ユーザー向け情報

マイライブラリ

+ マイライブラリに追加

検索

テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話（英語）

+7 (495) 789-45-86

フォーラム（英語）

お問い合わせ履歴

すべて: -
対応中: -
最終更新: -

新規お問い合わせ

電話（英語）

+7 (495) 789-45-86

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY

サービス

スキャナー

Dr.Web vxCube

トライアル

Dr.Web vxCubeにログオン

ウイルスライブラリ

ナレッジベース

テクノロジー

用語

トレーニングコースおよび啓蒙プロジェクト

アンチウイルスに関する誤解と噂

アンチウイルスに関する誤解

ニュース

Win32.HLLW.Autoruner2.2435

Added to the Dr.Web virus database: 2014-01-21

Virus description added: 2014-01-22

Technical Information

Malicious functions:

To bypass firewall, removes or modifies the following registry keys:

[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\favoris.exe' = '%TEMP%\favoris.exe:*:Enabled:favoris.exe'

Creates and executes the following:

'%TEMP%\favoris.exe'

Executes the following:

'<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\favoris.exe" "favoris.exe" ENABLE

Modifies file system :

Creates the following files:

%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.new
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.new
%TEMP%\favoris.exe

Moves the following files:

from %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.new to %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch
from %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.new to %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch

Network activity:

Connects to:

'me####.no-ip.biz':1177

UDP:

DNS ASK me####.no-ip.biz