Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader11.46793
Добавлен в вирусную базу Dr.Web:
2014-11-26
Описание добавлено:
2014-11-26
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Malwarebytes Anti-Exploit' = '%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.exe'
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\ESProtectionDriver] 'Start' = '00000001'
[<HKLM>\SYSTEM\ControlSet001\Services\MbaeSvc] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
'%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-svc.exe' -install
'%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-svc.exe'
'%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.exe' /open
'%WINDIR%\ToxiczUnattendeds\Setup.exe' /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /SP-
'%TEMP%\is-8U2F4.tmp\Setup.tmp' /SL5="$100EA,2364404,119296,%WINDIR%\ToxiczUnattendeds\Setup.exe" /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /SP-
'%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-uninstaller.exe' /install
Внедряет код в
следующие пользовательские процессы:
iexplore.exe
firefox.exe
chrome.exe
javaw.exe
java.exe
opera.exe
Изменения в файловой системе:
Создает следующие файлы:
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-41G74.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-004V4.tmp
%ALLUSERSPROFILE%\Application Data\Malwarebytes Anti-Exploit\mbae-default.log
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-uninstall.log
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-KUSRL.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-GPH3J.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-TEIMH.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-MBMAJ.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-V5RP7.tmp
%ALLUSERSPROFILE%\Start Menu\Programs\Malwarebytes Anti-Exploit\Malwarebytes Anti-Exploit.lnk
%ALLUSERSPROFILE%\Application Data\Malwarebytes Anti-Exploit\mbae-report.dat
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\unins000.dat
%ALLUSERSPROFILE%\Start Menu\Programs\Malwarebytes Anti-Exploit\Uninstall Malwarebytes Anti-Exploit.lnk
%ALLUSERSPROFILE%\Application Data\Malwarebytes Anti-Exploit\mbae-service.log
%ALLUSERSPROFILE%\Application Data\Malwarebytes Anti-Exploit\mbae-protector.xpe
%ALLUSERSPROFILE%\Application Data\Malwarebytes Anti-Exploit\mbae-config.dat
%ALLUSERSPROFILE%\Application Data\Malwarebytes Anti-Exploit\mbae-dll.log
%ALLUSERSPROFILE%\Application Data\Malwarebytes Anti-Exploit\mbae-svc.dat
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-085BP.tmp
%WINDIR%\ToxiczUnattendeds\Reg64.reg
%TEMP%\aut3.tmp
%WINDIR%\ToxiczUnattendeds\Reg86.reg
%TEMP%\aut4.tmp
%WINDIR%\ToxiczUnattendeds\Setup.exe
%WINDIR%\ToxiczUnattendeds\Toxicz.jpg
%TEMP%\aut1.tmp
%TEMP%\aut2.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-2FDO6.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-JU5NT.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-IH9SF.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-50M4R.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-1FS53.tmp
%TEMP%\is-NR7G7.tmp\_isetup\_shfoldr.dll
%TEMP%\is-8U2F4.tmp\Setup.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-TIUN6.tmp
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-9E66R.tmp
Удаляет следующие файлы:
%TEMP%\aut4.tmp
%TEMP%\is-NR7G7.tmp\_isetup\_shfoldr.dll
%TEMP%\aut3.tmp
%TEMP%\aut1.tmp
%TEMP%\aut2.tmp
Перемещает следующие файлы:
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.dll._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.dll
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.dll._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.dll
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mb-lib.dll._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mb-lib.dll
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-KUSRL.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.chm
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-004V4.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\version.txt
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-41G74.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\changelog.txt
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.exe._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.exe
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.exe._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.exe
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-svc.exe._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-svc.exe
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-api.dll._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-api.dll
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.sys._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.sys
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.sys._ в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.sys
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-JU5NT.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.dll._
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-2FDO6.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.exe._
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-50M4R.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-svc.exe._
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-9E66R.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\unins000.exe
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-TIUN6.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.exe._
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-1FS53.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae64.sys._
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-GPH3J.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mb-lib.dll._
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-V5RP7.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-uninstaller.exe
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-MBMAJ.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\license.rtf
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-IH9SF.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.sys._
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-085BP.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae-api.dll._
%PROGRAM_FILES%\Malwarebytes Anti-Exploit\is-TEIMH.tmp в %PROGRAM_FILES%\Malwarebytes Anti-Exploit\mbae.dll._
Сетевая активность:
Подключается к:
'da######.mbamupdates.com':80
'st###.#bamupdates.com':443
TCP:
Запросы HTTP GET:
da######.mbamupdates.com/v2/mbae/consumer/version.chk
UDP:
DNS ASK da######.mbamupdates.com
DNS ASK st###.#bamupdates.com
Другое:
Ищет следующие окна:
ClassName: 'GuiAnti-Exploit' WindowName: 'Malwarebytes Anti-Exploit Free'
ClassName: 'GuiAnti-Exploit' WindowName: 'Malwarebytes Anti-Exploit Premium'
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'BUTTON' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK