Trojan.DownLoader26.39087

Техническая информация

Изменения в файловой системе:

Создает следующие файлы:

%TEMP%\RarSFX0\pmp_muxer_avc.exe
%TEMP%\RarSFX0\Real\nouse.ax
%TEMP%\RarSFX0\Real\Ocx\pncrt.dll
%TEMP%\RarSFX0\Real\Ocx\pndx5016.dll
%TEMP%\RarSFX0\Real\Ocx\pndx5032.dll
%TEMP%\RarSFX0\Real\Ocx\rmoc3260.dll
%TEMP%\RarSFX0\Real\plugins\hxsdp.dll
%TEMP%\RarSFX0\Real\plugins\rmwrtr.dll
%TEMP%\RarSFX0\Real\plugins\smplfsys.dll
%TEMP%\RarSFX0\Real\PmpSplitter.ax
%TEMP%\RarSFX0\Real\pncrt.dll
%TEMP%\RarSFX0\Real\RealInstall.bat
%TEMP%\RarSFX0\Real\tools\CodecMapping.txt
%TEMP%\RarSFX0\Real\msvcr71.dll
%TEMP%\RarSFX0\Real\msvcp71.dll
%TEMP%\RarSFX0\Real\RmvbAVC.dll
%TEMP%\RarSFX0\Real\RMVBJoin.dll
%TEMP%\RarSFX0\Real\RMVBSplit.dll
%TEMP%\RarSFX0\Real\tools\audiodelaycomp.dll
%TEMP%\RarSFX0\Real\tools\audiofmtconverter.dll
%TEMP%\RarSFX0\Real\tools\audiolimiter.dll
%TEMP%\RarSFX0\Real\tools\audiolosslesscodec.dll
%TEMP%\RarSFX0\Real\tools\audiometer.dll
%TEMP%\RarSFX0\Real\tools\audioresampler.dll
%TEMP%\RarSFX0\Real\tools\avireader.dll
%TEMP%\RarSFX0\Real\tools\capture.dll
%TEMP%\RarSFX0\Real\RealMediaSplitter1.ax
%TEMP%\RarSFX0\Real\RMSplt.ax
%TEMP%\RarSFX0\Real\AviSplitter.ax
%TEMP%\RarSFX0\Real\Realunstall.bat
%TEMP%\RarSFX0\Real\codecDe\ralf.dll
%TEMP%\RarSFX0\Real\codecDe\14_43260.dll
%TEMP%\RarSFX0\Real\codecDe\28_83260.dll
%TEMP%\RarSFX0\Real\codecDe\atrc.dll
%TEMP%\RarSFX0\Real\codecDe\cook.dll
%TEMP%\RarSFX0\Real\codecDe\cook3260.dll
%TEMP%\RarSFX0\Real\codecDe\ddnt3260.dll
%TEMP%\RarSFX0\Real\codecDe\dnet3260.dll
%TEMP%\RarSFX0\Real\codecDe\drv1.dll
%TEMP%\RarSFX0\Real\codecDe\drv2.dll
%TEMP%\RarSFX0\Real\codecDe\drvc.dll
%TEMP%\RarSFX0\Real\codecDe\hxltcolor.dll
%TEMP%\RarSFX0\Real\common\rembrdcst.dll
%TEMP%\RarSFX0\Real\helixprodctrl.dll
%TEMP%\RarSFX0\Real\divxdec.ax
%TEMP%\RarSFX0\Real\codecDe\rv20.dll
%TEMP%\RarSFX0\Real\codecDe\rv30.dll
%TEMP%\RarSFX0\Real\codecDe\rv40.dll
%TEMP%\RarSFX0\Real\codecDe\sipr.dll
%TEMP%\RarSFX0\Real\codecDe\sipr3260.dll
%TEMP%\RarSFX0\Real\codecs\colorcvt.dll
%TEMP%\RarSFX0\Real\codecs\cook.dll
%TEMP%\RarSFX0\Real\codecs\erv3.dll
%TEMP%\RarSFX0\Real\codecs\erv4.dll
%TEMP%\RarSFX0\Real\codecs\ralf.dll
%TEMP%\RarSFX0\Real\codecs\sipr.dll
%TEMP%\RarSFX0\Real\codecDe\raac.dll
%TEMP%\RarSFX0\Real\codecDe\rv10.dll
%TEMP%\RarSFX0\Real\avutil.dll
%TEMP%\RarSFX0\Real\tools\dsreader.dll
%TEMP%\RarSFX0\Real\tools\logmessages.xml
%TEMP%\RarSFX0\checkreg.dll
%TEMP%\RarSFX0\cygwin1.dll
%TEMP%\RarSFX0\DVDAudioRip.dll
%TEMP%\RarSFX0\dvdcoder.exe
%TEMP%\RarSFX0\DVDRead.dll
%TEMP%\RarSFX0\libiconv.dll
%TEMP%\RarSFX0\msvcp60.dll
%TEMP%\RarSFX0\pepavjoin.dll
%TEMP%\RarSFX0\pepavtool.dll
%TEMP%\RarSFX0\pic2m2v.dll
%TEMP%\{0C45199F-2B7A-4EA3-ACDA-C22CC6EE259E}.ssk
%TEMP%\RarSFX0\AVTools.dll
%TEMP%\RarSFX0\avutil.dll
%TEMP%\{C7D5992D-86A4-4B6C-B0A9-B599E24F889A}
%TEMP%\{9E071BA3-BEB2-4396-A9DB-2704C0B34322}.ssk
%TEMP%\{4C1CBCF9-621C-4DC2-9A4B-A12E78113BD3}
%TEMP%\{B1DFA768-815B-46C7-86AB-3839B29C1008}.ssk
%TEMP%\{3FA90B29-1194-49BD-B919-8C47929B7E80}
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\vercheck[1].htm
%TEMP%\51000_vercheck_2018-4-20.ini
%TEMP%\pepdecoderInstall.txt
<SYSTEM32>\Avisynth.dll
<SYSTEM32>\devil.dll
<SYSTEM32>\pncrt.dll
<SYSTEM32>\pndx5016.dll
%TEMP%\{68AAC572-9DC8-4955-9445-56DAF61BC4A2}.ssk
%TEMP%\{DB978E9F-DCC8-4005-968D-6152EC7D9F4F}
%TEMP%\RarSFX0\Real\tools\eventpack.dll
%TEMP%\RarSFX0\Real\tools\encsession.dll
%TEMP%\RarSFX0\avcodec.dll
%TEMP%\RarSFX0\Real\tools\logobserverfile.dll
%TEMP%\RarSFX0\Real\tools\mediasink.dll
%TEMP%\RarSFX0\Real\tools\movreader.dll
%TEMP%\RarSFX0\Real\tools\mpeg4audiopacketizer.dll
%TEMP%\RarSFX0\Real\tools\packetsource.dll
%TEMP%\RarSFX0\Real\tools\qtreader.dll
%TEMP%\RarSFX0\Real\tools\rbsbroadcast.dll
%TEMP%\RarSFX0\Real\tools\rmmerge.dll
%TEMP%\RarSFX0\Real\tools\rmsessionformat.dll
%TEMP%\RarSFX0\Real\tools\rmtools.dll
%TEMP%\RarSFX0\avformat.dll
%TEMP%\RarSFX0\Real\tools\log.dll
%TEMP%\RarSFX0\AVPlayer.dll
%TEMP%\RarSFX0\Real\tools\rmwriter.dll
%TEMP%\RarSFX0\Real\tools\rnvideopacketizer.dll
%TEMP%\RarSFX0\Real\tools\videocolorconverter.dll
%TEMP%\RarSFX0\Real\tools\videodupframedropper.dll
%TEMP%\RarSFX0\Real\tools\videolumaadj.dll
%TEMP%\RarSFX0\Real\tools\videonoisefilter.dll
%TEMP%\RarSFX0\Real\tools\videoprogressive.dll
%TEMP%\RarSFX0\Real\tools\videoresizer.dll
%TEMP%\RarSFX0\Real\tools\wavreader.dll
%TEMP%\RarSFX0\ui\background.bmp
%TEMP%\RarSFX0\ui\musicground.bmp
%TEMP%\RarSFX0\Real\tools\rnaudiocodec.dll
%TEMP%\RarSFX0\Real\tools\rnaudiopacketizer.dll
%TEMP%\RarSFX0\Real\tools\rnvideocodec.dll
%TEMP%\RarSFX0\Real\avformat.dll
%TEMP%\RarSFX0\Real\avcodec.dll
%TEMP%\RarSFX0\Real\audiences\PocketPC Local Playback.rpad
%TEMP%\RarSFX0\all\ipod.pf
%TEMP%\RarSFX0\all\ipod80.pf
%TEMP%\RarSFX0\all\iPodtouch_mp4.pf
%TEMP%\RarSFX0\all\iPodtouch_mp4_ext.pf
%TEMP%\RarSFX0\all\iPodtouch_mp4_widescreen.pf
%TEMP%\RarSFX0\all\m4a.pf
%TEMP%\RarSFX0\all\mov.pf
%TEMP%\RarSFX0\all\mp2.pf
%TEMP%\RarSFX0\all\mp3.pf
%TEMP%\RarSFX0\all\mp4.pf
%TEMP%\RarSFX0\all\mp4_zune.pf
%TEMP%\RarSFX0\all\iPhone_mp4_ext.pf
%TEMP%\RarSFX0\all\ra.pf
%TEMP%\RarSFX0\all\iPhone_mp4.pf
%TEMP%\RarSFX0\all\mpeg4h264.pf
%TEMP%\RarSFX0\all\mpeg4h264_zune.pf
%TEMP%\RarSFX0\all\ogg.pf
%TEMP%\RarSFX0\all\ps3_1080p.pf
%TEMP%\RarSFX0\all\ps3_720p.pf
%TEMP%\RarSFX0\all\ps3_high.pf
%TEMP%\RarSFX0\all\ps3_low.pf
%TEMP%\RarSFX0\all\psp.pf
%TEMP%\RarSFX0\all\psph264.pf
%TEMP%\RarSFX0\all\psph264ext.pf
%TEMP%\RarSFX0\all\psp_avc480p.pf
%TEMP%\RarSFX0\all\mpeg1.pf.pf
%TEMP%\RarSFX0\all\MPEG-1(320x240).pf
%TEMP%\RarSFX0\all\mpeg2.pf
%TEMP%\RarSFX0\all\dvd(PAL).pf
%TEMP%\RarSFX0\all\AppleTV_High.pf
%TEMP%\RarSFX0\ResourceHandler.dll
%TEMP%\RarSFX0\rmconhelp.dll
%TEMP%\RarSFX0\sdl.dll
%TEMP%\RarSFX0\SETUP.dll
%TEMP%\RarSFX0\videoJoiner.exe
%TEMP%\RarSFX0\xvidcore.dll
%TEMP%\RarSFX0\all\3gpp.pf
%TEMP%\RarSFX0\all\3gpp2.pf
%TEMP%\RarSFX0\all\aac.pf
%TEMP%\RarSFX0\all\ac3.pf
%TEMP%\RarSFX0\all\AppleTV_h264.pf
%TEMP%\RarSFX0\all\flv.pf
%TEMP%\RarSFX0\all\rm.pf
%TEMP%\RarSFX0\popcorn.dll
%TEMP%\RarSFX0\all\AppleTV_low.pf
%TEMP%\RarSFX0\all\AppleTV_Normal.pf
%TEMP%\RarSFX0\all\asf.pf
%TEMP%\RarSFX0\all\au.pf
%TEMP%\RarSFX0\all\avi.pf
%TEMP%\RarSFX0\all\BlackBerry_3gp.pf
%TEMP%\RarSFX0\all\BlackBerry_amr.pf
%TEMP%\RarSFX0\all\BlackBerry_avi.pf
%TEMP%\RarSFX0\all\BlackBerry_mp4.pf
%TEMP%\RarSFX0\all\divx.pf
%TEMP%\RarSFX0\all\dvd(NTSC).pf
%TEMP%\RarSFX0\all\AppleTV_h264_720p.pf
%TEMP%\RarSFX0\all\AppleTV_h264_480p.pf
%TEMP%\RarSFX0\all\iPhone_mp4_widescreen.pf
%TEMP%\RarSFX0\all\RMVB.pf
%TEMP%\RarSFX0\Real\audiences\2M Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\2M Surround Stereo (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\350k Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\350k Multichannel (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\350k Surround Stereo (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\384k DSL or Cable.rpad
%TEMP%\RarSFX0\Real\audiences\450k Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\450k Multichannel (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\450k Surround Stereo (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\512k DSL or Cable.rpad
%TEMP%\RarSFX0\Real\audiences\56k Dial-up.rpad
%TEMP%\RarSFX0\Real\audiences\28k Dial-up.rpad
%TEMP%\RarSFX0\Real\audiences\256k DSL or Cable.rpad
%TEMP%\RarSFX0\Real\audiences\2M Multichannel (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\5M Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\70% Quality Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\750k Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\750k Multichannel (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\750k Surround Stereo (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\768k DSL or Cable.rpad
%TEMP%\RarSFX0\Real\audiences\80% Quality Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\90% Quality Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\General Mobile Local Playback.rpad
%TEMP%\RarSFX0\Real\audiences\General Mobile Streaming.rpad
%TEMP%\RarSFX0\Real\audiences\Lossless Audio.rpad
%TEMP%\RarSFX0\Real\audiences\5M Multichannel (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\5M Surround Stereo (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\64k Single ISDN.rpad
%TEMP%\RarSFX0\Real\audiences\26k Substream for 56k Dial-up.rpad
%TEMP%\RarSFX0\Real\audiences\1M Surround Stereo (VBR).rpad
%TEMP%\RarSFX0\all\svcd(ntsc).pf
%TEMP%\RarSFX0\all\swf.pf
%TEMP%\RarSFX0\all\vcd(ntsc).pf
%TEMP%\RarSFX0\all\vcd(pal).pf
%TEMP%\RarSFX0\all\vob.pf
%TEMP%\RarSFX0\all\wav.pf
%TEMP%\RarSFX0\all\wma.pf
%TEMP%\RarSFX0\all\wmv.pf
%TEMP%\RarSFX0\all\wmv_zune.pf
%TEMP%\RarSFX0\all\xvid.pf
%TEMP%\RarSFX0\Avisynth\avisynth.dll
%TEMP%\RarSFX0\Avisynth\avisynth.reg
%TEMP%\RarSFX0\Avisynth\avisynthInstall.bat
%TEMP%\RarSFX0\all\svcd(pal).pf
%TEMP%\RarSFX0\Avisynth\devil.dll
%TEMP%\RarSFX0\Avisynth\plugins\DirectShowSource.dll
%TEMP%\RarSFX0\Avisynth\plugins\TCPDeliver.dll
%TEMP%\RarSFX0\LANG\pepsky.txt
%TEMP%\RarSFX0\LANG\regcheck.txt
%TEMP%\RarSFX0\LANG\videoJoiner.TXT
%TEMP%\RarSFX0\Real\audiences\100% Quality Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\128k Dual ISDN.rpad
%TEMP%\RarSFX0\Real\audiences\12k Substream for 28k Dial-up.rpad
%TEMP%\RarSFX0\Real\audiences\150k LAN.rpad
%TEMP%\RarSFX0\Real\audiences\16k Substream for 28k Dial-up.rpad
%TEMP%\RarSFX0\Real\audiences\1M Download (VBR).rpad
%TEMP%\RarSFX0\Real\audiences\1M Multichannel (VBR).rpad
%TEMP%\RarSFX0\Avisynth\plugins\colors_rgb.avsi
<SYSTEM32>\pndx5032.dll
<SYSTEM32>\rmoc3260.dll

Удаляет следующие файлы:

%TEMP%\{C7D5992D-86A4-4B6C-B0A9-B599E24F889A}
%TEMP%\{0C45199F-2B7A-4EA3-ACDA-C22CC6EE259E}.ssk
%TEMP%\{DB978E9F-DCC8-4005-968D-6152EC7D9F4F}
%TEMP%\{68AAC572-9DC8-4955-9445-56DAF61BC4A2}.ssk
%TEMP%\{4C1CBCF9-621C-4DC2-9A4B-A12E78113BD3}
%TEMP%\{9E071BA3-BEB2-4396-A9DB-2704C0B34322}.ssk
%TEMP%\{3FA90B29-1194-49BD-B919-8C47929B7E80}
%TEMP%\{B1DFA768-815B-46C7-86AB-3839B29C1008}.ssk

Сетевая активность:

Подключается к:

'localhost':1036
'pe##ky.com':80

TCP:

Запросы HTTP GET:

http://www.pe##ky.com/vercheck.htm via pe##ky.com

UDP:

DNS ASK www.pe##ky.com

Другое:

Ищет следующие окна:

ClassName: 'EDIT' WindowName: ''
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebcheckMonitor' WindowName: ''
ClassName: 'RegEdit_RegEdit' WindowName: ''

Создает и запускает на исполнение:

'%TEMP%\RarSFX0\videoJoiner.exe'

Запускает на исполнение:

'<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\Avisynth\avisynthInstall.bat" "
'%WINDIR%\regedit.exe' /s avisynth.reg
'<SYSTEM32>\cmd.exe' /c xcopy "%TEMP%\RarSFX0\real\ocx" <SYSTEM32> /s/e/i/y
'<SYSTEM32>\xcopy.exe' "%TEMP%\RarSFX0\real\ocx" <SYSTEM32> /s/e/i/y

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней