Trojan.Hosts.24838

Trojan.Hosts.24838

Добавлен в вирусную базу Dr.Web: 2013-12-12

Описание добавлено: 2013-12-20

Вредоносные функции:

Создает и запускает на исполнение:

'%TEMP%\crgg.exe' tiseno.looporillo.com Navitel-navigator-klyuch---besplatno.zip
'%TEMP%\ext.exe'
'%TEMP%\stpf.exe' 5126f2eddb122ea800f2d5fb21a9ab78 tiseno.looporillo.com /images/srvr/partner/send.php 5

Запускает на исполнение:

'<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\Compana\OldProa\batumisuhumi.bat" "
'<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\Compana\OldProa\vremyamoe.vbs"
'<SYSTEM32>\wscript.exe' "%PROGRAM_FILES%\Compana\OldProa\vduseduj.vbs"
'<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\Compana\OldProa\hiltommilton.bat" "
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\stpf.exe.bat" stpf.exe 5126f2eddb122ea800f2d5fb21a9ab78 tiseno.looporillo.com /images/srvr/partner/send.php 5"
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\ext.exe.bat" ext.exe "
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\crgg.exe.bat" crgg.exe tiseno.looporillo.com Navitel-navigator-klyuch---besplatno.zip"

Изменения в файловой системе:

Создает следующие файлы:

%PROGRAM_FILES%\Compana\OldProa\usadittsvetami.txt
%PROGRAM_FILES%\Compana\OldProa\egonestaneth.txt
%PROGRAM_FILES%\Compana\OldProa\vremyamoe.vbs
%PROGRAM_FILES%\Compana\OldProa\vduseduj.vbs
%PROGRAM_FILES%\Compana\OldProa\hiltommilton.bat
%PROGRAM_FILES%\Compana\OldProa\Uninstall.ini
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\544[1]
%PROGRAM_FILES%\Compana\OldProa\batumisuhumi.bat
%PROGRAM_FILES%\Compana\OldProa\Uninstall.exe
%TEMP%\stpf.exe
%TEMP%\ext.exe
<Текущая директория>\s
<Текущая директория>\c
%TEMP%\crgg.exe
%TEMP%\$inst\2.tmp
%TEMP%\$inst\temp_0.tmp
%TEMP%\9da378cbd59e4473a1c1f8ce65f3e415
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\send[1].htm

Удаляет следующие файлы:

Изменяет файл HOSTS.

Сетевая активность:

Подключается к:

TCP:

Запросы HTTP GET:

UDP:

Другое:

Ищет следующие окна: