Trojan.MulDrop13.65376

Техническая информация

Для обеспечения автозапуска и распространения

Устанавливает следующие настройки сервисов

[<HKLM>\System\CurrentControlSet\Services\SliceDisk5] 'ImagePath' = '%TEMP%\PTDBoot\FindAndMount\slicedisk-x64.sys'

Создает следующие сервисы

'SliceDisk5' %TEMP%\PTDBoot\FindAndMount\slicedisk-x64.sys

Изменения в файловой системе

Создает следующие файлы

%TEMP%\ptdboot\findandmount\encodings\aliases.py
%TEMP%\ptdboot\findandmount\encodings\tis_620.py
%TEMP%\ptdboot\findandmount\encodings\undefined.py
%TEMP%\ptdboot\findandmount\encodings\unicode_escape.py
%TEMP%\ptdboot\findandmount\encodings\unicode_internal.py
%TEMP%\ptdboot\findandmount\encodings\utf_16.py
%TEMP%\ptdboot\findandmount\encodings\shift_jis_2004.py
%TEMP%\ptdboot\findandmount\encodings\string_escape.py
%TEMP%\ptdboot\findandmount\encodings\utf_16_be.py
%TEMP%\ptdboot\findandmount\encodings\utf_8.py
%TEMP%\ptdboot\findandmount\encodings\uu_codec.py
%TEMP%\ptdboot\findandmount\encodings\zlib_codec.py
%TEMP%\ptdboot\findandmount\encodings\__init__.py
%TEMP%\ptdboot\findandmount\encodings\aliases.pyc
%TEMP%\ptdboot\findandmount\encodings\utf_16_le.py
%TEMP%\ptdboot\findandmount\encodings\utf_7.py
%TEMP%\ptdboot\findandmount\encodings\shift_jisx0213.py
%TEMP%\ptdboot\findandmount\encodings\rot_13.py
%TEMP%\ptdboot\findandmount\dslib\boot.pyc
%TEMP%\ptdboot\findandmount\encodings\latin_1.py
%TEMP%\ptdboot\findandmount\encodings\mac_cyrillic.py
%TEMP%\ptdboot\findandmount\encodings\mac_greek.py
%TEMP%\ptdboot\findandmount\encodings\mac_iceland.py
%TEMP%\ptdboot\findandmount\encodings\mac_latin2.py
%TEMP%\ptdboot\findandmount\encodings\mac_roman.py
%TEMP%\ptdboot\findandmount\encodings\mac_turkish.py
%TEMP%\ptdboot\findandmount\encodings\mbcs.py
%TEMP%\ptdboot\findandmount\encodings\palmos.py
%TEMP%\ptdboot\findandmount\encodings\ptcp154.py
%TEMP%\ptdboot\findandmount\encodings\punycode.py
%TEMP%\ptdboot\findandmount\encodings\quopri_codec.py
%TEMP%\ptdboot\findandmount\encodings\raw_unicode_escape.py
%TEMP%\ptdboot\findandmount\atexit.pyc
%TEMP%\ptdboot\findandmount\encodings\koi8_r.py
%TEMP%\ptdboot\findandmount\encodings\shift_jis.py
%TEMP%\ptdboot\findandmount\encodings\iso2022_jp_1.py
%TEMP%\ptdboot\findandmount\codecs.pyc
%TEMP%\ptdboot\findandmount\stat.pyc
%TEMP%\ptdboot\findandmount\string.pyc
%TEMP%\ptdboot\findandmount\threading.pyc
%TEMP%\ptdboot\findandmount\traceback.pyc
%TEMP%\ptdboot\findandmount\types.pyc
%TEMP%\ptdboot\findandmount\userdict.pyc
%TEMP%\ptdboot\findandmount\dslib\validate.pyc
%TEMP%\ptdboot\findandmount\volumes.pyc
%TEMP%\ptdboot\findandmount\dslib\__init__.pyc
%TEMP%\ptdboot\findandmount\encodings\__init__.pyc
%TEMP%\ptdboot\findandmount\findandmount.exe
%TEMP%\ptdboot\findandmount\msvcr71.dll
%TEMP%\ptdboot\findandmount\python24.dll
%TEMP%\ptdboot\findandmount\_fstools.dll
%TEMP%\ptdboot\findandmount\slicedisk-x64.sys
%TEMP%\ptdboot\findandmount\sre_parse.pyc
%TEMP%\ptdboot\findandmount\encodings\johab.py
%TEMP%\ptdboot\findandmount\encodings\koi8_u.py
%TEMP%\ptdboot\findandmount\site.pyc
%TEMP%\ptdboot\findandmount\encodings\cp1252.pyc
%TEMP%\ptdboot\findandmount\encodings\cp1258.pyc
%TEMP%\ptdboot\findandmount\dslib\err_ranges.pyc
%TEMP%\ptdboot\findandmount\fat.pyc
%TEMP%\ptdboot\findandmount\fstools.pyc
%TEMP%\ptdboot\findandmount\dslib\ldecon.pyc
%TEMP%\ptdboot\findandmount\linecache.pyc
%TEMP%\ptdboot\findandmount\locale.pyc
%TEMP%\ptdboot\findandmount\dslib\lstruct.pyc
%TEMP%\ptdboot\findandmount\new.pyc
%TEMP%\ptdboot\findandmount\ntfs.pyc
%TEMP%\ptdboot\findandmount\ntpath.pyc
%TEMP%\ptdboot\findandmount\os.pyc
%TEMP%\ptdboot\findandmount\re.pyc
%TEMP%\ptdboot\findandmount\runtime.pyc
%TEMP%\ptdboot\findandmount\sre_compile.pyc
%TEMP%\ptdboot\findandmount\copy_reg.pyc
%TEMP%\ptdboot\findandmount\encodings\iso8859_9.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_8.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_7.py
%TEMP%\ptdboot\findandmount\encodings\cp500.py
%TEMP%\ptdboot\findandmount\encodings\cp737.py
%TEMP%\ptdboot\findandmount\encodings\cp775.py
%TEMP%\ptdboot\findandmount\encodings\cp850.py
%TEMP%\ptdboot\findandmount\encodings\cp852.py
%TEMP%\ptdboot\findandmount\encodings\cp855.py
%TEMP%\ptdboot\findandmount\encodings\cp856.py
%TEMP%\ptdboot\findandmount\encodings\cp857.py
%TEMP%\ptdboot\findandmount\encodings\cp860.py
%TEMP%\ptdboot\findandmount\encodings\cp861.py
%TEMP%\ptdboot\findandmount\encodings\cp862.py
%TEMP%\ptdboot\findandmount\encodings\cp863.py
%TEMP%\ptdboot\findandmount\encodings\cp864.py
%TEMP%\ptdboot\findandmount\encodings\cp1258.py
%TEMP%\ptdboot\findandmount\encodings\cp1256.py
%TEMP%\ptdboot\findandmount\encodings\cp437.py
%TEMP%\ptdboot\findandmount\slicedisk.sys
%TEMP%\ptdboot\findandmount\encodings\cp865.py
%TEMP%\ptdboot\findandmount\encodings\cp1255.py
%TEMP%\ptdboot\findandmount\encodings\base64_codec.py
%TEMP%\ptdboot\findandmount\encodings\big5.py
%TEMP%\ptdboot\findandmount\encodings\big5hkscs.py
%TEMP%\ptdboot\findandmount\encodings\bz2_codec.py
%TEMP%\ptdboot\findandmount\encodings\charmap.py
%TEMP%\ptdboot\findandmount\encodings\cp037.py
%TEMP%\ptdboot\findandmount\encodings\ascii.py
%TEMP%\ptdboot\findandmount\encodings\cp1006.py
%TEMP%\ptdboot\findandmount\encodings\cp1140.py
%TEMP%\ptdboot\findandmount\encodings\cp1250.py
%TEMP%\ptdboot\findandmount\encodings\cp1251.py
%TEMP%\ptdboot\findandmount\encodings\cp1252.py
%TEMP%\ptdboot\findandmount\encodings\cp1253.py
%TEMP%\ptdboot\findandmount\encodings\cp1254.py
%TEMP%\ptdboot\findandmount\encodings\cp1026.py
%TEMP%\ptdboot\findandmount\encodings\cp1257.py
%TEMP%\ptdboot\findandmount\sre_constants.pyc
%TEMP%\ptdboot\findandmount\encodings\cp866.py
%TEMP%\ptdboot\findandmount\encodings\cp875.py
%TEMP%\ptdboot\findandmount\encodings\iso2022_jp_ext.py
%TEMP%\ptdboot\findandmount\encodings\iso2022_kr.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_1.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_10.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_11.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_13.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_14.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_15.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_16.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_2.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_3.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_4.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_5.py
%TEMP%\ptdboot\findandmount\encodings\iso8859_6.py
%TEMP%\ptdboot\findandmount\encodings\cp869.py
%TEMP%\ptdboot\findandmount\encodings\iso2022_jp_3.py
%TEMP%\ptdboot\findandmount\encodings\cp874.py
%TEMP%\ptdboot\findandmount\encodings\iso2022_jp_2004.py
%TEMP%\ptdboot\findandmount\encodings\cp424.py
%TEMP%\ptdboot\findandmount\encodings\cp932.py
%TEMP%\ptdboot\findandmount\encodings\cp949.py
%TEMP%\ptdboot\findandmount\encodings\cp950.py
%TEMP%\ptdboot\findandmount\encodings\euc_jisx0213.py
%TEMP%\ptdboot\findandmount\encodings\euc_jis_2004.py
%TEMP%\ptdboot\findandmount\encodings\euc_jp.py
%TEMP%\ptdboot\findandmount\encodings\euc_kr.py
%TEMP%\ptdboot\findandmount\encodings\gb18030.py
%TEMP%\ptdboot\findandmount\encodings\gb2312.py
%TEMP%\ptdboot\findandmount\encodings\gbk.py
%TEMP%\ptdboot\findandmount\encodings\hex_codec.py
%TEMP%\ptdboot\findandmount\encodings\hp_roman8.py
%TEMP%\ptdboot\findandmount\encodings\hz.py
%TEMP%\ptdboot\findandmount\encodings\idna.py
%TEMP%\ptdboot\findandmount\encodings\iso2022_jp.py
%TEMP%\ptdboot\findandmount\encodings\iso2022_jp_2.py
%WINDIR%\temp\udda7f2.tmp

Удаляет следующие файлы

%TEMP%\ptdboot\findandmount\encodings\cp1252.pyc
%WINDIR%\temp\udda7f2.tmp

Подменяет следующие файлы

%TEMP%\ptdboot\findandmount\encodings\cp1252.pyc

Другое

Создает и запускает на исполнение

'%TEMP%\ptdboot\findandmount\findandmount.exe'
'%WINDIR%\syswow64\reg.exe' Add "HKCU\Software\Atola\FindAndMount\LicInfo" /f /v "RegTo" /t REG_SZ /d "dinhphucit@gmail.com"' (со скрытым окном)
'%WINDIR%\syswow64\reg.exe' Add "HKCU\Software\Atola\FindAndMount\LicInfo" /f /v "LicKey" /t REG_SZ /d "RFFF-DKJ-F372-9HBU"' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\reg.exe' Add "HKCU\Software\Atola\FindAndMount\LicInfo" /f /v "LicKey" /t REG_SZ /d "RFFF-DKJ-F372-9HBU"
'%WINDIR%\syswow64\reg.exe' Add "HKCU\Software\Atola\FindAndMount\LicInfo" /f /v "RegTo" /t REG_SZ /d "dinhphucit@gmail.com"

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней