Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.LoadMoney.3558

Добавлен в вирусную базу Dr.Web: 2018-02-21

Описание добавлено:

SHA1:

  • 9d80905df226b13e9fa252a0b58c575cb238689a

Вредоносная программа, загружаемая троянцем Trojan.LoadMoney.3209. Не упакована, имеет действительную цифровую подпись. Значительную часть тела троянца составляет зашифрованная утилита cURL. Также тело содержит библиотеку для работы с СУБД SQLite, сохраняемый на диск файл и код самого загрузчика.

Троянец выполняет синтаксический разбор командной строки при помощи регулярных выражений. При отсутствии параметров командной строки пытается прочитать их из файла %filename%:args или %filename%.args.

После разбора командной строки и инициализации троянец проверяет, запущена ли служба с именем SvcHost Service Host. Если такая служба не запущена, проверяет наличие привилегий Администратора, при их отсутствии запускает себя с использованием runas. Извлекает из собственных ресурсов cURL и сохраняет в виде файла %APPDATA%\wget\wget_1_19_4.exe. В Планировщике заданий Windows настраивает загрузку с помощью cURL исполняемого файла, который сохраняется в виде файла %APPDATA%\wget\wget.exe. Также в Планировщике заданий Windows настраивается запуск этого файла.

Троянец содержит 3 зашифрованных URL, с которых на момент исследования скачивается исполняемый файл. Этот файл сохраняется в папку %TEMP% и запускается с параметрами командной строки следующего вида:

-url=http://m****y.ru/s/?mid=$__MID&utmd=$__UTMD&itmd=$__ITMD&utm=p_14980_&action= --temporary=http://ybw***klpi.chi****ce.ru/software_install?sid=14980&sub_id=&hash=9d80905df226b13e9fa252a0b58c575cb238689a9d80905df226b13e9fa252a0&mid=$__MID&gimli_=1&fname=<SAMPLE.EXE> --sha256=d34eec80dd87819743e4f80a69796f1793bbcf74d34eec80dd87819743e4f80a

В этой строке все данные, кроме hash и sha256, являются константами и хранятся в самом троянце. После запуска скачанного файла троянец записывает в параметр Run ветви системного реестра [HKLM\SOFTWARE\Microsoft\Windows] время запуска в формате unix timestamp и удаляет с диска исходный файл.

После скачивания троянец извлекает из себя MZPE-файл без первых двух байтов, восстанавливает ему заголовок и сохраняет в папку %TEMP%. В исследованном образце сохранялся файл с SHA1: 92ed6dac6a2ac73bc49d65c868dc5bf15ad38ff7, который детектируется как Trojan.Siggen7.35395. Этот файл запускается с параметрами командной строки вида:

--chn="p_14980" --install-cert --dns="34.***.***.26;77.***.***.138"

Троянец собирает информацию о характеристиках процессора инфицированной машины и отправляет ее на сервер злоумышленников. В конце своей работы он самоудаляется с помощью MoveFileEx, либо с использованием .bat-файла.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке