Trojan.DownLoader6.26661

Техническая информация

Вредоносные функции:

Создает и запускает на исполнение:

<SYSTEM32>\msdmo1.exe

Запускает на исполнение:

<SYSTEM32>\ntvdm.exe -f -i1
<SYSTEM32>\ipconfig.exe /flushdns

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\Temp\scs2.tmp
%TEMP%\~unins6468.bat
%WINDIR%\Temp\scs1.tmp
<SYSTEM32>\msdmo1.exe
%HOMEPATH%xplore.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<SYSTEM32>\msdmo1.exe

Удаляет следующие файлы:

<SYSTEM32>\Restore\MachineGuid.txt
%WINDIR%\Temp\scs2.tmp
%WINDIR%\Temp\scs1.tmp

Самоудаляется.

Сетевая активность:

Подключается к:

'im###hut4.cn':80
'mi####christ.com':80

TCP:

Запросы HTTP GET:

im###hut4.cn/update/utu.dat

UDP:

DNS ASK im###hut4.cn
DNS ASK mi####christ.com

Другое:

Ищет следующие окна:

ClassName: 'Nmrwyoe. Gkyhki' WindowName: 'Heneegfxb Osdnmyqf'
ClassName: 'Wdjul Wpxyo, Qf' WindowName: 'Xllrof, Vgmtat. Kir'
ClassName: 'Jbxbxym, Vxhlbc' WindowName: 'Pvbltjmv. Bwprxn P'
ClassName: 'Xcnvwtrp. Xnfuxi F' WindowName: 'Nkqnnw Rsuwlf Pq'
ClassName: 'Jdlspd. Nim Afu' WindowName: 'Kvtlswf Rqupdr Cc'
ClassName: 'Poar. Vv' WindowName: 'Poar. Vv'
ClassName: 'Eds. Gj, Xxjsg Fr' WindowName: 'Sybs Kkwc Sklm, H'
ClassName: 'Mqwvqawat Onvl, Mb' WindowName: 'Frfoffpi, Dinhj'
ClassName: 'Yxitsolt Tvaxhf' WindowName: 'Pdvmfkc Wkwga Jci'
ClassName: 'Jwila, Lcy, Nqmp' WindowName: 'Vtcjah Aoosg Rcstla'
ClassName: 'Hbrceqvayh Xgbvpck' WindowName: 'Gxyp. Pxbf. Ahx'
ClassName: 'Dorlda Epgi, Rsgflv' WindowName: 'Khdvrhl Miie Quv, W'
ClassName: 'Apvben Qhje Lnti' WindowName: 'Pvqfxnv Vsl. Slcnx'
ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-a60.a64.380001'
ClassName: 'Rpocey Ei. Rpiv' WindowName: 'Csyxujhof. Ssoq. H'
ClassName: 'Djkgj, Yfwii Mi' WindowName: 'Jllqcgqun Op, Gvv'
ClassName: 'Gqntt Jjmoaiko, P' WindowName: 'Srbmhl. Awxqcwx'
ClassName: 'Hayx Xjs Vixgpue' WindowName: 'Bikro, Gpiicn W'
ClassName: 'Adebib, Jsllpi Hpy' WindowName: 'Igvusyhp Voqjk D'
ClassName: 'Fjouujhvi Lflve' WindowName: 'Rgqxjkncm Issq, T'
ClassName: 'Aep. Jlmsmwv, Qg' WindowName: 'Qenrqgno Unus W'
ClassName: 'Qad. Vvtyelrog Gg' WindowName: 'Rpvoph. Cqn. Qjjul'
ClassName: 'Asbkajlm, Trlk, Qs' WindowName: 'Offsfww Qonja Kut'
ClassName: 'Kkpllrca, Jkpy Rps' WindowName: 'Aaun Giqafg, Jhvmgq'
ClassName: 'Xvjjnqrl Kymta, O' WindowName: 'Eqfipoh Kktkyn Puo'
ClassName: 'Ykcwh Hfxuxn, Ipw' WindowName: 'Gqcefojydd Lbsfu'
ClassName: 'Obnerkjjt, Nnpxq' WindowName: 'Bhhp. Vnocjnv Uau'
ClassName: 'Biaht. Jdxf, Ujwur' WindowName: 'Ycwxqhokcet Dofkn'
ClassName: 'Ptajklgf Wggdy Btpe' WindowName: 'Odsdmb Thouhu He'
ClassName: 'Paronna, Ksnc. Ay' WindowName: 'Pvprr Jtr, Pdus Wdk'
ClassName: 'Raficwr Ebakkb Sgxs' WindowName: 'Jhhwchp Xasqdi, Jxr'
ClassName: 'Cdjk. Pvihg, Ckgt' WindowName: 'Xysnb, Phk, Dmds'
ClassName: 'Yganoeag Pdnuj Msi' WindowName: 'Kaqiscbxlka Uxfo'
ClassName: 'Yjpw, Lpmhmldx Voya' WindowName: 'Uucv, Ubodk Nxtgiuw'
ClassName: 'Ltuofr Tqlbb Cm' WindowName: 'Aixuf Kmcxt Xcvu'
ClassName: 'Ptbpbvxq Mwq, Se' WindowName: 'Cpomcjhl Pwq Ovp'
ClassName: 'Pyri. Vaejgtn Uurwq' WindowName: 'Tcwa Hmksdx Liae'
ClassName: 'Lmammve. Ywcxuvf M' WindowName: 'Tjkm. Mc. Tgsh. N'
ClassName: 'Widby. Dtyuhpsr' WindowName: 'Wgyhhrrera. Lkfhs'
ClassName: 'Lpmbkr Vmirqmr Iogu' WindowName: 'Chpji, Lpxm. Ibq'

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android