DNS ASK qu###body.net
  • DNS ASK th###ance.net
  • DNS ASK qu###dance.net
  • DNS ASK he###are.net
  • DNS ASK ca###are.net
  • DNS ASK si###tell.net
  • DNS ASK ca###ance.net
  • DNS ASK he###ody.net
  • DNS ASK ca###ody.net
  • DNS ASK he###ance.net
  • DNS ASK si###oday.net
  • DNS ASK me###oday.net
  • DNS ASK si###even.net
  • DNS ASK me###uch.net
  • DNS ASK da###ome.net
  • DNS ASK cl###some.net
  • DNS ASK si###uch.net
  • DNS ASK la###onea.com
  • DNS ASK fr###secas.com
  • DNS ASK do####n4guia.com
  • DNS ASK da###ekilai.com
  • DNS ASK me###even.net
  • DNS ASK st###march.net
  • DNS ASK ta###fruit.net
  • DNS ASK tr###dance.net
  • DNS ASK mi###ance.net
  • DNS ASK tr###dare.net
  • DNS ASK mi###ody.net
  • DNS ASK tr###tell.net
  • DNS ASK mi###ell.net
  • DNS ASK tr###body.net
  • DNS ASK cl###today.net
  • DNS ASK da###even.net
  • DNS ASK cl###seven.net
  • DNS ASK da###oday.net
  • DNS ASK mi###are.net
  • DNS ASK da###uch.net
  • DNS ASK cl###such.net
  • '23#.#55.255.250':1900