Trojan.Hosts.1030

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'zsyvebtqrr' = '<SYSTEM32>\autolfnr.exe'

Вредоносные функции:

Создает и запускает на исполнение:

'<SYSTEM32>\autolfnr.exe'

Запускает на исполнение:

'<SYSTEM32>\ntvdm.exe' -f -i1
'<SYSTEM32>\ipconfig.exe' /flushdns

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\Temp\scs1.tmp
%WINDIR%\Temp\scs2.tmp
%TEMP%\~unins4109.bat
<SYSTEM32>\autolfnr.exe
%HOMEPATH%xplore.exe

Присваивает атрибут 'скрытый' для следующих файлов:

<SYSTEM32>\autolfnr.exe

Удаляет следующие файлы:

%WINDIR%\Temp\scs2.tmp
%WINDIR%\Temp\scs1.tmp

Изменяет файл HOSTS.

Самоудаляется.

Сетевая активность:

Подключается к:

'im###hut4.cn':80
'ch####ebspeed.net':80

TCP:

Запросы HTTP GET:

ch####ebspeed.net/html/license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html
im###hut4.cn/update/utu.dat
ch####ebspeed.net/html/license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html

UDP:

DNS ASK im###hut4.cn
DNS ASK ch####ebspeed.net

Другое:

Ищет следующие окна:

ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-bd0.bd4.390001'

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android