Trojan.DownLoader30.24450

Техническая информация

Вредоносные функции

Запускает на исполнение

'<SYSTEM32>\taskkill.exe' /im smss.exe /f
'<SYSTEM32>\taskkill.exe' /im sppsvd.exe /F

Изменения в файловой системе

Создает следующие файлы

%TEMP%\rarsfx0\1.bat
%TEMP%\rarsfx1\xulrunner\modules\debug.js
%TEMP%\rarsfx1\xulrunner\license
%TEMP%\rarsfx1\xulrunner\js3250.dll
%TEMP%\rarsfx1\xulrunner\js.exe
%TEMP%\rarsfx1\xulrunner\javaxpcomglue.dll
%TEMP%\rarsfx1\xulrunner\javaxpcom.jar
%TEMP%\rarsfx1\xulrunner\ia2marshal.dll
%TEMP%\rarsfx1\xulrunner\greprefs\xpinstall.js
%TEMP%\rarsfx1\xulrunner\greprefs\security-prefs.js
%TEMP%\rarsfx1\xulrunner\greprefs\all.js
%TEMP%\rarsfx1\xulrunner\freebl3.dll
%TEMP%\rarsfx1\xulrunner\freebl3.chk
%TEMP%\rarsfx1\xulrunner\dictionaries\en-us.dic
%TEMP%\rarsfx1\xulrunner\dictionaries\en-us.aff
%TEMP%\rarsfx1\xulrunner\dependentlibs.list
%TEMP%\rarsfx1\xulrunner\defaults\profile\us\chrome\usercontent-example.css
%TEMP%\rarsfx1\xulrunner\defaults\profile\us\localstore.rdf
%TEMP%\rarsfx1\xulrunner\modules\downloadlastdir.jsm
%TEMP%\rarsfx1\xulrunner\modules\downloadutils.jsm
%TEMP%\rarsfx1\xulrunner\nssutil3.dll
%TEMP%\rarsfx1\xulrunner\nssdbm3.dll
%TEMP%\rarsfx1\xulrunner\nssckbi.dll
%TEMP%\rarsfx1\xulrunner\nss3.dll
%TEMP%\rarsfx1\xulrunner\nspr4.dll
%TEMP%\rarsfx1\xulrunner\mozctlx.dll
%TEMP%\rarsfx1\xulrunner\mozctl.dll
%TEMP%\rarsfx1\xulrunner\modules\xpcomutils.jsm
%TEMP%\rarsfx1\xulrunner\components\xuldoc.xpt
%TEMP%\rarsfx1\xulrunner\modules\windowdraggingutils.jsm
%TEMP%\rarsfx1\xulrunner\modules\utils.js
%TEMP%\rarsfx1\xulrunner\modules\spatialnavigation.js
%TEMP%\rarsfx1\xulrunner\modules\pluralform.jsm
%TEMP%\rarsfx1\xulrunner\modules\placesdbutils.jsm
%TEMP%\rarsfx1\xulrunner\modules\microformats.js
%TEMP%\rarsfx1\xulrunner\modules\iso8601dateutils.jsm
%TEMP%\rarsfx1\xulrunner\defaults\profile\us\chrome\userchrome-example.css
%TEMP%\rarsfx1\xulrunner\defaults\profile\localstore.rdf
%TEMP%\rarsfx1\xulrunner\defaults\profile\chrome\usercontent-example.css
%TEMP%\rarsfx1\xulrunner\components\windowwatcher.xpt
%TEMP%\rarsfx1\xulrunner\components\windowds.xpt
%TEMP%\rarsfx1\xulrunner\components\widget.xpt
%TEMP%\rarsfx1\xulrunner\components\webshell_idls.xpt
%TEMP%\rarsfx1\xulrunner\components\webbrowser_core.xpt
%TEMP%\rarsfx1\xulrunner\components\webbrowserpersist.xpt
%TEMP%\rarsfx1\xulrunner\components\urlformatter.xpt
%TEMP%\rarsfx1\xulrunner\components\uriloader.xpt
%TEMP%\rarsfx1\xulrunner\components\update.xpt
%TEMP%\rarsfx1\xulrunner\components\unicharutil.xpt
%TEMP%\rarsfx1\xulrunner\components\uconv.xpt
%TEMP%\rarsfx1\xulrunner\components\txtsvc.xpt
%TEMP%\rarsfx1\xulrunner\components\txmgr.xpt
%TEMP%\rarsfx1\xulrunner\components\txexsltregexfunctions.js
%TEMP%\rarsfx1\xulrunner\components\xpcom_components.xpt
%TEMP%\rarsfx1\xulrunner\components\xpcom_ds.xpt
%TEMP%\rarsfx1\xulrunner\components\xpcom_base.xpt
%TEMP%\rarsfx1\xulrunner\components\xpcom_io.xpt
%TEMP%\rarsfx1\xulrunner\defaults\profile\chrome\userchrome-example.css
%TEMP%\rarsfx1\xulrunner\components\xpcom_system.xpt
%TEMP%\rarsfx1\xulrunner\defaults\pref\xulrunner.js
%TEMP%\rarsfx1\xulrunner\defaults\autoconfig\prefcalls.js
%TEMP%\rarsfx1\xulrunner\defaults\autoconfig\platform.js
%TEMP%\rarsfx1\xulrunner\crashreporter.ini
%TEMP%\rarsfx1\xulrunner\crashreporter.exe
%TEMP%\rarsfx1\xulrunner\components\zipwriter.xpt
%TEMP%\rarsfx1\xulrunner\mozcrt19.dll
%TEMP%\rarsfx1\xulrunner\platform.ini
%TEMP%\rarsfx1\xulrunner\components\xulapp_setup.xpt
%TEMP%\rarsfx1\xulrunner\components\xulapp.xpt
%TEMP%\rarsfx1\xulrunner\components\xpti.dat
%TEMP%\rarsfx1\xulrunner\components\xpinstall.xpt
%TEMP%\rarsfx1\xulrunner\components\xpconnect.xpt
%TEMP%\rarsfx1\xulrunner\components\xpcom_xpti.xpt
%TEMP%\rarsfx1\xulrunner\components\xpcom_thread.xpt
%TEMP%\rarsfx1\xulrunner\components\xultmpl.xpt
%TEMP%\rarsfx1\xulrunner\res\hiddenwindow.html
%TEMP%\14bcba.dmp
%TEMP%\rarsfx1\xulrunner\plugins\npnul32.dll
%TEMP%\rarsfx1\xulrunner\res\viewsource.css
%TEMP%\rarsfx1\xulrunner\res\ua.css
%TEMP%\rarsfx1\xulrunner\res\table-remove-row.gif
%TEMP%\rarsfx1\xulrunner\res\table-remove-row-hover.gif
%TEMP%\rarsfx1\xulrunner\res\table-remove-row-active.gif
%TEMP%\rarsfx1\xulrunner\res\table-remove-column.gif
%TEMP%\rarsfx1\xulrunner\res\table-remove-column-hover.gif
%TEMP%\rarsfx1\xulrunner\res\table-remove-column-active.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-row-before.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-row-before-hover.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-row-before-active.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-row-after.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-row-after-hover.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-row-after-active.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-column-before.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-column-before-active.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-column-before-hover.gif
%TEMP%\rarsfx1\xulrunner\res\wincharset.properties
%TEMP%\rarsfx1\xulrunner\smime3.dll
%TEMP%\dw.log
%TEMP%\rarsfx1\interop.shdocvw.dll
%TEMP%\rarsfx1\xulrunner\xulrunner.exe
%TEMP%\rarsfx1\xulrunner\xulrunner-stub.exe
%TEMP%\rarsfx1\xulrunner\xul.dll
%TEMP%\rarsfx1\xulrunner\xpt_link.exe
%TEMP%\rarsfx1\xulrunner\xpt_dump.exe
%TEMP%\rarsfx1\xulrunner\xpcshell.exe
%TEMP%\rarsfx1\xulrunner\plc4.dll
%TEMP%\rarsfx1\xulrunner\xpcom.dll
%TEMP%\rarsfx1\xulrunner\updater.exe
%TEMP%\rarsfx1\xulrunner\update.locale
%TEMP%\rarsfx1\xulrunner\ssl3.dll
%TEMP%\rarsfx1\xulrunner\sqlite3.dll
%TEMP%\rarsfx1\xulrunner\softokn3.dll
%TEMP%\rarsfx1\xulrunner\softokn3.chk
%TEMP%\rarsfx1\xulrunner\res\table-add-column-after.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-column-after-hover.gif
%TEMP%\rarsfx1\xulrunner\res\table-add-column-after-active.gif
%TEMP%\rarsfx1\xulrunner\res\entitytables\html40special.properties
%TEMP%\rarsfx1\xulrunner\res\entitytables\html40latin1.properties
%TEMP%\rarsfx1\xulrunner\res\editoroverride.css
%TEMP%\rarsfx1\xulrunner\res\dtd\xhtml11.dtd
%TEMP%\rarsfx1\xulrunner\res\dtd\mathml.dtd
%TEMP%\rarsfx1\xulrunner\res\designmode.css
%TEMP%\rarsfx1\xulrunner\res\contenteditable.css
%TEMP%\rarsfx1\xulrunner\res\charsetdata.properties
%TEMP%\rarsfx1\xulrunner\res\charsetalias.properties
%TEMP%\rarsfx1\xulrunner\res\broken-image.gif
%TEMP%\rarsfx1\xulrunner\res\arrowd.gif
%TEMP%\rarsfx1\xulrunner\res\arrow.gif
%TEMP%\rarsfx1\xulrunner\redit.exe
%TEMP%\rarsfx1\xulrunner\readme.txt
%TEMP%\rarsfx1\xulrunner\res\entitytables\htmlentityversions.properties
%TEMP%\rarsfx1\xulrunner\res\entitytables\mathml20.properties
%TEMP%\rarsfx1\xulrunner\res\entitytables\html40symbols.properties
%TEMP%\rarsfx1\xulrunner\res\entitytables\transliterate.properties
%TEMP%\rarsfx1\xulrunner\res\svg.css
%TEMP%\rarsfx1\xulrunner\res\fonts\mathfont.properties
%TEMP%\rarsfx1\xulrunner\res\quirk.css
%TEMP%\rarsfx1\xulrunner\res\mathml.css
%TEMP%\rarsfx1\xulrunner\res\loading-image.gif
%TEMP%\rarsfx1\xulrunner\res\language.properties
%TEMP%\rarsfx1\xulrunner\res\langgroups.properties
%TEMP%\rarsfx1\xulrunner\res\html.css
%TEMP%\rarsfx1\xulrunner\components\toolkitsearch.xpt
%TEMP%\rarsfx1\xulrunner\plds4.dll
%TEMP%\rarsfx1\xulrunner\res\grabber.gif
%TEMP%\rarsfx1\xulrunner\res\forms.css
%TEMP%\rarsfx1\xulrunner\res\fonts\mathfontunicode.properties
%TEMP%\rarsfx1\xulrunner\res\fonts\mathfontsymbol.properties
%TEMP%\rarsfx1\xulrunner\res\fonts\mathfontstixsize1.properties
%TEMP%\rarsfx1\xulrunner\res\fonts\mathfontstixnonunicode.properties
%TEMP%\rarsfx1\xulrunner\res\fonts\mathfontstandardsymbolsl.properties
%TEMP%\rarsfx1\xulrunner\res\html\folder.png
%TEMP%\rarsfx1\xulrunner\xpidl.exe
%TEMP%\rarsfx1\xulrunner\components\toolkitprofile.xpt
%TEMP%\rarsfx1\xulrunner\components\profile.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_storage.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_sidebar.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_range.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_offline.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_loadsave.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_json.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_html.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_geolocation.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_events.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_css.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_core.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_canvas.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_base.xpt
%TEMP%\rarsfx1\xulrunner\components\dom.xpt
%TEMP%\rarsfx1\xulrunner\components\docshell_base.xpt
%TEMP%\rarsfx1\xulrunner\components\cookie.xpt
%TEMP%\rarsfx1\xulrunner\components\directory.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_stylesheets.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_svg.xpt
%TEMP%\rarsfx1\xulrunner\components\find.xpt
%TEMP%\rarsfx1\xulrunner\components\feeds.xpt
%TEMP%\rarsfx1\xulrunner\components\feedprocessor.js
%TEMP%\rarsfx1\xulrunner\components\fastfind.xpt
%TEMP%\rarsfx1\xulrunner\components\exthelper.xpt
%TEMP%\rarsfx1\xulrunner\components\exthandler.xpt
%TEMP%\rarsfx1\xulrunner\components\extensions.xpt
%TEMP%\rarsfx1\xulrunner\components\editor.xpt
%TEMP%\rarsfx1\xulrunner\components\chrome.xpt
%TEMP%\rarsfx1\xulrunner\components\downloads.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_xul.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_xpath.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_xbl.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_views.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_traversal.xpt
%TEMP%\rarsfx1\xulrunner\components\dom_threads.xpt
%TEMP%\rarsfx1\xulrunner\components\content_xtf.xpt
%TEMP%\rarsfx1\xulrunner\components\content_xslt.xpt
%TEMP%\rarsfx1\xulrunner\components\content_xmldoc.xpt
%TEMP%\rarsfx1\xulrunner\chrome\pippki.jar
%TEMP%\rarsfx1\xulrunner\chrome\en-us.manifest
%TEMP%\rarsfx1\xulrunner\chrome\en-us.jar
%TEMP%\rarsfx1\xulrunner\chrome\comm.manifest
%TEMP%\rarsfx1\xulrunner\chrome\comm.jar
%TEMP%\rarsfx1\xulrunner\chrome\classic.manifest
%TEMP%\rarsfx1\xulrunner\chrome\classic.jar
%TEMP%\rarsfx1\xulrunner\accessiblemarshal.dll
%TEMP%\rarsfx1\smss.exe
%TEMP%\rarsfx1\skybound.gecko.xml
%TEMP%\rarsfx1\skybound.gecko.dll
%TEMP%\rarsfx1\interop.vbrun.dll
%TEMP%\rarsfx0\0.vbs
%TEMP%\rarsfx0\a\sppsvd.exe
%TEMP%\rarsfx1\xulrunner\chrome\toolkit.jar
%TEMP%\rarsfx1\xulrunner\chrome\toolkit.manifest
%TEMP%\rarsfx1\xulrunner\chrome\pippki.manifest
%TEMP%\rarsfx1\xulrunner\components\accessibility-msaa.xpt
%TEMP%\rarsfx1\xulrunner\components\content_htmldoc.xpt
%TEMP%\rarsfx1\xulrunner\components\accessibility.xpt
%TEMP%\rarsfx1\xulrunner\components\content_html.xpt
%TEMP%\rarsfx1\xulrunner\components\content_base.xpt
%TEMP%\rarsfx1\xulrunner\components\contentprefs.xpt
%TEMP%\rarsfx1\xulrunner\components\compreg.dat
%TEMP%\rarsfx1\xulrunner\components\composer.xpt
%TEMP%\rarsfx1\xulrunner\components\commandlines.xpt
%TEMP%\rarsfx1\xulrunner\components\embed_base.xpt
%TEMP%\rarsfx1\xulrunner\components\gfx.xpt
%TEMP%\rarsfx1\xulrunner\components\chardet.xpt
%TEMP%\rarsfx1\xulrunner\components\caps.xpt
%TEMP%\rarsfx1\xulrunner\components\autoconfig.xpt
%TEMP%\rarsfx1\xulrunner\components\autocomplete.xpt
%TEMP%\rarsfx1\xulrunner\components\appstartup.xpt
%TEMP%\rarsfx1\xulrunner\components\appshell.xpt
%TEMP%\rarsfx1\xulrunner\components\alerts.xpt
%TEMP%\rarsfx1\xulrunner\components\commandhandler.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_viewsource.xpt
%TEMP%\rarsfx1\xulrunner\components\storage-mozstorage.js
%TEMP%\rarsfx1\xulrunner\components\imglib2.xpt
%TEMP%\rarsfx1\xulrunner\components\nsxulappinstall.js
%TEMP%\rarsfx1\xulrunner\components\nswebhandlerapp.js
%TEMP%\rarsfx1\xulrunner\components\nsurlformatter.js
%TEMP%\rarsfx1\xulrunner\components\nsupdateservice.js
%TEMP%\rarsfx1\xulrunner\components\nstrytoclose.js
%TEMP%\rarsfx1\xulrunner\components\nstaggingservice.js
%TEMP%\rarsfx1\xulrunner\components\nssearchsuggestions.js
%TEMP%\rarsfx1\xulrunner\components\nssearchservice.js
%TEMP%\rarsfx1\xulrunner\components\nsproxyautoconfig.js
%TEMP%\rarsfx1\xulrunner\components\nsprogressdialog.js
%TEMP%\rarsfx1\xulrunner\components\nspostupdatewin.js
%TEMP%\rarsfx1\xulrunner\components\nsplacesdbflush.js
%TEMP%\rarsfx1\xulrunner\components\nsloginmanagerprompter.js
%TEMP%\rarsfx1\xulrunner\components\nsloginmanager.js
%TEMP%\rarsfx1\xulrunner\components\nslogininfo.js
%TEMP%\rarsfx1\xulrunner\components\nshelperappdlg.js
%TEMP%\rarsfx1\xulrunner\components\nslivemarkservice.js
%TEMP%\rarsfx1\xulrunner\components\oji.xpt
%TEMP%\rarsfx1\xulrunner\components\parentalcontrols.xpt
%TEMP%\rarsfx1\xulrunner\components\storage-legacy.js
%TEMP%\rarsfx1\xulrunner\components\spellchecker.xpt
%TEMP%\rarsfx1\xulrunner\components\shistory.xpt
%TEMP%\rarsfx1\xulrunner\components\saxparser.xpt
%TEMP%\rarsfx1\xulrunner\components\satchel.xpt
%TEMP%\rarsfx1\xulrunner\components\rdf.xpt
%TEMP%\rarsfx1\xulrunner\components\proxyobject.xpt
%TEMP%\rarsfx1\xulrunner\components\prefetch.xpt
%TEMP%\rarsfx1\xulrunner\components\htmlparser.xpt
%TEMP%\rarsfx1\xulrunner\components\pref.xpt
%TEMP%\rarsfx1\xulrunner\components\pluginglue.js
%TEMP%\rarsfx1\xulrunner\components\plugin.xpt
%TEMP%\rarsfx1\xulrunner\components\places.xpt
%TEMP%\rarsfx1\xulrunner\components\pippki.xpt
%TEMP%\rarsfx1\xulrunner\components\pipnss.xpt
%TEMP%\rarsfx1\xulrunner\components\pipboot.xpt
%TEMP%\rarsfx1\xulrunner\components\nshandlerservice.js
%TEMP%\rarsfx1\xulrunner\components\nsextensionmanager.js
%TEMP%\rarsfx1\xulrunner\components\nsdownloadmanagerui.js
%TEMP%\rarsfx1\xulrunner\components\mozbrwsr.xpt
%TEMP%\rarsfx1\xulrunner\components\mimetype.xpt
%TEMP%\rarsfx1\xulrunner\components\lwbrk.xpt
%TEMP%\rarsfx1\xulrunner\components\loginmgr.xpt
%TEMP%\rarsfx1\xulrunner\components\locale.xpt
%TEMP%\rarsfx1\xulrunner\components\layout_xul_tree.xpt
%TEMP%\rarsfx1\xulrunner\components\layout_xul.xpt
%TEMP%\rarsfx1\xulrunner\components\layout_printing.xpt
%TEMP%\rarsfx1\xulrunner\components\layout_base.xpt
%TEMP%\rarsfx1\xulrunner\components\jsdservice.xpt
%TEMP%\rarsfx1\xulrunner\components\jsconsole-clhandler.js
%TEMP%\rarsfx1\xulrunner\components\jar.xpt
%TEMP%\rarsfx1\xulrunner\components\intl.xpt
%TEMP%\rarsfx1\xulrunner\components\inspector.xpt
%TEMP%\rarsfx1\xulrunner\components\necko.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_about.xpt
%TEMP%\rarsfx1\xulrunner\components\mozfind.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_cache.xpt
%TEMP%\rarsfx1\xulrunner\components\nsdefaultclh.js
%TEMP%\rarsfx1\xulrunner\components\necko_cookie.xpt
%TEMP%\rarsfx1\xulrunner\components\nscontentprefservice.js
%TEMP%\rarsfx1\xulrunner\components\nscontentdispatchchooser.js
%TEMP%\rarsfx1\xulrunner\components\nsblocklistservice.js
%TEMP%\rarsfx1\xulrunner\components\nsbadcerthandler.js
%TEMP%\rarsfx1\xulrunner\components\nsaddonrepository.js
%TEMP%\rarsfx1\xulrunner\components\networkgeolocationprovider.js
%TEMP%\rarsfx1\xulrunner\components\storage.xpt
%TEMP%\rarsfx1\xulrunner\components\imgicon.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_strconv.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_socket.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_res.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_http.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_ftp.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_file.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_dns.xpt
%TEMP%\rarsfx1\xulrunner\components\necko_wifi.xpt
nul

Удаляет следующие файлы

%TEMP%\rarsfx0\0.vbs
%TEMP%\rarsfx0\1.bat
%TEMP%\rarsfx0\a\sppsvd.exe

Другое

Ищет следующие окна

ClassName: 'EDIT' WindowName: ''
ClassName: '' WindowName: ''

Создает и запускает на исполнение

'<SYSTEM32>\wscript.exe' "%TEMP%\RarSFX0\0.vbs"
'%TEMP%\rarsfx0\a\sppsvd.exe' /start
'%TEMP%\rarsfx1\smss.exe'
'%TEMP%\rarsfx0\a\sppsvd.exe' /start' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\1.bat" /start"' (со скрытым окном)

Запускает на исполнение

'%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 464
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\RarSFX0\1.bat" /start"
'<SYSTEM32>\ping.exe' -n 5 127.1

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней