Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Carberp.2274

Добавлен в вирусную базу Dr.Web: 2020-09-15

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
  • [<HKLM>\System\CurrentControlSet\Services\smijegozozd] 'ImagePath' = '<DRIVERS>\QHtdqRD.sys'
Создает следующие сервисы
  • 'smijegozozd' <DRIVERS>\QHtdqRD.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
  • скрытых файлов
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
следующие пользовательские процессы:
  • iexplore.exe
Перехватывает функции
в браузерах
  • Процесс iexplore.exe, модуль wininet.dll
  • Процесс iexplore.exe, модуль mswsock.dll
Читает файлы, отвечающие за хранение паролей сторонними программами
  • %HOMEPATH%\desktop\join.avi
  • %HOMEPATH%\desktop\dashborder_192.bmp
  • %HOMEPATH%\desktop\holycrosschurchinstructions.docx
  • %HOMEPATH%\desktop\sdszfo.docx
Изменения в файловой системе
Создает следующие файлы
  • %WINDIR%\xfyi4pug3o.exe
  • %WINDIR%\deop7.dll
  • %WINDIR%\deop7\svchost.exe
  • %WINDIR%\niiy9va8\svchost.exe
  • %WINDIR%\uoasr\uoasr.txt
  • %WINDIR%\c4al207eg7.dll
  • %WINDIR%\oh53us8fvy\41a4b2a85b9ae6866997662895778639.exe
  • <DRIVERS>\qhtdqrd.sys
  • %WINDIR%\schemas\hoiibgbcnaihkcnnhflfhkmhnoofgnkn\1.0.7\manifest.json
  • %WINDIR%\schemas\hoiibgbcnaihkcnnhflfhkmhnoofgnkn\1.0.7\background.js
  • %WINDIR%\schemas\hoiibgbcnaihkcnnhflfhkmhnoofgnkn\1.0.7\background.html
  • %WINDIR%\schemas\hoiibgbcnaihkcnnhflfhkmhnoofgnkn\1.0.7\jquery.min.js
Присваивает атрибут 'скрытый' для следующих файлов
  • %WINDIR%\c4al207eg7.dll
  • %WINDIR%\oh53us8fvy\48q9jy55e.exe
Удаляет следующие файлы
  • %WINDIR%\xfyi4pug3o.exe
  • <DRIVERS>\qhtdqrd.sys
Перемещает следующие файлы
  • %WINDIR%\oh53us8fvy\41a4b2a85b9ae6866997662895778639.exe в %WINDIR%\oh53us8fvy\48q9jy55e.exe
Сетевая активность
Подключается к
  • 'nq#####z.slt.cdntip.com':80
TCP
Запросы HTTP GET
  • http://43.##9.193.166/data/uploads/product/20200904/241f3927fc8b2ee67af0e509ff106255.exe
  • http://do##.onefast.cc/pgm/mds/e02f10e3a7d5dc64/eb5925c644b456129ae4a2f716342f517f1b2e3ae2c1a0bb64.zip
  • http://do##.onefast.cc/cfg/cmc/kfbdu.txt
  • http://do##.onefast.cc/cfg/cmc/sfbd.txt
  • http://do##.onefast.cc/pgm/mds/422ed73a26bc994c/8f6b181e9acd608997be30b44587702c5fa71ab95043b48164.zip
  • http://do##.onefast.cc/cfg/cmc/kfbd.txt
  • http://do##.onefast.cc/pgm/mds/f5d2972ba2a267dd/01b52f532c849cf0a0826e6cc91a81e065f5f85f2c18615f64.zip
  • http://12#.#1.239.87/report.php?da###############################################################################################################################################################...
  • http://do##.onefast.cc/cfg/cmc/b2.txt
  • http://do##.onefast.cc/cfg/cmc/qzpass.txt
  • http://do##.onefast.cc/cfg/cmc/bcbd.txt
  • http://11#.#29.33.201/report/report_data?da######################################################################################################################################################...
  • http://do##.onefast.cc/pgm/mds/05631e93ccdb00ee/f79e9e12124babd5af4c1b226d63c8b1d4c9fdaf5400655e64.zip
  • http://11#.#29.33.201/report.php?ty##############################################################################################################################################################...
  • http://do##.onefast.cc/cfg/pub/ps.json
  • http://do##.onefast.cc/cfg/pub/ms.json
  • http://do##.onefast.cc/cfg/user/c995ec7fd4f57c0d/e4e4c015c7a7df4c.json
  • http://sp#.#aidu.com/8aQDcjqpAAV3otqbppnN2DJv/api.php?qu##############################################################
  • http://ap##.#ame.qq.com/comm-htdocs/ip/get_ip.php
  • http://do##.onefast.cc/cfg/cmc/userpq.zip
  • http://do##.onefast.cc/pgm/mpr/c995ec7fd4f57c0d/e4e4c015c7a7df4c.zip
  • http://do##.onefast.cc/cfg/cmc/slfdm.txt
  • http://do##.onefast.cc/cfg/cmc/wea.txt
  • 'gs##g8.com':62282
  • '43.##9.193.78':30275
  • UDP
    • DNS ASK vi##014.com
    • DNS ASK ca#######client-a.meiqia.com
    • DNS ASK ne####i.meiqia.com
    • DNS ASK s3#######.meiqiausercontent.com
    • DNS ASK s3#####ud.meiqia.com
    • DNS ASK st####.meiqia.com
    • DNS ASK zx###xltzy.com
    • DNS ASK mp####.hjkl45678.xyz
    • DNS ASK nm#####.hjkl45678.xyz
    • DNS ASK cl####.vbnm34567.xyz
    • DNS ASK ty##603.com
    • DNS ASK te########ets.meiqiausercontent.com
    • DNS ASK vu####sfuner3.com
    • DNS ASK 52.##c81.top
    • DNS ASK ap##.#ame.qq.com
    • DNS ASK ch#####k.mstatik.com
    • DNS ASK gs##g8.com
    • DNS ASK do##.onefast.cc
    • DNS ASK nq#####z.slt.cdntip.com
    • DNS ASK do##.####ast.cc.cdn.dnsv1.com
    • DNS ASK sp#.#aidu.com
    • DNS ASK vi##548.com
    • DNS ASK lo#.#nefast.cc
    • DNS ASK gd####sshlja1.com
    • DNS ASK wh.###jgjsdh.top
    • '<LOCALNET>.54.171':35626
    • '<LOCALNET>.54.181':39700
    • '<LOCALNET>.54.175':52142
    • '<LOCALNET>.54.180':35637
    • '<LOCALNET>.54.187':64466
    • '<LOCALNET>.54.172':47945
    • '<LOCALNET>.54.178':16760
    • '<LOCALNET>.54.174':56207
    • '<LOCALNET>.54.170':39691
    • '<LOCALNET>.54.176':64461
    • '<LOCALNET>.54.177':60396
    • '<LOCALNET>.54.140':52824
    • '<LOCALNET>.54.173':43880
    • '<LOCALNET>.54.183':47958
    • '<LOCALNET>.54.168':10546
    • '<LOCALNET>.54.186':60403
    • '<LOCALNET>.54.188':12722
    • '<LOCALNET>.54.189':16785
    • '<LOCALNET>.54.190':47108
    • '<LOCALNET>.54.191':43045
    • '<LOCALNET>.54.192':38982
    • '<LOCALNET>.54.193':34919
    • '<LOCALNET>.54.169':14611
    • '<LOCALNET>.54.194':63616
    • '<LOCALNET>.54.182':43895
    • '<LOCALNET>.54.179':12695
    • '<LOCALNET>.54.155':44492
    • '<LOCALNET>.54.184':52145
    • '<LOCALNET>.54.185':56208
    • '<LOCALNET>.54.166':51452
    • '<LOCALNET>.54.162':34936
    • '<LOCALNET>.54.231':17971
    • '<LOCALNET>.54.144':36572
    • '<LOCALNET>.54.145':40701
    • '<LOCALNET>.54.146':44702
    • '<LOCALNET>.54.147':48831
    • '<LOCALNET>.54.148':20304
    • '<LOCALNET>.54.149':24433
    • '<LOCALNET>.54.150':64873
    • '<LOCALNET>.54.151':60744
    • '<LOCALNET>.54.167':55517
    • '<LOCALNET>.54.152':56619
    • '<LOCALNET>.54.154':48621
    • '<LOCALNET>.54.195':59553
    • '<LOCALNET>.54.142':60954
    • '<LOCALNET>.54.141':56953
    • '<LOCALNET>.54.156':40367
    • '<LOCALNET>.54.159':27712
    • '<LOCALNET>.54.160':43066
    • '<LOCALNET>.54.161':47131
    • '<LOCALNET>.54.232':11997
    • '<LOCALNET>.54.163':39001
    • '<LOCALNET>.54.164':59582
    • '<LOCALNET>.54.165':63647
    • '<LOCALNET>.54.153':52490
    • '<LOCALNET>.54.196':55490
    • '<LOCALNET>.54.208':56004
    • '<LOCALNET>.54.198':14604
    • '<LOCALNET>.54.230':13844
    • '<LOCALNET>.54.157':36238
    • '<LOCALNET>.54.158':31841
    • '<LOCALNET>.54.233':16124
    • '<LOCALNET>.54.217':16271
    • '<LOCALNET>.54.207':11051
    • '<LOCALNET>.54.236':28249
    • '<LOCALNET>.54.237':32376
    • '<LOCALNET>.54.238':36759
    • '<LOCALNET>.54.239':40886
    • '<LOCALNET>.54.240':38664
    • '<LOCALNET>.54.241':34601
    • '<LOCALNET>.54.229':44167
    • '<LOCALNET>.54.242':46922
    • '<LOCALNET>.54.244':55180
    • '<LOCALNET>.54.245':51117
    • '<LOCALNET>.54.246':63438
    • '<LOCALNET>.54.247':59375
    • '<LOCALNET>.54.248':15733
    • '<LOCALNET>.54.235':24122
    • '<LOCALNET>.54.249':11670
    • '<LOCALNET>.54.251':46104
    • '<LOCALNET>.54.252':33915
    • '<LOCALNET>.54.253':37978
    • '<LOCALNET>.54.254':58557
    • '23#.#23.112.211':39567
    • '<LOCALNET>.54.243':42859
    • '<LOCALNET>.54.228':48294
    • '<LOCALNET>.54.227':19785
    • '<LOCALNET>.54.226':23912
    • '<LOCALNET>.54.199':10541
    • '<LOCALNET>.54.200':23500
    • '<LOCALNET>.54.201':19437
    • '<LOCALNET>.54.202':31630
    • '<LOCALNET>.54.250':42041
    • '<LOCALNET>.54.234':19995
    • '<LOCALNET>.54.203':27567
    • '<LOCALNET>.54.205':13022
    • '<LOCALNET>.54.139':50918
    • '<LOCALNET>.54.209':51941
    • '<LOCALNET>.54.210':26877
    • '<LOCALNET>.54.211':30940
    • '<LOCALNET>.54.212':18623
    • '<LOCALNET>.54.213':22686
    • '<LOCALNET>.54.214':10361
    • '<LOCALNET>.54.215':14424
    • '<LOCALNET>.54.216':12208
    • '<LOCALNET>.54.143':65083
    • '<LOCALNET>.54.218':59893
    • '<LOCALNET>.54.219':63956
    • '<LOCALNET>.54.206':15114
    • '<LOCALNET>.54.204':17085
    • '<LOCALNET>.54.220':15790
    • '<LOCALNET>.54.223':13634
    • '<LOCALNET>.54.93':30200
    • '<LOCALNET>.54.225':27915
    • '<LOCALNET>.54.197':51427
    • '<LOCALNET>.54.138':54983
    • '<LOCALNET>.54.134':16064
    • '<LOCALNET>.54.136':14089
    • '<LOCALNET>.54.36':51862
    • '<LOCALNET>.54.37':55991
    • '<LOCALNET>.54.38':11096
    • '<LOCALNET>.54.39':15225
    • '<LOCALNET>.54.40':13255
    • '<LOCALNET>.54.221':11663
    • '<LOCALNET>.54.222':17761
    • '<LOCALNET>.54.41':19291
    • '<LOCALNET>.54.128':58870
    • '<LOCALNET>.54.43':11033
    • '<LOCALNET>.54.45':25442
    • '<LOCALNET>.54.46':21249
    • '<LOCALNET>.54.47':17184
    • '<LOCALNET>.54.48':45775
    • '<LOCALNET>.54.49':41710
    • '<LOCALNET>.54.35':64245
    • '<LOCALNET>.54.50':10347
    • '<LOCALNET>.54.52':18473
    • '<LOCALNET>.54.53':12437
    • '<LOCALNET>.54.54':16498
    • '<LOCALNET>.54.55':20563
    • '<LOCALNET>.54.56':24624
    • '<LOCALNET>.54.57':28689
    • '<LOCALNET>.54.4':62644
    • '<LOCALNET>.54.5':58517
    • '<LOCALNET>.54.60':21925
    • '<LOCALNET>.54.61':17796
    • '<LOCALNET>.54.62':30183
    • '<LOCALNET>.54.106':25178
    • '<LOCALNET>.54.64':15510
    • '<LOCALNET>.54.65':11381
    • '<LOCALNET>.54.51':14412
    • '<LOCALNET>.54.66':13667
    • '<LOCALNET>.54.34':60116
    • '<LOCALNET>.54.32':35346
    • '<LOCALNET>.54.1':42001
    • '<LOCALNET>.54.2':38002
    • '<LOCALNET>.54.3':33875
    • '<LOCALNET>.54.58':33278
    • '<LOCALNET>.54.59':37343
    • '<LOCALNET>.54.63':26054
    • '<LOCALNET>.54.22':47395
    • '<LOCALNET>.54.33':39475
    • '<LOCALNET>.54.18':19770
    • '<LOCALNET>.54.17':48341
    • '<LOCALNET>.54.15':40087
    • '<LOCALNET>.54.19':23835
    • '<LOCALNET>.54.14':36022
    • '<LOCALNET>.54.8':13624
    • '<LOCALNET>.54.12':60528
    • '<LOCALNET>.54.11':56339
    • '<LOCALNET>.54.10':52274
    • '<LOCALNET>.54.9':19598
    • '<LOCALNET>.54.20':39265
    • '<LOCALNET>.54.13':64593
    • '<LOCALNET>.54.6':54518
    • '<LOCALNET>.54.21':35136
    • '<LOCALNET>.54.24':55781
    • '<LOCALNET>.54.25':51652
    • '<LOCALNET>.54.26':63911
    • '<LOCALNET>.54.27':59782
    • '<LOCALNET>.54.28':16350
    • '<LOCALNET>.54.29':12221
    • '<LOCALNET>.54.30':43600
    • '<LOCALNET>.54.31':47729
    • '<LOCALNET>.54.16':44276
    • '<LOCALNET>.54.67':19639
    • '<LOCALNET>.54.7':50391
    • '<LOCALNET>.54.69':50316
    • '<LOCALNET>.54.105':21049
    • '<LOCALNET>.54.68':54445
    • '<LOCALNET>.54.107':29307
    • '<LOCALNET>.54.104':16920
    • '<LOCALNET>.54.109':37813
    • '<LOCALNET>.54.111':18689
    • '<LOCALNET>.54.112':14692
    • '<LOCALNET>.54.113':10563
    • '<LOCALNET>.54.114':28969
    • '<LOCALNET>.54.115':24840
    • '<LOCALNET>.54.116':20843
    • '<LOCALNET>.54.117':16714
    • '<LOCALNET>.54.118':45221
    • '<LOCALNET>.54.44':29507
    • '<LOCALNET>.54.119':41092
    • '<LOCALNET>.54.121':29919
    • '<LOCALNET>.54.122':17596
    • '<LOCALNET>.54.70':26260
    • '<LOCALNET>.54.110':12717
    • '<LOCALNET>.54.123':21661
    • '<LOCALNET>.54.126':11181
    • '<LOCALNET>.54.127':15246
    • '<LOCALNET>.54.42':15098
    • '<LOCALNET>.54.129':62935
    • '<LOCALNET>.54.130':22479
    • '<LOCALNET>.54.131':18414
    • '<LOCALNET>.54.132':30605
    • '<LOCALNET>.54.133':26540
    • '<LOCALNET>.54.135':11999
    • '<LOCALNET>.54.120':25854
    • '<LOCALNET>.54.103':13055
    • '<LOCALNET>.54.102':19027
    • '<LOCALNET>.54.124':19439
    • '<LOCALNET>.54.125':13403
    • '<LOCALNET>.54.101':14898
    • '<LOCALNET>.54.71':30389
    • '<LOCALNET>.54.108':33684
    • '<LOCALNET>.54.73':22263
    • '<LOCALNET>.54.74':19845
    • '<LOCALNET>.54.75':13873
    • '<LOCALNET>.54.76':11719
    • '<LOCALNET>.54.77':15848
    • '<LOCALNET>.54.78':59292
    • '<LOCALNET>.54.79':63421
    • '<LOCALNET>.54.80':30378
    • '<LOCALNET>.54.81':26251
    • '<LOCALNET>.54.82':22248
    • '<LOCALNET>.54.83':18121
    • '<LOCALNET>.54.84':13870
    • '<LOCALNET>.54.85':19844
    • '<LOCALNET>.54.72':18134
    • '<LOCALNET>.54.86':15841
    • '<LOCALNET>.54.99':54450
    • '<LOCALNET>.54.98':50323
    • '<LOCALNET>.54.97':13692
    • '<LOCALNET>.54.96':19666
    • '<LOCALNET>.54.95':15539
    • '<LOCALNET>.54.137':20125
    • '<LOCALNET>.54.94':11412
    • '<LOCALNET>.54.92':26073
    • '<LOCALNET>.54.91':21946
    • '<LOCALNET>.54.90':17819
    • '<LOCALNET>.54.89':59267
    • '<LOCALNET>.54.88':63394
    • '<LOCALNET>.54.87':11714
    • '<LOCALNET>.54.100':10769
    • '<LOCALNET>.54.224':32042
    • '255.255.255.255':50316
    Другое
    Ищет следующие окна
    • ClassName: 'ProgMan' WindowName: ''
    • ClassName: 'SHELLDLL_DefView' WindowName: ''
    • ClassName: 'SysListView32' WindowName: ''
    Создает и запускает на исполнение
    • '%WINDIR%\xfyi4pug3o.exe'
    • '%WINDIR%\deop7\svchost.exe'
    • '%WINDIR%\oh53us8fvy\48q9jy55e.exe'
    • '%WINDIR%\xfyi4pug3o.exe' ' (со скрытым окном)
    • '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
    • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "%WINDIR%\Oh53uS8fvy\48q9jy55E.exe"' (со скрытым окном)
    Запускает на исполнение
    • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 2 "%WINDIR%\deop7\svchost.exe"
    • '<SYSTEM32>\ipconfig.exe' /flushdns
    • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\explorer.exe"
    • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "%WINDIR%\Oh53uS8fvy\48q9jy55E.exe"
    • '%WINDIR%\syswow64\timeout.exe' /t 1

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке