Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader7.39866
Добавлен в вирусную базу Dr.Web:
2012-12-16
Описание добавлено:
2014-08-02
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] '' = ''
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
[<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
[<HKLM>\SOFTWARE\Classes\cmdfile\shell\open\command] '' = '"%1" %*'
[<HKLM>\SOFTWARE\Classes\comfile\shell\open\command] '' = '"%1" %*'
[<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '"%1" %*'
[<HKLM>\SOFTWARE\Classes\batfile\shell\open\command] '' = '"%1" %*'
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\PROCEXP90] 'ImagePath' = '<DRIVERS>\PROCEXP90.SYS'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
Компонент восстановления системы (SR)
Создает и запускает на исполнение:
'C:\32788R22FWJFW\hidec.exe' "<SYSTEM32>\CF25345.exe" /f:off /d /c call Start_.cmd
'C:\32788R22FWJFW\FINDSTR.cfexe' -LIXC:"<Имя вируса>" DirName00
'C:\32788R22FWJFW\FINDSTR.cfexe' -IVX ComboFix
'<SYSTEM32>\CF25345.exe' /C DEL "\32788R22FWJFW\prep.cmd"
'C:\32788R22FWJFW\hidec.exe' "<SYSTEM32>\CF25345.exe" /C DEL "\32788R22FWJFW\prep.cmd"
'<SYSTEM32>\CF25345.exe' /f:off /d /c call Start_.cmd
'<SYSTEM32>\CF25345.exe' /S /D /c" DIR /AD/B C:\* "
'C:\32788R22FWJFW\grep.cfexe' -sqx "REGEDIT4" Fin.dat
'C:\32788R22FWJFW\SWREG.cfexe' acl "hklm\software\microsoft\windows nt\currentversion\windows" /DE:F /Q
'C:\32788R22FWJFW\grep.cfexe' -sq "currentversion.* 6.0" OsVer00
'C:\32788R22FWJFW\grep.cfexe' -isqx "FileName=[-[:alnum:]@.]*" FileName
'C:\32788R22FWJFW\Attrib.cfexe' +R "C:\32788R22FWJFW\*.com"
'C:\32788R22FWJFW\Attrib.cfexe' +R "C:\32788R22FWJFW\*.cfexe"
'<SYSTEM32>\CF25345.exe' /k c.bat
'<SYSTEM32>\CF25345.exe' /S /D /c" ( ECHO.26189 http://do######.bleepingcomputer.com/sUBs/ & ECHO.1923 http://su##.#eekstogo.com/ & ECHO.28992 http://www.fo###pyware.com/sUBs/ )"
'C:\<Имя вируса>\grep.cfexe' -isq "\/u" sfx.cmd
'C:\<Имя вируса>\grep.cfexe' -sq \\ ForeignA.dat
'C:\<Имя вируса>\nircmd.com' QBOXCOM "There's a newer version of ComboFix available.~n~nWould you like to update ComboFix?" "Update" RETURNVAL 1
'C:\<Имя вируса>\FINDSTR.cfexe' MANDATORY Version.txt
'C:\<Имя вируса>\ComboFix-Download.exe' http://su##.#eekstogo.com/version.txt .\ /delete
'C:\<Имя вируса>\FINDSTR.cfexe' -IV "\\detoured\.dll" ForeignC01
'<SYSTEM32>\CF25345.exe' /S /D /c" ECHO..CFEXE;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH"
'C:\<Имя вируса>\grep.cfexe' -sqx "REGEDIT4" Fin.dat
'C:\<Имя вируса>\pv.cfexe' -kf cmd.exe
'C:\<Имя вируса>\sed.cfexe' -r "1d; /\t$/!d; /?:\\/d; s/.*\t(.:\\.*)\t.*/\1/;" ForeignC00
'C:\<Имя вируса>\pv.cfexe' -m CF25345.exe -q -e
'C:\<Имя вируса>\grep.cfexe' -qi "\.CFEXE;"
'C:\32788R22FWJFW\SWREG.cfexe' query "hklm\software\microsoft\windows nt\currentversion\windows"
'C:\32788R22FWJFW\handle.cfexe'
'<SYSTEM32>\cmd.execf' /c 32788R22FWJFW\prep.cmd >Bug.txt
'C:\32788R22FWJFW\nircmd.com' cmdwait 500 exec hide "<SYSTEM32>\cmd.execf" /c 32788R22FWJFW\prep.cmd >Bug.txt
'C:\32788R22FWJFW\NirCmd.cfexe' win close class "#32770"
'C:\32788R22FWJFW\pv.cfexe' -kf runonce.exe grpconv.exe
'C:\32788R22FWJFW\sed.cfexe' -r "/<Non-existant Process> pid: ([0-9]*) .*/!d; s//@Nircmd KillProcess \/\1/" HandleNon-existantProcess00
'C:\32788R22FWJFW\gsar.cfexe' -if -s\:000M:000i:000c:000r:000o -r\:001M:000i:000c:000r:000o "<SYSTEM32>\cmd.exe" "<SYSTEM32>\cmd.execf"
'C:\32788R22FWJFW\nircmd.com' exec hide 32788R22FWJFW\SWREG.exe acl "hklm\software\microsoft\windows nt\currentversion\windows" /de:f /q
'C:\32788R22FWJFW\hidec.exe' 32788R22FWJFW\swreg.exe import 32788R22FWJFW\EXE.reg
'C:\32788R22FWJFW\nircmd.com' shexec install 32788R22FWJFW\nircmd.inf
'C:\32788R22FWJFW\nircmd.com' exec hide 32788R22FWJFW\GSAR.cfexe -if -s\:000M:000i:000c:000r:000o -r\:001M:000i:000c:000r:000o "<SYSTEM32>\cmd.exe" "<SYSTEM32>\cmd.execf"
'C:\32788R22FWJFW\swreg.exe' acl "hklm\software\microsoft\windows nt\currentversion\windows" /de:f /q
'C:\32788R22FWJFW\swreg.exe' import 32788R22FWJFW\EXE.reg
'C:\32788R22FWJFW\NirCmd.cfexe' win close ititle "ComboFix"
'<SYSTEM32>\cmd.execf' /S /D /c" SET SfxCmd 2>N_\32393"
'C:\32788R22FWJFW\sed.cfexe' "/.*\t/!d; s///" NlsLanguage00
'C:\32788R22FWJFW\SWREG.cfexe' QUERY "HKLM\System\CurrentControlSet\Control\NLS\Language" /V Default
'C:\32788R22FWJFW\SWREG.cfexe' acl "hklm\software\microsoft\windows nt\currentversion\windows" /RE:F /Q
'C:\32788R22FWJFW\grep.cfexe' -sq "=.*[a-z]" sfx.cmd
'C:\32788R22FWJFW\sed.cfexe' -r "/SfxCmd=(.[^\x22]*\x22 +|[^\x22]*\.... +)/I!d; s//@SET SfxCmd=/"
'C:\32788R22FWJFW\SWREG.cfexe' ADD HKU\S-1-5-18\Console /V CodePage /T REG_DWORD /D "1251"
'C:\32788R22FWJFW\grep.cfexe' -qi ".CFEXE;"
'<SYSTEM32>\cmd.execf' /S /D /c" SET PATHEXT"
'C:\32788R22FWJFW\swreg.exe' add "hklm\software\microsoft\windows\currentversion\app paths\combofix.exe" /ve /d "<Полный путь к вирусу>"
'C:\32788R22FWJFW\SWREG.cfexe' ADD HKCU\Console /V CodePage /T REG_DWORD /D "1251"
'C:\32788R22FWJFW\sed.cfexe' "/.*\t/!d; s//@CHCP.com /" NlsCodePageACP00
'C:\32788R22FWJFW\SWREG.cfexe' QUERY "HKLM\SYSTEM\CurrentControlSet\Control\Nls\CodePage" /V ACP
Запускает на исполнение:
'<SYSTEM32>\findstr.exe' -EI "16" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "10" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "07" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "[4C]04" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "[08]04" NlsLanguageDefault
'<SYSTEM32>\ping.exe' -n 2 google.com
'<SYSTEM32>\sort.exe'
'<SYSTEM32>\findstr.exe' -EI "0B" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "05" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "15" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "13" NlsLanguageDefault
'<SYSTEM32>\grpconv.exe' -o
'<SYSTEM32>\find.exe' "Windows XP" OsVer
'<SYSTEM32>\find.exe' "Microsoft Windows [Version 5.2.3790]" OsVer
'<SYSTEM32>\rundll32.exe' setupapi,InstallHinfSection DefaultInstall 132 C:\32788R22FWJFW\nircmd.inf
'<SYSTEM32>\runonce.exe' -r
'<SYSTEM32>\findstr.exe' -EI "0A" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "0C" NlsLanguageDefault
'<SYSTEM32>\findstr.exe' -EI "09" NlsLanguageDefault
'<SYSTEM32>\attrib.exe' +R "<Полный путь к вирусу>"
'<SYSTEM32>\chcp.com' 1251
Завершает или пытается завершить
следующие системные процессы:
Изменения в файловой системе:
Создает следующие файлы:
Удаляет следующие файлы:
C:\32788R22FWJFW\N_\N
C:\32788R22FWJFW\N_\25467
C:\32788R22FWJFW\N_\13811
C:\Bug.txt
C:\<Имя вируса>\ForeignC00
<SYSTEM32>\cmd.execf
C:\Start_.cmd
C:\32788R22FWJFW\Prep.cmd
C:\32788R22FWJFW\NlsCodePageACP00
C:\32788R22FWJFW\HandleNon-existantProcess00
<DRIVERS>\PROCEXP90.SYS
C:\32788R22FWJFW\NlsLanguage00
C:\32788R22FWJFW\DirName00
C:\32788R22FWJFW\FileName
C:\32788R22FWJFW\NirCmd.inf
Перемещает следующие файлы:
Сетевая активность:
Подключается к:
TCP:
Запросы HTTP GET:
su##.#eekstogo.com/version.txt
UDP:
DNS ASK su##.#eekstogo.com
DNS ASK google.com
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: 'EDIT' WindowName: '(null)'
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK