Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Carberp.2272

Добавлен в вирусную базу Dr.Web: 2020-09-15

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
  • [<HKLM>\System\CurrentControlSet\Services\hyztghjr] 'ImagePath' = '<DRIVERS>\BRh2oG.sys'
Создает следующие сервисы
  • 'hyztghjr' <DRIVERS>\BRh2oG.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
  • скрытых файлов
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
Изменения в файловой системе
Создает следующие файлы
  • %WINDIR%\4vdnja.dll
  • %WINDIR%\4vdnja\svchost.exe
  • %WINDIR%\f0l3tihg7\svchost.exe
  • %WINDIR%\3z78c\3z78c.txt
  • %WINDIR%\9fzzp812gt.dll
  • %WINDIR%\bihgqzdh6k\41a4b2a85b9ae6866997662895778639.exe
  • <DRIVERS>\brh2og.sys
Присваивает атрибут 'скрытый' для следующих файлов
  • %WINDIR%\9fzzp812gt.dll
  • %WINDIR%\bihgqzdh6k\l48k89iqv.exe
Удаляет следующие файлы
  • <DRIVERS>\brh2og.sys
Перемещает следующие файлы
  • %WINDIR%\bihgqzdh6k\41a4b2a85b9ae6866997662895778639.exe в %WINDIR%\bihgqzdh6k\l48k89iqv.exe
Самоудаляется.
Сетевая активность
Подключается к
  • 'nq#####z.slt.cdntip.com':80
  • 'cl####.vbnm34567.xyz':8088
TCP
Запросы HTTP GET
  • http://43.##9.193.166/data/uploads/product/20200904/241f3927fc8b2ee67af0e509ff106255.exe
  • http://do##.onefast.cc/pgm/mpr/c995ec7fd4f57c0d/e4e4c015c7a7df4c.zip
  • http://do##.onefast.cc/cfg/cmc/userpq.zip
  • http://ap##.#ame.qq.com/comm-htdocs/ip/get_ip.php
  • http://sp#.#aidu.com/8aQDcjqpAAV3otqbppnN2DJv/api.php?qu##############################################################
  • http://do##.onefast.cc/cfg/user/c995ec7fd4f57c0d/e4e4c015c7a7df4c.json
  • http://do##.onefast.cc/cfg/pub/ms.json
  • http://11#.#29.33.201/report.php?ty##############################################################################################################################################################...
  • http://do##.onefast.cc/cfg/pub/ps.json
  • http://do##.onefast.cc/pgm/mds/05631e93ccdb00ee/f79e9e12124babd5af4c1b226d63c8b1d4c9fdaf5400655e64.zip
  • 'gs##g8.com':62282
  • '43.##9.193.78':30275
  • UDP
    • DNS ASK gs##g8.com
    • DNS ASK do##.onefast.cc
    • DNS ASK do##.####ast.cc.cdn.dnsv1.com
    • DNS ASK nq#####z.slt.cdntip.com
    • DNS ASK ap##.#ame.qq.com
    • DNS ASK sp#.#aidu.com
    • DNS ASK cl####.vbnm34567.xyz
    • '<LOCALNET>.23.162':37964
    • '<LOCALNET>.23.163':33901
    • '<LOCALNET>.23.174':51131
    • '<LOCALNET>.23.165':58539
    • '<LOCALNET>.23.166':54472
    • '<LOCALNET>.23.164':62602
    • '<LOCALNET>.23.170':34623
    • '<LOCALNET>.23.169':19612
    • '<LOCALNET>.23.176':59385
    • '<LOCALNET>.23.171':38686
    • '<LOCALNET>.23.172':42877
    • '<LOCALNET>.23.173':46940
    • '<LOCALNET>.23.168':13574
    • '<LOCALNET>.23.167':50409
    • '<LOCALNET>.23.178':11692
    • '<LOCALNET>.23.177':63448
    • '255.255.255.255':50316
    • '<LOCALNET>.23.161':42031
    • '<LOCALNET>.23.180':38657
    • '<LOCALNET>.23.181':34592
    • '<LOCALNET>.23.182':46915
    • '<LOCALNET>.23.183':42850
    • '<LOCALNET>.23.184':55173
    • '<LOCALNET>.23.185':51108
    • '<LOCALNET>.23.186':63431
    • '<LOCALNET>.23.187':59366
    • '<LOCALNET>.23.188':15742
    • '<LOCALNET>.23.175':55194
    • '<LOCALNET>.23.179':15755
    • '<LOCALNET>.23.189':11677
    • '<LOCALNET>.23.159':28788
    • '<LOCALNET>.23.157':37306
    • '<LOCALNET>.23.130':19451
    • '<LOCALNET>.23.131':23514
    • '<LOCALNET>.23.132':27577
    • '<LOCALNET>.23.133':31640
    • '<LOCALNET>.23.134':13044
    • '<LOCALNET>.23.135':17107
    • '<LOCALNET>.23.136':11069
    • '<LOCALNET>.23.137':15132
    • '<LOCALNET>.23.138':51955
    • '<LOCALNET>.23.139':56018
    • '<LOCALNET>.23.140':53868
    • '<LOCALNET>.23.141':49741
    • '<LOCALNET>.23.156':33179
    • '<LOCALNET>.23.160':46094
    • '<LOCALNET>.23.142':61998
    • '<LOCALNET>.23.145':33481
    • '<LOCALNET>.23.146':45738
    • '<LOCALNET>.23.147':41611
    • '<LOCALNET>.23.148':21348
    • '<LOCALNET>.23.149':17221
    • '<LOCALNET>.23.150':57693
    • '<LOCALNET>.23.151':61820
    • '<LOCALNET>.23.152':49439
    • '<LOCALNET>.23.153':53566
    • '<LOCALNET>.23.154':41433
    • '<LOCALNET>.23.155':45560
    • '<LOCALNET>.23.190':42032
    • '<LOCALNET>.23.144':37608
    • '<LOCALNET>.23.143':57871
    • '<LOCALNET>.23.191':46097
    • '<LOCALNET>.23.129':59875
    • '<LOCALNET>.23.194':58548
    • '<LOCALNET>.23.226':16732
    • '<LOCALNET>.23.227':20861
    • '<LOCALNET>.23.228':41106
    • '<LOCALNET>.23.229':45235
    • '<LOCALNET>.23.230':14880
    • '<LOCALNET>.23.231':10751
    • '<LOCALNET>.23.232':13033
    • '<LOCALNET>.23.233':19005
    • '<LOCALNET>.23.234':21039
    • '<LOCALNET>.23.235':16910
    • '<LOCALNET>.23.236':29293
    • '<LOCALNET>.23.237':25164
    • '<LOCALNET>.23.238':37795
    • '<LOCALNET>.23.193':37971
    • '<LOCALNET>.23.225':28991
    • '<LOCALNET>.23.241':39709
    • '<LOCALNET>.23.242':43902
    • '<LOCALNET>.23.243':47967
    • '<LOCALNET>.23.244':52152
    • '<LOCALNET>.23.245':56217
    • '<LOCALNET>.23.246':60410
    • '<LOCALNET>.23.247':64475
    • '<LOCALNET>.23.248':12713
    • '<LOCALNET>.23.249':16778
    • '<LOCALNET>.23.250':47117
    • '<LOCALNET>.23.251':43052
    • '<LOCALNET>.23.252':38991
    • '<LOCALNET>.23.253':34926
    • '<LOCALNET>.23.239':33666
    • '<LOCALNET>.23.195':62613
    • '<LOCALNET>.23.240':35644
    • '<LOCALNET>.23.224':24862
    • '<LOCALNET>.23.158':24661
    • '<LOCALNET>.23.196':50422
    • '<LOCALNET>.23.197':54487
    • '<LOCALNET>.23.198':19629
    • '<LOCALNET>.23.199':13593
    • '<LOCALNET>.23.200':18424
    • '<LOCALNET>.23.201':22489
    • '<LOCALNET>.23.202':26554
    • '<LOCALNET>.23.203':30619
    • '<LOCALNET>.23.204':12017
    • '<LOCALNET>.23.205':16082
    • '<LOCALNET>.23.206':20147
    • '<LOCALNET>.23.222':10573
    • '<LOCALNET>.23.192':33906
    • '<LOCALNET>.23.223':14702
    • '<LOCALNET>.23.210':29897
    • '<LOCALNET>.23.211':25832
    • '<LOCALNET>.23.212':21643
    • '<LOCALNET>.23.213':17578
    • '<LOCALNET>.23.214':13389
    • '<LOCALNET>.23.215':19425
    • '<LOCALNET>.23.216':15236
    • '<LOCALNET>.23.217':11171
    • '<LOCALNET>.23.218':62913
    • '<LOCALNET>.23.219':58848
    • '<LOCALNET>.23.80':51680
    • '<LOCALNET>.23.221':12731
    • '<LOCALNET>.23.207':14111
    • '<LOCALNET>.23.209':54993
    • '<LOCALNET>.23.208':50928
    • '<LOCALNET>.23.125':10351
    • '<LOCALNET>.23.124':14414
    • '<LOCALNET>.23.34':21918
    • '<LOCALNET>.23.35':17855
    • '<LOCALNET>.23.36':30172
    • '<LOCALNET>.23.37':26109
    • '<LOCALNET>.23.38':37906
    • '<LOCALNET>.23.39':33843
    • '<LOCALNET>.23.40':35981
    • '<LOCALNET>.23.41':40108
    • '<LOCALNET>.23.42':44239
    • '<LOCALNET>.23.43':48366
    • '<LOCALNET>.23.44':52233
    • '<LOCALNET>.23.45':56360
    • '<LOCALNET>.23.46':60491
    • '<LOCALNET>.23.48':13562
    • '<LOCALNET>.23.62':51885
    • '<LOCALNET>.23.49':17689
    • '<LOCALNET>.23.50':49084
    • '<LOCALNET>.23.51':44957
    • '<LOCALNET>.23.52':40958
    • '<LOCALNET>.23.53':36831
    • '<LOCALNET>.23.54':65336
    • '<LOCALNET>.23.55':61209
    • '<LOCALNET>.23.56':57210
    • '<LOCALNET>.23.57':53083
    • '<LOCALNET>.23.58':16052
    • '<LOCALNET>.23.59':11925
    • '<LOCALNET>.23.60':60143
    • '<LOCALNET>.23.15':19282
    • '<LOCALNET>.23.33':19694
    • '<LOCALNET>.23.47':64618
    • '<LOCALNET>.23.61':64206
    • '<LOCALNET>.23.14':13308
    • '<LOCALNET>.23.12':21306
    • '<LOCALNET>.23.11':25433
    • '<LOCALNET>.23.10':29560
    • '<LOCALNET>.23.9':12039
    • '<LOCALNET>.23.8':16166
    • '<LOCALNET>.23.7':52937
    • '<LOCALNET>.23.4':65194
    • '<LOCALNET>.23.5':61067
    • '<LOCALNET>.23.13':17179
    • '<LOCALNET>.23.3':36429
    • '<LOCALNET>.23.2':40556
    • '<LOCALNET>.23.1':44559
    • '<LOCALNET>.23.6':57064
    • '<LOCALNET>.23.32':13656
    • '<LOCALNET>.23.31':11440
    • '<LOCALNET>.23.16':15155
    • '<LOCALNET>.23.30':15503
    • '<LOCALNET>.23.18':62064
    • '<LOCALNET>.23.19':57937
    • '<LOCALNET>.23.21':13834
    • '<LOCALNET>.23.22':11742
    • '<LOCALNET>.23.23':15805
    • '<LOCALNET>.23.24':26287
    • '<LOCALNET>.23.25':30350
    • '<LOCALNET>.23.26':18157
    • '<LOCALNET>.23.27':22220
    • '<LOCALNET>.23.28':42787
    • '<LOCALNET>.23.29':46850
    • '<LOCALNET>.23.17':11028
    • '<LOCALNET>.23.127':12194
    • '<LOCALNET>.23.98':31705
    • '<LOCALNET>.23.65':47690
    • '<LOCALNET>.23.99':27640
    • '<LOCALNET>.23.100':17949
    • '<LOCALNET>.23.101':13822
    • '<LOCALNET>.23.102':16106
    • '<LOCALNET>.23.103':11979
    • '<LOCALNET>.23.104':24108
    • '<LOCALNET>.23.105':19981
    • '<LOCALNET>.23.106':32366
    • '<LOCALNET>.23.107':28239
    • '<LOCALNET>.23.108':40864
    • '<LOCALNET>.23.109':36737
    • '<LOCALNET>.23.110':11673
    • '<LOCALNET>.23.64':43627
    • '<LOCALNET>.23.126':16257
    • '<LOCALNET>.23.97':35382
    • '<LOCALNET>.23.114':27933
    • '<LOCALNET>.23.115':32060
    • '<LOCALNET>.23.116':19807
    • '<LOCALNET>.23.117':23934
    • '<LOCALNET>.23.118':44177
    • '<LOCALNET>.23.119':48304
    • '<LOCALNET>.23.120':30922
    • '<LOCALNET>.23.121':26859
    • '<LOCALNET>.23.122':22664
    • '<LOCALNET>.23.123':18601
    • '<LOCALNET>.23.254':63625
    • '<LOCALNET>.23.128':63938
    • '<LOCALNET>.23.111':15800
    • '<LOCALNET>.23.113':17775
    • '<LOCALNET>.23.112':13648
    • '<LOCALNET>.23.96':39447
    • '<LOCALNET>.23.63':55948
    • '<LOCALNET>.23.66':35369
    • '<LOCALNET>.23.67':39432
    • '<LOCALNET>.23.68':27623
    • '<LOCALNET>.23.69':31686
    • '<LOCALNET>.23.70':55774
    • '<LOCALNET>.23.71':51711
    • '<LOCALNET>.23.72':63900
    • '<LOCALNET>.23.73':59837
    • '<LOCALNET>.23.74':39258
    • '<LOCALNET>.23.75':35195
    • '<LOCALNET>.23.76':47384
    • '<LOCALNET>.23.77':43321
    • '<LOCALNET>.23.78':22742
    • '<LOCALNET>.23.94':47701
    • '<LOCALNET>.23.95':43636
    • '<LOCALNET>.23.81':55745
    • '<LOCALNET>.23.82':59810
    • '<LOCALNET>.23.83':63875
    • '<LOCALNET>.23.84':35172
    • '<LOCALNET>.23.85':39237
    • '<LOCALNET>.23.86':43302
    • '<LOCALNET>.23.87':47367
    • '<LOCALNET>.23.88':18664
    • '<LOCALNET>.23.89':22729
    • '<LOCALNET>.23.90':64209
    • '<LOCALNET>.23.91':60144
    • '<LOCALNET>.23.92':55955
    • '<LOCALNET>.23.93':51890
    • '<LOCALNET>.23.79':18679
    • '<LOCALNET>.23.220':18703
    • '23#.#23.112.211':39567
    Другое
    Ищет следующие окна
    • ClassName: 'ProgMan' WindowName: ''
    • ClassName: 'SHELLDLL_DefView' WindowName: ''
    • ClassName: 'SysListView32' WindowName: ''
    Создает и запускает на исполнение
    • '%WINDIR%\4vdnja\svchost.exe'
    • '%WINDIR%\bihgqzdh6k\l48k89iqv.exe'
    • '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
    • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "%WINDIR%\BIHgQZdh6k\L48K89IqV.exe"' (со скрытым окном)
    Запускает на исполнение
    • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\4vdnja\svchost.exe"
    • '<SYSTEM32>\ipconfig.exe' /flushdns
    • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "%WINDIR%\BIHgQZdh6k\L48K89IqV.exe"
    • '%WINDIR%\syswow64\timeout.exe' /t 1
    • '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\explorer.exe"

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке