Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.MulDrop6.52867
Добавлен в вирусную базу Dr.Web:
2016-08-24
Описание добавлено:
2016-08-24
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Classes\HttpWatchStudio.HTTPArchive\shell\open\command] '' = '%ProgramFiles%\HttpWatch\HTTPWA~1.EXE /dde'
[<HKLM>\SOFTWARE\Classes\HttpWatchStudio.Document\shell\open\command] '' = '%ProgramFiles%\HttpWatch\HTTPWA~1.EXE /dde'
Создает или изменяет следующие файлы:
%WINDIR%\Tasks\User_Feed_Synchronization-{6E428F9A-9591-461A-84A8-319B5ABE8AE1}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{D5079C9F-377D-4151-806E-6498B01C08A5}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{DA918C3F-30A8-4D23-BA5F-AE1B106BAE1A}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{21867A25-5139-4CBF-8C5E-97536E549E64}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{5E9AD8E4-3211-489C-A05E-9644967B7F0E}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{6622D24D-4BEE-4EA8-87A6-A9F44308305D}.job
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\PrismXL] 'ImagePath' = '%CommonProgramFiles%\New Boundary\PrismXL\PRISMXL.SYS'
[<HKLM>\SYSTEM\ControlSet001\Services\PrismXL] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
'%CommonProgramFiles%\New Boundary\PrismXL\PRISMXL.SYS'
Изменения в файловой системе:
Создает следующие файлы:
%ProgramFiles%\HttpWatch\images\boxbottomedge.gif
%ProgramFiles%\HttpWatch\images\boxtopedge.gif
%ProgramFiles%\HttpWatch\images\arrows2.gif
%ProgramFiles%\HttpWatch\httpwatchsc.dll
%ProgramFiles%\HttpWatch\httpwatchstudio.exe
%ProgramFiles%\HttpWatch\images\ie7_basic_move_up.png
%ProgramFiles%\HttpWatch\images\ie7_customize.png
%ProgramFiles%\HttpWatch\images\httpwatch_select.png
%ProgramFiles%\HttpWatch\images\ff_httpwatch_menu.png
%ProgramFiles%\HttpWatch\images\httpwatch_menu.png
%ProgramFiles%\HttpWatch\Firefox\chrome.manifest
%ProgramFiles%\HttpWatch\Firefox\components\httpwatchff.dll
%ProgramFiles%\HttpWatch\Firefox\chrome\httpwatch.jar
%ProgramFiles%\HttpWatch\api_examples\ie\site_spider\ruby\site_spider.rb
%ProgramFiles%\HttpWatch\api_examples\ie\site_spider\ruby\url_ops.rb
%ProgramFiles%\HttpWatch\httpwatch.chm
%ProgramFiles%\HttpWatch\httpwatch.dll
%ProgramFiles%\HttpWatch\gettingstarted.htm
%ProgramFiles%\HttpWatch\Firefox\components\httpwatchff.xpt
%ProgramFiles%\HttpWatch\Firefox\install.rdf
%ProgramFiles%\HttpWatch\images\ie7_menu.png
%ProgramFiles%\Symantec\Symantec Endpoint Protection\SerState.dat
%ProgramFiles%\Symantec\Symantec Endpoint Protection\SerState.dat.bak
%ProgramFiles%\HttpWatch\uninstall.exe
%ProgramFiles%\HttpWatch\styles\busi1011.css
%ProgramFiles%\HttpWatch\styles\styles.css
%ALLUSERSPROFILE%\Start Menu\Programs\HttpWatch Basic Edition\HttpWatch Studio.lnk
%WINDIR%\PICTAKER.LOG
%ALLUSERSPROFILE%\Start Menu\Programs\HttpWatch Basic Edition\HttpWatch Online Help.lnk
%ALLUSERSPROFILE%\Start Menu\Programs\HttpWatch Basic Edition\Automation Examples.lnk
%ALLUSERSPROFILE%\Start Menu\Programs\HttpWatch Basic Edition\Getting Started.lnk
%ProgramFiles%\HttpWatch\images\ie7_select_professional.png
%ProgramFiles%\HttpWatch\images\roundarrow-blue.gif
%ProgramFiles%\HttpWatch\images\ie7_select_basic.png
%ProgramFiles%\HttpWatch\images\ie7_moved_button.png
%ProgramFiles%\HttpWatch\images\ie7_professional_move_up.png
%ProgramFiles%\HttpWatch\images\squarearrow-red.gif
%ProgramFiles%\HttpWatch\log.xsd
%ProgramFiles%\HttpWatch\images\spacer.gif
%ProgramFiles%\HttpWatch\images\shleft.gif
%ProgramFiles%\HttpWatch\images\shright.gif
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\csharp\readme.txt
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\javascript\page_check.js
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\csharp\pagechecker.cs
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\csharp\page_check.csproj
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\csharp\page_check.sln
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\ruby\page_check.rb
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\ruby\page_check_firewatir.rb
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\readme.txt
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\javascript\readme.txt
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\javascript\run.cmd
%ALLUSERSPROFILE%\Application Data\Prism Pack\UNAPPLY\<Имя вируса> 1.PWR
%ProgramFiles%\Altiris\Altiris Agent\AeXAMDiscovery.txt
%ALLUSERSPROFILE%\Application Data\Prism Pack\UNAPPLY\<Имя вируса>.PWR
%TEMP%\PRISMXL.SYS
%CommonProgramFiles%\New Boundary\PrismXL\PRISMXL.SYS
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\csharp\App.ico
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\csharp\AssemblyInfo.cs
%ProgramFiles%\Altiris\Altiris Agent\Logs\Agent.log
%ProgramFiles%\Altiris\Altiris Agent\AeXAMInventory.txt
%ProgramFiles%\Altiris\Altiris Agent\AeXProcessList.txt
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\ruby\readme.txt
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\ruby\page_check.rb
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\ruby\page_check_watir.rb
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\readme.txt
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\javascript\readme.txt
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\javascript\run.cmd
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\VBScript\run.cmd
%ProgramFiles%\HttpWatch\api_examples\ie\site_spider\ruby\readme.txt
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\VBScript\readme.txt
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\ruby\readme.txt
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\VBScript\page_check.vbs
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\csharp\App.ico
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\csharp\AssemblyInfo.cs
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\VBScript\run.cmd
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\VBScript\page_check.vbs
%ProgramFiles%\HttpWatch\api_examples\firefox\page_check\VBScript\readme.txt
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\csharp\readme.txt
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\javascript\page_check.js
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\csharp\pagechecker.cs
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\csharp\page_check.csproj
%ProgramFiles%\HttpWatch\api_examples\ie\page_check\csharp\page_check.sln
Присваивает атрибут 'скрытый' для следующих файлов:
%WINDIR%\Tasks\User_Feed_Synchronization-{6E428F9A-9591-461A-84A8-319B5ABE8AE1}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{D5079C9F-377D-4151-806E-6498B01C08A5}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{DA918C3F-30A8-4D23-BA5F-AE1B106BAE1A}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{21867A25-5139-4CBF-8C5E-97536E549E64}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{5E9AD8E4-3211-489C-A05E-9644967B7F0E}.job
%WINDIR%\Tasks\User_Feed_Synchronization-{6622D24D-4BEE-4EA8-87A6-A9F44308305D}.job
Удаляет следующие файлы:
%ALLUSERSPROFILE%\Application Data\Prism Pack\UNAPPLY\<Имя вируса> 1.PWR
%ALLUSERSPROFILE%\Application Data\Prism Pack\UNAPPLY\<Имя вируса>.PWR
%TEMP%\PRISMXL.SYS
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK