Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Click1.54876
Добавлен в вирусную базу Dr.Web:
2011-07-22
Описание добавлено:
2011-07-23
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'hn7e6068' = '<SYSTEM32>\LKIMLBKIFBHJ[LLGGBGHM[M\hn7e6068.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] 'Debugger' = '<SYSTEM32>\LKIMLBKIFBHJ[LLGGBGHM[M\hn7e6068.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'hn7e6068' = '<SYSTEM32>\LKIMLBKIFBHJ[LLGGBGHM[M.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] 'Debugger' = '<SYSTEM32>\LKIMLBKIFBHJ[LLGGBGHM[M\services.exe'
Создает следующие файлы на съемном носителе:
<Имя диска съемного носителя>:\pictures.exe
Вредоносные функции:
Создает и запускает на исполнение:
<SYSTEM32>\LKIMLBKIFBHJ[LLGGBGHM[M\hn7e6068.exe
Запускает на исполнение:
<SYSTEM32>\ping.exe mosti.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe mcmc.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe mynic.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe celcom.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe st.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe mampu.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe tnb.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe petronas.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe tm.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe jpn.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe mindef.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe moa.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe jaring.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe marine.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe mot.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe kdn.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe ptp.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe span.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe kpj.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe pbapp.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe hselayang.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe rhb.cyberdrill.my -l 65500 -n 5
%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://in#####d.cyberdrill.my/mailer/email.php?ta#####
<SYSTEM32>\ping.exe moh.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe mas.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe indahwater.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe cimb.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe bursa.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe sc.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe mbb.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe sajholding.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe syabas.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe muamalat.cyberdrill.my -l 65500 -n 5
<SYSTEM32>\ping.exe bnm.cyberdrill.my -l 65500 -n 5
Завершает или пытается завершить
следующие пользовательские процессы:
Изменения в файловой системе:
Создает следующие файлы:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\login_box[1].gif
C:\xampp\htdocs\myphish\images\login_box.gif
C:\xampp\htdocs\myphish\images\keys_icon.gif
C:\xampp\htdocs\myphish\images\footer.png
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\keys_icon[1].gif
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\login_button[1].gif
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\secure[1].png
C:\xampp\htdocs\myphish\images\secure.png
C:\xampp\htdocs\myphish\images\notes.gif
C:\xampp\htdocs\myphish\images\login_button.gif
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\notes[1].gif
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\footer[1].png
<SYSTEM32>\YXVZYOXVSOUW[YYTTOTUZ[Z\mirror.exe
<SYSTEM32>\YXVZYOXVSOUW[YYTTOTUZ[Z\netdhcp.exe
<SYSTEM32>\YXVZYOXVSOUW[YYTTOTUZ[Z\servicess.exe
<SYSTEM32>\YXVZYOXVSOUW[YYTTOTUZ[Z\scservice.exe
<SYSTEM32>\LKIMLBKIFBHJ[LLGGBGHM[M\hn7e6068.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\xmayabank[1].html
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\banner[1].gif
C:\xampp\htdocs\myphish\images\banner.gif
C:\xampp\htdocs\myphish\images\arrow.png
C:\xampp\htdocs\myphish\xmayabank.html
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\arrow[1].png
Присваивает атрибут 'скрытый' для следующих файлов:
<SYSTEM32>\YXVZYOXVSOUW[YYTTOTUZ[Z\mirror.exe
<SYSTEM32>\YXVZYOXVSOUW[YYTTOTUZ[Z\netdhcp.exe
<SYSTEM32>\YXVZYOXVSOUW[YYTTOTUZ[Z\servicess.exe
<SYSTEM32>\YXVZYOXVSOUW[YYTTOTUZ[Z\scservice.exe
<SYSTEM32>\LKIMLBKIFBHJ[LLGGBGHM[M\hn7e6068.exe
Сетевая активность:
Подключается к:
'localhost':1061
'localhost':1036
'cn#.##berdrill.my':80
TCP:
Запросы HTTP GET:
cn#.##berdrill.my/phish/images/login_box.gif
cn#.##berdrill.my/phish/images/keys_icon.gif
cn#.##berdrill.my/phish/images/login_button.gif
cn#.##berdrill.my/phish/images/secure.png
cn#.##berdrill.my/phish/images/notes.gif
cn#.##berdrill.my/phish/xmayabank.html
cn#.##berdrill.my/gerudi/update.txt?ho###########################
cn#.##berdrill.my/phish/images/arrow.png
cn#.##berdrill.my/phish/images/footer.png
cn#.##berdrill.my/phish/images/banner.gif
UDP:
DNS ASK mo###.cyberdrill.my
DNS ASK mc##.#yberdrill.my
DNS ASK my###.cyberdrill.my
DNS ASK ce####.cyberdrill.my
DNS ASK st.###erdrill.my
DNS ASK ma###.cyberdrill.my
DNS ASK tn#.##berdrill.my
DNS ASK pe#####s.cyberdrill.my
DNS ASK jp#.##berdrill.my
DNS ASK mi####.cyberdrill.my
DNS ASK ja####.cyberdrill.my
DNS ASK in#####d.cyberdrill.my
DNS ASK ma####.cyberdrill.my
DNS ASK tm.###erdrill.my
DNS ASK kd#.##berdrill.my
DNS ASK pt#.##berdrill.my
DNS ASK sc.###erdrill.my
DNS ASK sp##.#yberdrill.my
DNS ASK kp#.##berdrill.my
DNS ASK pb###.cyberdrill.my
DNS ASK hs#####ng.cyberdrill.my
DNS ASK rh#.##berdrill.my
DNS ASK cn#.##berdrill.my
DNS ASK ma#.##berdrill.my
DNS ASK mo#.##berdrill.my
DNS ASK bu###.cyberdrill.my
DNS ASK mu#####t.cyberdrill.my
DNS ASK mb#.##berdrill.my
DNS ASK ci##.#yberdrill.my
DNS ASK sy####.cyberdrill.my
DNS ASK in######er.cyberdrill.my
DNS ASK bn#.##berdrill.my
DNS ASK sa######ng.cyberdrill.my
Другое:
Ищет следующие окна:
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebcheckMonitor' WindowName: ''
ClassName: '' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK