Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Spambot

(Backdoor:Win32/Oderoor.gen!A, TR/Crypt.Morphine.Gen, Hacktool.Spammer, Trojan.Win32.Obfuscated.gy, Spam-Mailbot.gen, TROJ_OBFUSCAT.ZP, Trojan.Generic.3730571, Trojan.Agent.ABGR, TR/Small.DBY.J, TR/Dldr.Pas.D.107.B, Downloader-ZQ, Dropped:Virtool.Spam.Mailbot.V, Win32.Trojan.Downloader (http://...), Trojan-Proxy.Win32.Agent.ry, TR/Crypt.F.Gen, W32/Grum.A, I-Worm/Stration.BRO, TROJ_Generic.DIS, Backdoor.Rustock.NDI, Downloader.Small.57.F, Proxy.KJI, Downloader.Generic.YPC)

Описание добавлено:

Тип вируса: Троянец для массовой рассылки рекламных писем.

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 16 896

Упакован: UPX

Техническая информация

  • Троянец, предназначенный для создания массовой рассылки почтовых сообщений. При запуске создаётся файл-семафор с расширением *.pid размером 4 байта в том же каталоге, где находится сам троян-спамбот.
  • Semaphore \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
    Semaphore \BaseNamedObjects\shell.{210A4BA0-3AEA-1069-A2D9-08002B30309D}

    Рассылается в несколько потоков по адресам, содержащим следующие подстроки:
    [постоянный буквенно-числовой код, состоящий из 3-8 символов][случайный буквенно-числовой код]@domain,

    где @domain:

    @hotmail.com
    @msn.com
    @yahoo.com
    @yahoo.fr
    @yahoo.gr
    @yahoo.com.br
    @yahoo.com.ar
    @yahoo.it
    @aol.com
    @rogers.com
    @btinternet.com
    @wxs.nl
    @hol.gr
    @hellasnet.gr
    @comcast.net
    @earthlink.net
    @osu.edu
    @netsafe.se
    @mac.org.il
    @clix.pt
    @idsc.net.eg
    @portugalmail.com
    @hol.gr
    @charter.net
    @schwarze.com
    @dps.state.nm.us
    @spro.net
    @skynet.be
    @kda.attmil.ne.jp
    @prtel.com
    @post.fukubiki.com
    @canal21.com
    @urla.com
    @origoingatlan.hu
    @bmk.hu
    @eeg.com
    @pinto.com
    @leopardfilms.com
    @sympatico.ca
    @interchange.ubc.ca
    @freeusisp.com
    @mail4y.com
    @see169.com
    @webenterprisesltd.com
    @sdgsd.com
    @fdgfg.com
    @arlingtonroe.com
    @ask-cts.com
    @atlantechusa.com
    @bcc.ctc.edu
    @bega-us.com
    @brtc.net

  • Преимущественно рассылка осуществялется по адресам, содержащими подстроки таких почтовых сервисов как hotmail.com, msn.com, yahoo.*
  • Свою рассылку пытается осуществить, соединяясь со следующими SMTP-серверами:

    xa.mx.aol.com frances.simmons.edu mymail.bright.net mx1.hotmail.com alfheim.control.utoronto.ca mouse.musc.edu gsmtp93.google.com rbsd.wmsc.k12.ar.us smtp-1.luther.edu smtp.secureserver.net mail.eod.com mail.httpsolutions.com c1-sf.emaildefenseservice.com moex-0.sjc.mail-abuse.com mailrelay.37.website.ws inbound.sc1.he.tucows.com cmail.seanet.com gateway.mchsi.com didamail.com 209.86.93.226 209.144.225.70 208.17.33.40 168.144.68.107 137.82.224.74 66.161.25.21 65.73.232.189 64.18.7.10
  • Ведёт статистику посланных писем, времени, затраченного на рассылку, которую передает на сервер http://wm.grasuta.info и почтовый адрес forsp@adultsoft.biz
  • Рассылаемые письма имеют рекламный характер. Примерный вид письма, рассылаемого этим трояном:
  • Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке

    Российский разработчик антивирусов Dr.Web с 1992 года
    Dr.Web в Реестре Отечественного ПО
    Dr.Web совместим с российскими ОС и оборудованием
    Dr.Web пользуются в 200+ странах мира
    Техническая поддержка 24х7х365 Рус | En

    © «Доктор Веб»
    2003 — 2022

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125124, Россия, Москва, 3-я улица Ямского поля, д.2, корп.12А