Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.Carberp.2810

Добавлен в вирусную базу Dr.Web: 2021-06-16

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
  • [<HKLM>\System\CurrentControlSet\Services\jhyfguhihz] 'ImagePath' = '<DRIVERS>\dojtg71.sys'
Создает следующие сервисы
  • 'jhyfguhihz' <DRIVERS>\dojtg71.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
  • %WINDIR%\explorer.exe
следующие пользовательские процессы:
  • iexplore.exe
Перехватывает функции
в браузерах
  • Процесс iexplore.exe, модуль mswsock.dll
  • Процесс iexplore.exe, модуль wininet.dll
  • Процесс firefox.exe, модуль mswsock.dll
  • Процесс firefox.exe, модуль wininet.dll
  • Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
  • <DRIVERS>\dojtg71.sys
  • %WINDIR%\f27b9\csrss.exe
  • %ProgramFiles%\avgw\manifest.json
  • %ProgramFiles%\avgw\background.js
  • %ProgramFiles%\avgw\background.html
  • %ProgramFiles%\avgw\jquery.min.js
  • %ProgramFiles%\avgw\lib\content.js
  • %ProgramFiles%\sniffer\manifest.json
  • %ProgramFiles%\sniffer\background.js
  • %ProgramFiles%\sniffer\background.html
  • %ProgramFiles%\sniffer\jquery.min.js
  • %ProgramFiles%\sniffer\lib\content.js
Удаляет следующие файлы
  • <DRIVERS>\dojtg71.sys
Самоудаляется.
Сетевая активность
Подключается к
  • 'cd########yz.slt.sched.tdnsv8.com':80
  • 'ap##.#ame.qq.com':80
  • 'sp#.#aidu.com':80
  • 'cl####.vbnm34567.xyz':8088
  • 'nm#####.hjkl45678.xyz':80
  • 'mp####.hjkl45678.xyz':80
  • 'do##.onefast.cc':80
TCP
Запросы HTTP GET
  • http://do##.onefast.cc/pgm/mpr/c995ec7fd4f57c0d/ca22e5eec2ff351cf502b1d274377031.zip
  • http://do##.onefast.cc/cfg/cmc/testsfbd.txt
  • http://do##.onefast.cc/cfg/cmc/kwbd.txt
  • http://do##.onefast.cc/cfg/cmc/sfbd.txt
  • http://do##.onefast.cc/pgm/mds/422ed73a26bc994c/face66c3c8766717d00ff2449308f08ce3f16e91eab26e2f64.zip
  • http://do##.onefast.cc/cfg/cmc/kfbdu.txt
  • http://do##.onefast.cc/cfg/cmc/kfbd.txt
  • http://do##.onefast.cc/pgm/mds/f5d2972ba2a267dd/01b52f532c849cf0806bd3d18fd238b64bb7774f1979663d64.zip
  • http://do##.onefast.cc/cfg/cmc/bcbd.txt
  • http://do##.onefast.cc/pgm/mds/e02f10e3a7d5dc64/16566240d4e7c94932165d7abeb9bb17de6288de7ca487a564.zip
  • http://do##.onefast.cc/cfg/cmc/b2.txt
  • http://do##.onefast.cc/cfg/cmc/wea.txt
  • http://11#.#29.100.93/report.php?da##############################################################################################################################################################...
  • http://1.###.175.101/report/report_data?da#######################################################################################################################################################...
  • http://do##.onefast.cc/cfg/cmc/slfdm.txt
  • http://do##.onefast.cc/cfg/cmc/Lander.txt
  • http://do##.onefast.cc/pgm/mds/05631e93ccdb00ee/8f007cd4c25ecb5657869a215fb6951b28bea43d53b693d664.zip
  • http://do##.onefast.cc/pgm/mds/006866ef1b75dc55/866244a0bd40b9e38e3a180259283747d81d8df4f20e5b7564.zip
  • http://do##.onefast.cc/cfg/pub/ps.json
  • http://1.###.175.101/report.php?ty###############################################################################################################################################################...
  • http://do##.onefast.cc/cfg/pub/ms.json
  • http://do##.onefast.cc/cfg/user/c995ec7fd4f57c0d/ca22e5eec2ff351cf502b1d274377031.json
  • http://do##.onefast.cc/cfg/cmc/userpq.zip
  • http://do##.onefast.cc/cfg/cmc/qzpass.txt
  • http://do##.onefast.cc/cfg/cmc/chct.txt
UDP
  • DNS ASK ca###########51c9cdfa28a4ecfeece.vbnm34567.xyz
  • DNS ASK pa#####t.ourgame.com
  • DNS ASK mp####.hjkl45678.xyz
  • DNS ASK ii##453.com
  • DNS ASK 24##v.com
  • DNS ASK 07##56.com
  • DNS ASK pr##.#swebcall.com
  • DNS ASK vu####sfuner3.com
  • DNS ASK 24##223.com
  • DNS ASK xb##080.com
  • DNS ASK st####.meiqia.com
  • DNS ASK s3#####ud.meiqia.com
  • DNS ASK s3#######.meiqiausercontent.com
  • DNS ASK ne####i.meiqia.com
  • DNS ASK zx###xltzy.com
  • DNS ASK te########ets.meiqiausercontent.com
  • DNS ASK ch#####k.mstatik.com
  • DNS ASK cd########yz.slt.sched.tdnsv8.com
  • DNS ASK nm#####.hjkl45678.xyz
  • DNS ASK vu#.##velyhelp.chat
  • DNS ASK we#####ice.zoosnet.net
  • DNS ASK xk##lzx.com
  • DNS ASK cc#.##jktjhdsf.top
  • DNS ASK cz.###jklyrt.top
  • DNS ASK 81###.iune8cb.top
  • DNS ASK cz.###hyltery.top
  • DNS ASK cz.##kjyhk.top
  • DNS ASK lo#.#nefast.cc
  • DNS ASK dk.###lishtown.cc
  • DNS ASK cz.###tkjert.top
  • DNS ASK do##.onefast.cc
  • DNS ASK do##.####ast.cc.cdn.dnsv1.com
  • DNS ASK ap##.#ame.qq.com
  • DNS ASK sp#.#aidu.com
  • DNS ASK ca#######client-a.meiqia.com
  • DNS ASK cl####.vbnm34567.xyz
  • '<LOCALNET>.11.188':21010
  • '<LOCALNET>.11.189':16947
  • '<LOCALNET>.11.199':28930
  • '<LOCALNET>.11.191':61450
  • '<LOCALNET>.11.192':49257
  • '<LOCALNET>.11.196':33005
  • '<LOCALNET>.11.194':41135
  • '<LOCALNET>.11.195':45198
  • '<LOCALNET>.11.197':37068
  • '<LOCALNET>.11.198':24867
  • '<LOCALNET>.11.193':53320
  • '<LOCALNET>.11.24':16841
  • '<LOCALNET>.11.190':57387
  • '<LOCALNET>.11.186':46044
  • '<LOCALNET>.11.208':33515
  • '<LOCALNET>.11.202':19222
  • '<LOCALNET>.11.203':13184
  • '<LOCALNET>.11.187':41981
  • '<LOCALNET>.11.205':21318
  • '<LOCALNET>.11.206':25381
  • '<LOCALNET>.11.207':29444
  • '<LOCALNET>.11.209':37578
  • '<LOCALNET>.11.210':12498
  • '<LOCALNET>.11.211':18536
  • '<LOCALNET>.11.212':14341
  • '<LOCALNET>.11.213':10278
  • '<LOCALNET>.11.214':28758
  • '<LOCALNET>.11.201':15159
  • '<LOCALNET>.11.200':11096
  • '<LOCALNET>.11.183':58233
  • '<LOCALNET>.11.169':24892
  • '<LOCALNET>.11.171':54021
  • '<LOCALNET>.11.157':54689
  • '<LOCALNET>.11.158':19395
  • '<LOCALNET>.11.159':13423
  • '<LOCALNET>.11.160':61461
  • '<LOCALNET>.11.161':57396
  • '<LOCALNET>.11.162':53335
  • '<LOCALNET>.11.163':49270
  • '<LOCALNET>.11.164':45201
  • '<LOCALNET>.11.165':41136
  • '<LOCALNET>.11.166':37075
  • '<LOCALNET>.11.167':33010
  • '<LOCALNET>.11.168':28957
  • '<LOCALNET>.11.204':17255
  • '<LOCALNET>.11.216':20500
  • '<LOCALNET>.11.184':37790
  • '<LOCALNET>.11.172':58214
  • '<LOCALNET>.11.173':62279
  • '<LOCALNET>.11.174':33696
  • '<LOCALNET>.11.175':37761
  • '<LOCALNET>.11.176':41954
  • '<LOCALNET>.11.177':46019
  • '<LOCALNET>.11.178':16940
  • '<LOCALNET>.11.179':21005
  • '<LOCALNET>.11.180':54042
  • '<LOCALNET>.11.181':49979
  • '<LOCALNET>.11.182':62296
  • '<LOCALNET>.11.215':24695
  • '<LOCALNET>.11.185':33727
  • '<LOCALNET>.11.170':49956
  • '<LOCALNET>.11.59':21102
  • '<LOCALNET>.11.236':13942
  • '<LOCALNET>.11.250':64534
  • '<LOCALNET>.11.251':60471
  • '<LOCALNET>.11.252':56404
  • '<LOCALNET>.11.253':52341
  • '<LOCALNET>.11.254':48274
  • '23#.#23.112.211':4944
  • '<LOCALNET>.11.21':19185
  • '<LOCALNET>.11.20':23248
  • '<LOCALNET>.11.19':40618
  • '<LOCALNET>.11.18':36491
  • '<LOCALNET>.11.17':32612
  • '<LOCALNET>.11.16':28485
  • '<LOCALNET>.11.15':24358
  • '<LOCALNET>.11.14':20231
  • '<LOCALNET>.11.248':20015
  • '<LOCALNET>.11.246':45025
  • '<LOCALNET>.11.11':18199
  • '<LOCALNET>.11.10':14072
  • '<LOCALNET>.11.9':48600
  • '<LOCALNET>.11.8':44537
  • '<LOCALNET>.11.7':23574
  • '<LOCALNET>.11.6':19511
  • '<LOCALNET>.11.5':31828
  • '<LOCALNET>.11.4':27765
  • '<LOCALNET>.11.3':17415
  • '<LOCALNET>.11.2':13352
  • '<LOCALNET>.11.1':15568
  • '<LOCALNET>.11.249':24078
  • '<LOCALNET>.11.217':16437
  • '<LOCALNET>.11.13':16352
  • '<LOCALNET>.11.219':41467
  • '<LOCALNET>.11.156':50560
  • '<LOCALNET>.11.235':11658
  • '<LOCALNET>.11.221':30112
  • '<LOCALNET>.11.222':17859
  • '<LOCALNET>.11.223':21986
  • '<LOCALNET>.11.224':19578
  • '<LOCALNET>.11.225':13604
  • '<LOCALNET>.11.226':11452
  • '<LOCALNET>.11.227':15579
  • '<LOCALNET>.11.228':58505
  • '<LOCALNET>.11.229':62632
  • '<LOCALNET>.11.230':22192
  • '<LOCALNET>.11.231':18065
  • '<LOCALNET>.11.232':30450
  • '<LOCALNET>.11.121':11504
  • '<LOCALNET>.11.218':45530
  • '<LOCALNET>.11.220':25985
  • '<LOCALNET>.11.153':38181
  • '<LOCALNET>.11.237':19916
  • '<LOCALNET>.11.238':55224
  • '<LOCALNET>.11.239':51097
  • '<LOCALNET>.11.240':53031
  • '<LOCALNET>.11.241':57094
  • '<LOCALNET>.11.242':61285
  • '<LOCALNET>.11.243':65348
  • '<LOCALNET>.11.244':36771
  • '<LOCALNET>.11.245':40834
  • '<LOCALNET>.11.247':49088
  • '<LOCALNET>.11.155':62947
  • '<LOCALNET>.11.154':58818
  • '<LOCALNET>.11.234':15785
  • '<LOCALNET>.11.233':26323
  • '<LOCALNET>.11.138':36584
  • '<LOCALNET>.11.140':38519
  • '<LOCALNET>.11.62':46678
  • '<LOCALNET>.11.63':42615
  • '<LOCALNET>.11.64':54928
  • '<LOCALNET>.11.65':50865
  • '<LOCALNET>.11.66':63186
  • '<LOCALNET>.11.67':59123
  • '<LOCALNET>.11.68':16017
  • '<LOCALNET>.11.69':11954
  • '<LOCALNET>.11.70':42277
  • '<LOCALNET>.11.71':46340
  • '<LOCALNET>.11.58':16975
  • '<LOCALNET>.11.72':34151
  • '<LOCALNET>.11.89':19367
  • '<LOCALNET>.11.55':37858
  • '<LOCALNET>.11.25':12778
  • '<LOCALNET>.11.77':54722
  • '<LOCALNET>.11.78':19362
  • '<LOCALNET>.11.79':13324
  • '<LOCALNET>.11.80':46363
  • '<LOCALNET>.11.81':42298
  • '<LOCALNET>.11.82':38233
  • '<LOCALNET>.11.83':34168
  • '<LOCALNET>.11.84':62879
  • '<LOCALNET>.11.85':58814
  • '<LOCALNET>.11.86':54749
  • '<LOCALNET>.11.73':38214
  • '<LOCALNET>.11.57':45984
  • '<LOCALNET>.11.56':41857
  • '<LOCALNET>.11.75':62848
  • '<LOCALNET>.11.76':50659
  • '<LOCALNET>.11.74':58785
  • '<LOCALNET>.11.42':53300
  • '<LOCALNET>.11.39':63688
  • '<LOCALNET>.11.38':59625
  • '<LOCALNET>.11.37':16507
  • '<LOCALNET>.11.36':12444
  • '<LOCALNET>.11.35':14660
  • '<LOCALNET>.11.31':31168
  • '<LOCALNET>.11.33':22914
  • '<LOCALNET>.11.32':18851
  • '<LOCALNET>.11.30':27105
  • '<LOCALNET>.11.29':52217
  • '<LOCALNET>.11.40':61558
  • '<LOCALNET>.11.28':56280
  • '<LOCALNET>.11.34':10597
  • '<LOCALNET>.11.26':14870
  • '<LOCALNET>.11.41':57431
  • '<LOCALNET>.11.43':49173
  • '<LOCALNET>.11.44':45298
  • '<LOCALNET>.11.45':41171
  • '<LOCALNET>.11.46':37040
  • '<LOCALNET>.11.47':32913
  • '<LOCALNET>.11.48':29054
  • '<LOCALNET>.11.50':49991
  • '<LOCALNET>.11.51':54118
  • '<LOCALNET>.11.53':62244
  • '<LOCALNET>.11.54':33731
  • '<LOCALNET>.11.87':50684
  • '<LOCALNET>.11.88':13331
  • '<LOCALNET>.11.27':10807
  • '<LOCALNET>.11.49':24927
  • '<LOCALNET>.11.60':38420
  • '<LOCALNET>.11.90':34346
  • '<LOCALNET>.11.125':27764
  • '<LOCALNET>.11.126':23575
  • '<LOCALNET>.11.127':19510
  • '<LOCALNET>.11.128':48601
  • '<LOCALNET>.11.129':44536
  • '<LOCALNET>.11.130':14165
  • '<LOCALNET>.11.131':18230
  • '<LOCALNET>.11.132':12194
  • '<LOCALNET>.11.133':16259
  • '<LOCALNET>.11.134':20324
  • '<LOCALNET>.11.135':24389
  • '<LOCALNET>.11.136':28454
  • '<LOCALNET>.11.137':32519
  • '<LOCALNET>.11.12':12225
  • '<LOCALNET>.11.23':27315
  • '<LOCALNET>.11.122':17416
  • '<LOCALNET>.11.61':34357
  • '<LOCALNET>.11.142':46645
  • '<LOCALNET>.11.143':42516
  • '<LOCALNET>.11.144':55027
  • '<LOCALNET>.11.145':50898
  • '<LOCALNET>.11.146':63153
  • '<LOCALNET>.11.147':59024
  • '<LOCALNET>.11.148':16116
  • '<LOCALNET>.11.149':11987
  • '<LOCALNET>.11.150':42310
  • '<LOCALNET>.11.151':46439
  • '<LOCALNET>.11.152':34052
  • '<LOCALNET>.11.123':13351
  • '<LOCALNET>.11.22':31378
  • '<LOCALNET>.11.141':34390
  • '<LOCALNET>.11.120':15569
  • '<LOCALNET>.11.106':14965
  • '<LOCALNET>.11.92':42600
  • '<LOCALNET>.11.93':46665
  • '<LOCALNET>.11.94':50862
  • '<LOCALNET>.11.95':54927
  • '<LOCALNET>.11.96':59116
  • '<LOCALNET>.11.97':63181
  • '<LOCALNET>.11.98':11927
  • '<LOCALNET>.11.99':15992
  • '<LOCALNET>.11.100':23219
  • '<LOCALNET>.11.101':19090
  • '<LOCALNET>.11.102':31473
  • '<LOCALNET>.11.103':27344
  • '<LOCALNET>.11.104':16812
  • '<LOCALNET>.11.124':31829
  • '<LOCALNET>.11.91':38411
  • '<LOCALNET>.11.107':10836
  • '<LOCALNET>.11.108':56251
  • '<LOCALNET>.11.109':52122
  • '<LOCALNET>.11.110':27010
  • '<LOCALNET>.11.111':31139
  • '<LOCALNET>.11.112':18880
  • '<LOCALNET>.11.113':23009
  • '<LOCALNET>.11.114':10502
  • '<LOCALNET>.11.115':14631
  • '<LOCALNET>.11.116':12473
  • '<LOCALNET>.11.117':16602
  • '<LOCALNET>.11.118':59530
  • '<LOCALNET>.11.119':63659
  • '<LOCALNET>.11.105':12683
  • '<LOCALNET>.11.139':40649
Другое
Добавляет корневой сертификат
Ищет следующие окна
  • ClassName: 'ProgMan' WindowName: ''
  • ClassName: 'SHELLDLL_DefView' WindowName: ''
  • ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
  • '%WINDIR%\f27b9\csrss.exe'
  • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "<Полный путь к файлу>"' (со скрытым окном)
  • '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
Запускает на исполнение
  • '<SYSTEM32>\svchost.exe'
  • '<SYSTEM32>\ipconfig.exe' /flushdns
  • '%WINDIR%\syswow64\cmd.exe' /c timeout /t 1 & del /Q /F "<Полный путь к файлу>"
  • '%WINDIR%\syswow64\timeout.exe' /t 1

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке