Pour les utilisateurs

Ma bibliothèque

+ Ajouter à la bibliothèque

Recherche

Support 24/24 | Rules regarding submitting

Envoyer un message

Requête à l'aide du formulaire

Nous téléphoner

Forum

Vos requêtes

Toutes : -
Non clôturées : -
Dernière : le -

Créer une nouvelle requête

Nous téléphoner

FR

RU CN DE EN ES FR IT JP KZ UZ PL BY

Services support

Dr.Web vxCube

Connexion à Dr.Web vxCube

Bibliothèque virale

Base documentaire

TECHNOLOGIES

TERMINOLOGIE

COURS ET EDU

MYTHES

Mythes sur les antivirus

Actualités

Win32.HLLW.Phorpiex.320

Added to the Dr.Web virus database: 2018-02-16

Virus description added: 2018-03-02

Technical Information

Malicious functions:

Executes the following:

'<SYSTEM32>\taskkill.exe' /f /im rfusclient.exe
'<SYSTEM32>\taskkill.exe' /f /im rutserv.exe

Modifies file system:

Creates the following files:

<SYSTEM32>\vipcatalog\rutserv.exe
<SYSTEM32>\vipcatalog\rfusclient.exe
<SYSTEM32>\vipcatalog\vp8encoder.dll
<SYSTEM32>\vipcatalog\regedit.reg
<SYSTEM32>\vipcatalog\russian.lg
<SYSTEM32>\vipcatalog\WmiPrvSE.exe
%WINDIR%\Acronis\install.exe
%WINDIR%\Acronis\install.sfx.exe
%WINDIR%\Acronis\1.bat
<SYSTEM32>\vipcatalog\vp8decoder.dll
<SYSTEM32>\vipcatalog\install.bat
<SYSTEM32>\vipcatalog\start.vbs

Miscellaneous:

Searches for the following windows:

ClassName: '' WindowName: ''
ClassName: '' WindowName: 'Remote Manipulator System - ??????'
ClassName: 'EDIT' WindowName: ''

Creates and executes the following:

'<SYSTEM32>\wscript.exe' "<SYSTEM32>\vipcatalog\start.vbs"
'<SYSTEM32>\vipcatalog\WmiPrvSE.exe'
'%WINDIR%\Acronis\install.sfx.exe' -p123 -d%WINDIR%\Acronis
'%WINDIR%\Acronis\install.exe'

Executes the following:

'<SYSTEM32>\cmd.exe' /c ""<SYSTEM32>\vipcatalog\install.bat" "
'<SYSTEM32>\cmd.exe' /c ""%WINDIR%\Acronis\1.bat" "