Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader30.34779
Добавлен в вирусную базу Dr.Web:
2019-11-03
Описание добавлено:
2019-11-06
Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие файлы на съемном носителе
<Имя диска съемного носителя>:\revengerat\chrome.exe
<Имя диска съемного носителя>:\correct.avi
<Имя диска съемного носителя>:\correct.avi.exe
<Имя диска съемного носителя>:\join.avi
<Имя диска съемного носителя>:\join.avi.exe
<Имя диска съемного носителя>:\delete.avi
<Имя диска съемного носителя>:\delete.avi.exe
<Имя диска съемного носителя>:\split.avi
<Имя диска съемного носителя>:\dashborder_192.bmp
Вредоносные функции
Внедряет код в
следующие системные процессы:
%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Изменения в файловой системе
Сетевая активность
Подключается к
'os####014.ddns.net':5550
UDP
DNS ASK os####014.ddns.net
Другое
Создает и запускает на исполнение
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\dl0fcja2.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\nofhn5el.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES641B.tmp" "%TEMP%\vbc718165E9760E45A98EEDCC6E818A5CAC.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\rqzztsei.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES60CF.tmp" "%TEMP%\vbc588733854A9A4F3F974E233168A7DC99.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\nirwoejg.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5304.tmp" "%TEMP%\vbc637438621890410B98DC5C652AB624B2.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\02hc3r2e.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4E7F.tmp" "%TEMP%\vbc3E74EA9721EA442DAFB6DE713CBF51F1.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\u0yuhmw5.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4A69.tmp" "%TEMP%\vbcEB9EAE9C454F4A7FBE3930B7242876D1.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\ifkivdu0.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES14CD.tmp" "%TEMP%\vbc64DBBC05250F4AC3BCE96249E8232C55.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES478A.tmp" "%TEMP%\vbc5EC9F6236574230B8926BAEEFE490DB.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES443E.tmp" "%TEMP%\vbcEB9AD35E4E294AA7946A129D8E9CAEE6.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\dijbkd21.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4112.tmp" "%TEMP%\vbcABAB7C0613BD422EA5ADBFEF16EA2393.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\bhd0tgaz.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3E24.tmp" "%TEMP%\vbcF7A9F0EA3F5B45DCB2B6504313FEE1AA.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\y1qbxkrl.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3B07.tmp" "%TEMP%\vbc9E0E64CCCE254AB8B4577EED4A52E26A.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\h4bugm0b.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES37AC.tmp" "%TEMP%\vbcCC5A2865500A4227B0CD57849B48D6B9.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\g4hf5mvb.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES347F.tmp" "%TEMP%\vbcF864BE61ED0246DCA915F472B1DB23.TMP"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\m1auj0ga.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\kk00kmuh.cmdline"' (со скрытым окном)
Запускает на исполнение
'%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\nofhn5el.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES641B.tmp" "%TEMP%\vbc718165E9760E45A98EEDCC6E818A5CAC.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\rqzztsei.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES60CF.tmp" "%TEMP%\vbc588733854A9A4F3F974E233168A7DC99.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\nirwoejg.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES5304.tmp" "%TEMP%\vbc637438621890410B98DC5C652AB624B2.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\02hc3r2e.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4E7F.tmp" "%TEMP%\vbc3E74EA9721EA442DAFB6DE713CBF51F1.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\u0yuhmw5.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4A69.tmp" "%TEMP%\vbcEB9EAE9C454F4A7FBE3930B7242876D1.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\ifkivdu0.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES478A.tmp" "%TEMP%\vbc5EC9F6236574230B8926BAEEFE490DB.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\m1auj0ga.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES443E.tmp" "%TEMP%\vbcEB9AD35E4E294AA7946A129D8E9CAEE6.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\dijbkd21.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4112.tmp" "%TEMP%\vbcABAB7C0613BD422EA5ADBFEF16EA2393.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\bhd0tgaz.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3E24.tmp" "%TEMP%\vbcF7A9F0EA3F5B45DCB2B6504313FEE1AA.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\y1qbxkrl.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3B07.tmp" "%TEMP%\vbc9E0E64CCCE254AB8B4577EED4A52E26A.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\h4bugm0b.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES37AC.tmp" "%TEMP%\vbcCC5A2865500A4227B0CD57849B48D6B9.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\g4hf5mvb.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES347F.tmp" "%TEMP%\vbcF864BE61ED0246DCA915F472B1DB23.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\dl0fcja2.cmdline"
'%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES14CD.tmp" "%TEMP%\vbc64DBBC05250F4AC3BCE96249E8232C55.TMP"
'%WINDIR%\microsoft.net\framework\v4.0.30319\vbc.exe' /noconfig @"%TEMP%\kk00kmuh.cmdline"
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK