Trojan.WinSpy.1037

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Ndkyc' = '<SYSTEM32>\sensq.exe'

Вредоносные функции:

Создает и запускает на исполнение:

'<SYSTEM32>\sensq.exe'

Запускает на исполнение:

'<SYSTEM32>\ntvdm.exe' -f -i1
'<SYSTEM32>\ipconfig.exe' /flushdns

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\Temp\scs1.tmp
%WINDIR%\Temp\scs2.tmp
%TEMP%\~unins7953.bat
<SYSTEM32>\sensq.exe
%HOMEPATH%xplore.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<SYSTEM32>\sensq.exe

Удаляет следующие файлы:

%WINDIR%\Temp\scs2.tmp
%WINDIR%\Temp\scs1.tmp

Изменяет файл HOSTS.

Самоудаляется.

Сетевая активность:

Подключается к:

'im###hut4.cn':80
'wi###ounter.net':80

TCP:

Запросы HTTP GET:

wi###ounter.net/html/license_43EC923632001C577067B2486ABE4A416732656CE2D0CF5C5B49BF2C850147743C50050287CE9157E4C1D8A4469D45CE623FFB97084D0E3709AAE59D4F139C327E976F26148B221069BF20C0B83E851FA0B1D227AAA088B5070D4C72B401F3A8D35C36DE2BDF83DF7104B907E54FDB1DAC7D07AF5C9665BCC8144AB7E66FA24046BC3776EE5C446C767F428CA5B9FA6A5D1ED3C2821A2A317F0901F9FD05B9E3AC6E23719165782396E9427C76814757EAC285A7D04004D47D4FDB8080A34046368F81808A5EA9FC47BCCF1AC34CD2ACF5AB278A354BED1557A775610C63E04504945B8AD7B62A8379B43CCD406389BA13AE42693938FB950F94EEBB928107972A4F99476079C4F48EA34CDBF1CC05BB20EEF3E7BE2994F7AA4B9252CFF9239D9BDB5BC4CE920116C2B8F3200E98E292BF38DBC079A51A90AE94E37860ED1F58669FA12B495B7ED27C589C829C49194CCDAEE539EF86AEEB0D11ED183EFF41DB3EC7D47DC9D25D2A1DCB8CD3CE017A8912267939405C58BA6905A3298B6DB3ECE1885770F7838377833C191AA7E07F5E0ABD690BAB80187EE74911E6E4E3C2630F9C89B5B13C2877D1CA180C8E082C09C98F9B6F1ACC448BDF9AFB132AEC039E82C63F61CCBFEA3BD42BE0567187739947935B20B2DB84D51EBD1BBC1A2605FBDD76D21394A2520CE510936363C82D286C1F9405F1A2A175F5F6001F1272CF0247F21393227A453BB8C87101FD59D510CAE991C2E4BDCD51CBEEAC36AEF8F5571833669664138698B1425716F3E1503B727994BA9F686057D0EE4C7D36BE63D1C263423493B976AD5DEADFA1455C014723B344B28AFB8D288AB56FF2BD3E312F88604B1F5E8F51B231AB.html
im###hut4.cn/update/utu.dat
wi###ounter.net/html/license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html

UDP:

DNS ASK im###hut4.cn
DNS ASK wi###ounter.net

Другое:

Ищет следующие окна:

ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-bf8.bfc.3a0002'

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android