Trojan.PWS.Spy.14337

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\f5a698ed\X'

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\.afd] 'ImagePath' = '\?'

Вредоносные функции:

Создает и запускает на исполнение:

<LS_APPDATA>\f5a698ed\X

Внедряет код в

следующие системные процессы:

%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

<LS_APPDATA>\f5a698ed\@
<LS_APPDATA>\f5a698ed\X
%WINDIR%\$NtUninstallKB37556$\4121336045\L\alehhooo
%WINDIR%\$NtUninstallKB37556$\4121336045\@

Сетевая активность:

Подключается к:

'94.##.46.111':21810
'18#.#.74.211':21810
'18#.#60.14.24':21810
'79.##5.70.202':21810
'20#.#14.225.202':21810
'11#.#7.172.117':21810
'20#.#1.10.49':21810
'11#.#04.55.68':21810
'19#.#39.95.196':21810
'66.#6.81.94':21810
'95.##4.46.178':21810
'13#.#89.243.6':21810
'91.##5.150.36':21810
'94.##1.239.138':21810
'71.##.60.102':21810
'11#.#03.122.69':21810
'18#.#15.143.52':21810
'11#.#97.5.165':21810
'59.##.255.128':21810
'10#.#51.18.125':21810
'24.##2.200.67':21810
'78.##.129.193':21810
'68.##.237.135':21810
'18#.#41.129.57':21810
'20#.#17.39.45':21810
'39.##1.79.79':21810
'18#.#4.68.222':21810
'20#.#48.44.103':21810
'13#.#4.201.15':21810
'11#.#41.37.204':21810
'79.##6.32.203':21810
'18#.#1.115.79':21810
'18#.#29.251.208':21810
'84.##2.182.115':21810
'95.##6.44.17':21810
'1.##.72.216':21810
'19#.#51.150.123':21810
'94.##.236.147':21810
'86.##4.50.13':21810
'79.##9.189.83':21810
'11#.#86.173.12':21810
'77.#8.109.2':21810
'42.#.200.127':21810
'62.##.111.16':21810
'92.##9.138.219':21810
'20#.#2.156.147':21810
'21#.#10.86.146':21810
'11#.#42.151.14':21810
'24.#8.5.85':21810
'17#.#3.125.90':21810
'11#.#19.196.139':21810
'46.##6.20.211':21810
'21#.#88.68.133':21810
'94.##.70.208':21810
'10.##7.35.192':21810
'93.##3.189.3':21810
'39.##9.103.82':21810
'18#.#5.153.163':21810
'12#.#37.72.122':21810
'1.##.233.93':21810
'10.#91.6.41':21810
'21#.#.136.167':21810
'21#.#0.32.216':21810
'95.##3.41.59':21810
'58.##3.143.105':21810
'12#.#23.165.227':21810
'79.##6.205.110':21810
'18#.#26.19.70':21810
'80.##1.192.123':21810
'19#.#77.142.226':21810
'12#.#22.91.39':21810
'18#.#2.211.116':21810
'20#.#49.17.91':21810
'11#.#9.50.92':21810
'14.##9.141.92':21810
'17#.#1.237.136':21810
'17#.#59.199.250':21810
'10#.#42.100.193':21810
'19#.#8.247.46':21810
'11#.#24.82.42':21810
'75.##3.37.95':21810
'18#.#3.255.92':21810
'46.##4.165.189':21810
'92.##1.227.170':21810
'11#.#41.152.253':21810
'18#.#37.188.77':21810
'11#.#97.187.6':21810
'89.#9.22.64':21810
'46.##7.96.208':21810
'21#.#97.142.188':21810
'21#.#3.89.124':21810
'76.##.21.197':21810
'95.#9.216.1':21810
'95.#05.10.9':21810
'87.##8.159.213':21810
'95.##.202.60':21810
'19#.#.182.189':21810
'10#.#05.188.57':21810
'79.##8.219.137':21810
'18#.#12.108.60':21810
'41.##1.79.20':21810
'79.##5.192.245':21810
'89.##2.184.51':21810
'79.##6.101.136':21810
'95.#6.200.2':21810
'92.##.19.213':21810
'86.#08.36.8':21810
'83.##3.244.185':21810
'11#.#4.129.19':21810
'11#.#84.12.105':21810
'10.##4.109.102':21810
'20#.#18.227.53':21810
'18#.#9.97.243':21810
'82.#3.22.67':21810
'18#.#14.27.56':21810
'72.##1.247.232':21810
'46.##4.129.55':21810
'89.##4.93.53':21810
'21#.#0.228.80':21810
'18#.#7.103.162':21810
'11#.#41.234.161':21810
'19#.77.50.2':21810
'95.##.61.240':21810
'59.#5.35.50':21810
'79.##4.252.76':21810
'93.##.19.146':21810
'95.##6.54.203':21810
'2.###.192.87':21810
'83.##3.207.139':21810
'19#.#05.154.210':80
'42.##1.57.45':21810
'11#.#03.200.154':21810
'14.#7.51.60':21810
'62.##.102.30':21810
'17#.#26.233.17':21810
'95.##.41.106':21810
'67.##2.179.235':21810
'69.##6.137.84':21810
'21#.#2.205.66':21810
'89.##2.58.163':21810
'95.##.120.176':21810
'85.##6.180.21':21810
'85.##.64.116':21810
'46.##7.100.114':21810
'11#.#40.228.242':21810
'72.##0.201.155':21810
'98.##4.72.120':21810
'24.##9.253.248':21810
'11#.#9.131.58':21810
'20#.#92.230.208':21810
'19#.#89.33.75':21810
'89.##.122.51':21810
'59.##.120.101':21810
'79.##8.200.142':21810
'18#.#65.124.23':21810
'76.##9.43.102':21810
'82.#8.36.60':21810
'11#.#93.132.105':21810
'20#.#48.46.118':21810
'83.##6.226.152':21810
'85.##.240.243':21810
'46.##.51.130':21810
'19#.#94.49.194':21810
'97.##.203.72':21810
'10#.#13.64.66':21810
'79.##5.187.129':21810
'18#.#4.19.248':21810
'46.#2.86.53':21810
'19#.#99.97.54':21810
'78.##9.181.26':21810
'79.##3.24.52':21810
'93.##7.174.177':21810
'46.#2.80.92':21810
'11#.#24.216.67':21810
'69.##2.254.99':21810
'58.##3.26.182':21810
'18#.#26.78.79':21810
'94.##3.228.113':21810
'18#.#4.123.70':21810
'20#.#6.177.4':21810
'21#.#9.100.234':21810
'64.##.23.228':21810
'86.##6.0.193':21810
'18#.#64.139.102':21810
'19#.#40.152.248':21810
'11#.#34.188.56':21810
'18#.#04.241.227':21810
'11#.#03.232.72':21810
'79.##2.192.187':21810
'18#.#54.4.136':21810
'19#.#6.90.38':21810
'18#.#22.246.112':21810
'85.##6.118.69':21810

TCP:

Запросы HTTP GET:

19#.#05.154.210/bad.php?w=###################################################
19#.#05.154.210/stat2.php?w=#################################################
19#.#05.154.210/stat2.php?w=################################################

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play

Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

Получить скидку

Скачайте
Dr.Web для Android

Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через
AppGallery/Google Pay

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней