Trojan.DownLoader10.1047

Добавлен в вирусную базу Dr.Web: 2013-08-10

Описание добавлено: 2013-08-10

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Internet' = '%APPDATA%\Internet\Internetsecurity2013.exe'

Вредоносные функции:

Создает и запускает на исполнение:

'%APPDATA%\Internet\InternetSecurity.exe' /pid=5280
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7356
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7024
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4300
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5052
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5032
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5784
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7456
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6412
'%APPDATA%\Internet\InternetSecurity.exe' /pid=8112
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5704
'%APPDATA%\Internet\InternetSecurity.exe' /pid=1120
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7832
'%APPDATA%\Internet\InternetSecurity.exe' /pid=8020
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7700
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3796
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7732
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7980
'%APPDATA%\Internet\InternetSecurity.exe' /pid=8140
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7880
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6784
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7188
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7400
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6372
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4900
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6788
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4420
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6712
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7952
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4720
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6312
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6004
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7840
'%APPDATA%\Internet\InternetSecurity.exe' /pid=8120
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7240
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7084
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7372
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6464
'%APPDATA%\Internet\InternetSecurity.exe' /pid=2508
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7256
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5836
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5504
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6344
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3032
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7780
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3516
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5556
'%APPDATA%\Internet\InternetSecurity.exe' /pid=2352
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7032
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4076
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6104
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4620
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6268
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6872
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4432
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6212
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6952
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3964
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7184
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5876
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6164
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7520
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6508
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6148
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6832
'%APPDATA%\Internet\InternetSecurity.exe' /pid=308
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6228
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6748
'%APPDATA%\Internet\InternetSecurity.exe' /pid=1484
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7008
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7276
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7376
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7596
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7204
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7148
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6828
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7168
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6768
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5200
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5100
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6388
'%APPDATA%\Internet\InternetSecurity.exe' -a sha256 -o http://18################rm9Ao3sWac97RDMo:x@getwork.mining.eligius.st:8337 -T 80 -l yes
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6792
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5804
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5000
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4220
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3704
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3240
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4320
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4800
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4700
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6308
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7716
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3316
'%APPDATA%\Internet\InternetSecurity.exe' /pid=2760
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3916
'%APPDATA%\Internet\InternetSecurity.exe' /pid=2604
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7132
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6852
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3636
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3364
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5756
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4780
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6664
'%APPDATA%\Internet\InternetSecurity.exe' /pid=3160
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4152
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4752
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4952
'%APPDATA%\Internet\InternetSecurity.exe' /pid=5624
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6492
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6592
'%APPDATA%\Internet\InternetSecurity.exe' /pid=8132
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7900
'%APPDATA%\Internet\InternetSecurity.exe' /pid=7996
'%APPDATA%\Internet\InternetSecurity.exe' /pid=8036
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6772
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6568
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6208
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6528
'%APPDATA%\Internet\InternetSecurity.exe' /pid=4120
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6428
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6808
'%APPDATA%\Internet\InternetSecurity.exe' /pid=6608
'%APPDATA%\Internet\InternetSecurity.exe' (загружен из сети Интернет)

Изменения в файловой системе:

Создает следующие файлы:

%APPDATA%\Internet\InternetSecurity.exe

Самоперемещается:

из <Полный путь к вирусу> в %APPDATA%\Internet\Internetsecurity2013.exe

Сетевая активность:

Подключается к:

'19#.#3.167.160':80
'wp#d':80

TCP:

Запросы HTTP GET:

19#.#3.167.160/sil1001/UFA.exe
wp#d/wpad.dat

UDP:

DNS ASK wp#d

Другое:

Ищет следующие окна:

ClassName: 'Indicator' WindowName: '(null)'

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней