Trojan.DownLoader6.63737

Техническая информация

Для обеспечения автозапуска и распространения:

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\MCIDRV_2600_6_0] 'Start' = '00000002'

Вредоносные функции:

Для затруднения выявления своего присутствия в системе

блокирует:

Средство контроля пользовательских учетных записей (UAC)

Создает и запускает на исполнение:

%TEMP%\~1475b8.tmp
%TEMP%\~ce9c4.tmp
%TEMP%\~16f29c.tmp
%TEMP%\~1dff0a.tmp
%TEMP%\~933b4.tmp
%TEMP%\~220bd0.tmp
%TEMP%\~16b386.tmp
%TEMP%\~1271e8.tmp
%TEMP%\~18dcbc.tmp
%TEMP%\~1b6559.tmp
%TEMP%\~a656d.tmp
%TEMP%\~205a96.tmp
%TEMP%\~2afed6.tmp
%TEMP%\~5073a.tmp
%TEMP%\~196b8a.tmp
%TEMP%\~290ad.tmp
%TEMP%\~197d3c.tmp
%TEMP%\~1e06c0.tmp
%TEMP%\~e5914.tmp
%TEMP%\~197882.tmp
%TEMP%\~4ce78.tmp
%TEMP%\~115a13.tmp
%TEMP%\~15e277.tmp
%TEMP%\~ddcb3.tmp
%TEMP%\~9acaa.tmp
%TEMP%\~b41c2.tmp
%TEMP%\~1b79d1.tmp
%TEMP%\~daf68.tmp
%TEMP%\~4dc61.tmp
%TEMP%\~99f1e.tmp
%TEMP%\~1624b0.tmp
%TEMP%\~32626.tmp
%TEMP%\~e4c15.tmp
%TEMP%\~1b2f1c.tmp
%TEMP%\~4c83c.tmp
%TEMP%\~1bfa10.tmp
%TEMP%\~11ae5e.tmp
%TEMP%\~1f6220.tmp
%TEMP%\~1b8c1e.tmp
%TEMP%\~19aa96.tmp
%TEMP%\~bd372.tmp
%TEMP%\~119f88.tmp
%TEMP%\~3a1b0.tmp
%TEMP%\~1cf320.tmp
%TEMP%\~1d1f10.tmp
%TEMP%\~12d6f8.tmp
%TEMP%\~185c8c.tmp

Изменения в файловой системе:

Создает следующие файлы:

%TEMP%\~ce9c4.tmp
%TEMP%\~220bd0.tmp
%TEMP%\~1b6559.tmp
%TEMP%\~933b4.tmp
%TEMP%\~16f29c.tmp
%TEMP%\~1475b8.tmp
%TEMP%\~1271e8.tmp
%TEMP%\~ddcb3.tmp
%TEMP%\~19aa96.tmp
%TEMP%\~a656d.tmp
%TEMP%\~18dcbc.tmp
%TEMP%\~16b386.tmp
%TEMP%\~1dff0a.tmp
%TEMP%\~2afed6.tmp
%TEMP%\~5073a.tmp
%TEMP%\~1e06c0.tmp
%TEMP%\~290ad.tmp
%TEMP%\~197d3c.tmp
%TEMP%\~196b8a.tmp
%TEMP%\~e5914.tmp
%TEMP%\~197882.tmp
%TEMP%\~205a96.tmp
%TEMP%\~115a13.tmp
%TEMP%\~15e277.tmp
%TEMP%\~4ce78.tmp
%TEMP%\~b41c2.tmp
%TEMP%\~99f1e.tmp
%TEMP%\~1b2f1c.tmp
%TEMP%\~4dc61.tmp
%TEMP%\~1b79d1.tmp
%TEMP%\~9acaa.tmp
%TEMP%\~32626.tmp
<SYSTEM32>\kh127751.dll
<SYSTEM32>\kh127751.dl_
%TEMP%\~4c83c.tmp
%TEMP%\~e4c15.tmp
%TEMP%\~1624b0.tmp
%TEMP%\~daf68.tmp
%TEMP%\~1f6220.tmp
%TEMP%\~119f88.tmp
%TEMP%\~12d6f8.tmp
%TEMP%\~bd372.tmp
%TEMP%\~1b8c1e.tmp
%TEMP%\~11ae5e.tmp
%TEMP%\~1cf320.tmp
%TEMP%\~1bfa10.tmp
<DRIVERS>\emrogn.sys
%TEMP%\~185c8c.tmp
%TEMP%\~1d1f10.tmp
%TEMP%\~3a1b0.tmp

Удаляет следующие файлы:

%TEMP%\~1475b8.tmp
%TEMP%\~ce9c4.tmp
%TEMP%\~16f29c.tmp
%TEMP%\~1dff0a.tmp
%TEMP%\~933b4.tmp
%TEMP%\~220bd0.tmp
%TEMP%\~16b386.tmp
%TEMP%\~1271e8.tmp
%TEMP%\~18dcbc.tmp
%TEMP%\~1b6559.tmp
%TEMP%\~a656d.tmp
%TEMP%\~205a96.tmp
%TEMP%\~2afed6.tmp
%TEMP%\~5073a.tmp
%TEMP%\~196b8a.tmp
%TEMP%\~290ad.tmp
%TEMP%\~197d3c.tmp
%TEMP%\~1e06c0.tmp
%TEMP%\~e5914.tmp
%TEMP%\~197882.tmp
%TEMP%\~4ce78.tmp
%TEMP%\~115a13.tmp
%TEMP%\~15e277.tmp
%TEMP%\~ddcb3.tmp
%TEMP%\~9acaa.tmp
%TEMP%\~b41c2.tmp
%TEMP%\~1b79d1.tmp
%TEMP%\~daf68.tmp
%TEMP%\~4dc61.tmp
%TEMP%\~99f1e.tmp
%TEMP%\~1624b0.tmp
%TEMP%\~32626.tmp
%TEMP%\~e4c15.tmp
%TEMP%\~1b2f1c.tmp
%TEMP%\~4c83c.tmp
%TEMP%\~1bfa10.tmp
%TEMP%\~11ae5e.tmp
%TEMP%\~1f6220.tmp
%TEMP%\~1b8c1e.tmp
%TEMP%\~19aa96.tmp
%TEMP%\~bd372.tmp
%TEMP%\~119f88.tmp
%TEMP%\~3a1b0.tmp
%TEMP%\~1cf320.tmp
%TEMP%\~1d1f10.tmp
%TEMP%\~12d6f8.tmp
%TEMP%\~185c8c.tmp

Сетевая активность:

Подключается к:

'fm###yffrn.net':80
'fm###yefrn.net':80
'fm###ydfrn.net':80
'fm###yifrn.net':80
'fm###yhfrn.net':80
'fm###ygfrn.net':80
'mo###-frn.net':80
'et###iash.net':80
'et###hash.net':80
'fm###ycfrn.net':80
'fm###ybfrn.net':80
'fm###yafrn.net':80
'gh###cash.net':80
'gg###cash.net':80
'gf###cash.net':80
'hx###-cash.net':80
'xx###cash.net':80
'gi###cash.net':80
'gb###cash.net':80
'ga###cash.net':80
'cl###ash.net':80
'ge###cash.net':80
'gd###cash.net':80
'gc###cash.net':80
'ah####egood24.com':80
'ag####egood24.com':80
'af####egood24.com':80
'bp####ctchoice1.com':80
'pe####tchoice1.com':80
'ai####egood24.com':80
'ab####egood24.com':80
'aa####egood24.com':80
'ma####good24.com':80
'ae####egood24.com':80
'ad####egood24.com':80
'ac####egood24.com':80
'et###dash.net':80
'et###cash.net':80
'et###bash.net':80
'et###gash.net':80
'et###fash.net':80
'et###eash.net':80
'dd###ash.net':80
'cc###-ddt.net':80
'ca###ddt.net':80
'et###aash.net':80
'tr###ash.net':80
'dd###cash.net':80

TCP:

Запросы HTTP GET:

fm###ydfrn.net/?3e#########################
fm###ycfrn.net/?3d#########################
fm###ybfrn.net/?3a#########################
fm###yefrn.net/?3e#########################
fm###yhfrn.net/?41#########################
fm###ygfrn.net/?41#########################
fm###yffrn.net/?3f#########################
fm###yafrn.net/?39#########################
et###gash.net/?38#########################
et###fash.net/?37#########################
et###eash.net/?37#########################
et###hash.net/?38#########################
mo###-frn.net/?39#########################
mo###-frn.net/?38#########################
et###iash.net/?38#########################
gi###cash.net/?43#########################
gh###cash.net/?43#########################
gg###cash.net/?43#########################
xx###cash.net/?44#########################
hx###-cash.net/?47#########################
hx###-cash.net/?46#########################
hx###-cash.net/?44#########################
gf###cash.net/?43#########################
ga###cash.net/?42#########################
cl###ash.net/?42#########################
fm###yifrn.net/?42#########################
gb###cash.net/?43#########################
ge###cash.net/?43#########################
gd###cash.net/?43#########################
gc###cash.net/?43#########################
et###dash.net/?37#########################
ai####egood24.com/?2a#########################
ah####egood24.com/?2a#########################
ag####egood24.com/?2a#########################
pe####tchoice1.com/?2b#########################
ca###ddt.net/?2c#########################
bp####ctchoice1.com/?2c#########################
bp####ctchoice1.com/?2b#########################
af####egood24.com/?2a#########################
aa####egood24.com/?29#########################
ma####good24.com/?28#########################
ma####good24.com/?25#########################
ab####egood24.com/?29#########################
ae####egood24.com/?2a#########################
ad####egood24.com/?29#########################
ac####egood24.com/?29#########################
tr###ash.net/?36#########################
dd###cash.net/?36#########################
dd###cash.net/?35#########################
tr###ash.net/?37#########################
et###cash.net/?37#########################
et###bash.net/?37#########################
et###aash.net/?37#########################
dd###cash.net/?33#########################
cc###-ddt.net/?2e#########################
cc###-ddt.net/?2d#########################
cc###-ddt.net/?2c#########################
cc###-ddt.net/?2f#########################
dd###cash.net/?31#########################
dd###cash.net/?30#########################
dd###ash.net/?30#########################

UDP:

DNS ASK fm###yefrn.net
DNS ASK fm###ydfrn.net
DNS ASK fm###ycfrn.net
DNS ASK fm###yffrn.net
DNS ASK fm###yifrn.net
DNS ASK fm###yhfrn.net
DNS ASK fm###ygfrn.net
DNS ASK et###iash.net
DNS ASK et###hash.net
DNS ASK et###gash.net
DNS ASK mo###-frn.net
DNS ASK fm###ybfrn.net
DNS ASK fm###yafrn.net
DNS ASK 39###.money-frn.net
DNS ASK gh###cash.net
DNS ASK gg###cash.net
DNS ASK gf###cash.net
DNS ASK gi###cash.net
DNS ASK hx###-cash.net
DNS ASK 44###.xxxl-cash.net
DNS ASK xx###cash.net
DNS ASK ga###cash.net
DNS ASK 42###.clr-cash.net
DNS ASK cl###ash.net
DNS ASK gb###cash.net
DNS ASK ge###cash.net
DNS ASK gd###cash.net
DNS ASK gc###cash.net
DNS ASK ah####egood24.com
DNS ASK ag####egood24.com
DNS ASK af####egood24.com
DNS ASK ai####egood24.com
DNS ASK bp####ctchoice1.com
DNS ASK 2b###.##rfectchoice1.com
DNS ASK pe####tchoice1.com
DNS ASK aa####egood24.com
DNS ASK 28###.#akemegood24.com
DNS ASK ma####good24.com
DNS ASK ab####egood24.com
DNS ASK ae####egood24.com
DNS ASK ad####egood24.com
DNS ASK ac####egood24.com
DNS ASK et###bash.net
DNS ASK et###aash.net
DNS ASK 37###.trn-cash.net
DNS ASK et###cash.net
DNS ASK et###fash.net
DNS ASK et###eash.net
DNS ASK et###dash.net
DNS ASK cc###-ddt.net
DNS ASK 2c###.cash-ddt.net
DNS ASK ca###ddt.net
DNS ASK dd###ash.net
DNS ASK tr###ash.net
DNS ASK dd###cash.net
DNS ASK 30###.ddr-cash.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: ''

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней