Загружает и исполняет файл https://asobimo[.]link/ubr.txt (6d8716cddc3ca6c8558eb4f842d81638f00f01f8), который представляет собой PowerShell-скрипт, подготавливающий систему для установки майнера Trojan.BtcMine.2742.

Делает POST-запрос к http://microduck3.duckdns[.]org:408.

В ответ получает следующие команды:

Команда	Описание
exc	Запуск нагрузки из [аргумента 1]
Sc	Запись [аргумента 1] в %TEMP%/ [аргумент 2] и его запуск в свернутом окне
Rf	Запись [аргумента 1] в %TEMP%/ [аргумент 2] и его запуск в скрытом окне
Ren	Перезапись текущей нагрузки [аргументом 1]
Up	Запуск нагрузки с сервера с помощью wscript.exe
Un	Запуск полученной с сервера нагрузки с аргументами в виде полного пути до этой нагрузки и названия файла
Cl	Завершение работы бэкдора

Матрица Mitre

Этап	Тактика
Выполнение	Интерпретаторы командной строки и сценариев (T1059) Visual Basic (T1059.005)
Организация управления	Протокол прикладного уровня (T1071) Веб-протоколы (T1071.001) DNS (T1071.004) Обфускация данных (T1001) Имитация протокола (T1001.003)

Этап

Тактика

Выполнение

Интерпретаторы командной строки и сценариев (T1059)

Visual Basic (T1059.005)

Организация управления

Протокол прикладного уровня (T1071)

Веб-протоколы (T1071.001)

DNS (T1071.004)

Обфускация данных (T1001)

Имитация протокола (T1001.003)

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Технологии

Термины

Обучение и просвещение

Мифы

VBS.DownLoader.2822

Описание

Принцип действия

Рекомендации по лечению

Демо бесплатно на 14 дней