Trojan.DownLoader11.49454

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Device Web Hardware File Removal Driver' = '%APPDATA%\ypjiotdy\ejewhtqfjjdw.exe'

Вредоносные функции:

Создает и запускает на исполнение:

'%APPDATA%\ypjiotdy\nrngyeb.exe' "%APPDATA%\ypjiotdy\ejewhtqfjjdw.exe"
'%APPDATA%\ypjiotdy\ejewhtqfjjdw.exe'

Изменения в файловой системе:

Создает следующие файлы:

%APPDATA%\ypjiotdy\ejewhtqfjjdw.kddj5
%APPDATA%\ypjiotdy\nrngyeb.exe
%APPDATA%\ypjiotdy\ejewhtqfjjdw.exe

Присваивает атрибут 'скрытый' для следующих файлов:

%APPDATA%\ypjiotdy\ejewhtqfjjdw.exe

Сетевая активность:

Подключается к:

'st####thwelcome.net':80
'de####complete.net':80
'pr####ecomplete.net':80
'st####tharound.net':80
'mo####ntnature.net':80
'st#####hcomplete.net':80
'st####thproud.net':80
'de####welcome.net':80
'pr####ewelcome.net':80
're####complete.net':80
'pr####earound.net':80
'de###eproud.net':80
'pr####eproud.net':80
'de####around.net':80
'bu####ngneedle.net':80
'ev####gnature.net':80
'bu####ngnature.net':80
'ev####gneedle.net':80
'bu####nggovern.net':80
'ev####genough.net':80
'bu####ngenough.net':80
'ou####eneedle.net':80
'mo####ntneedle.net':80
'ou####enature.net':80
'mo####ntenough.net':80
'ou####egovern.net':80
'mo####ntgovern.net':80
'ou####eenough.net':80
'br####complete.net':80
'do####welcome.net':80
'mi####omplete.net':80
'st####omplete.net':80
'pr####welcome.net':80
'do###rproud.net':80
'pr####around.net':80
'do####around.net':80
'mi####elcome.net':80
'st####elcome.net':80
'ev####gcomplete.net':80
'st###around.net':80
'mi###proud.net':80
'st###proud.net':80
'mi###around.net':80
're####welcome.net':80
'br####welcome.net':80
'fe####complete.net':80
'br####around.net':80
're###tproud.net':80
'br###nproud.net':80
're####around.net':80
'pr####complete.net':80
'do####complete.net':80
'pr###yproud.net':80
'fe####welcome.net':80
'do###eproud.net':80
'fe###wproud.net':80
'fe####around.net':80

TCP:

Запросы HTTP GET:

st####thwelcome.net/index.php?em##############################################
de####complete.net/index.php?em##############################################
pr####ecomplete.net/index.php?em##############################################
st####tharound.net/index.php?em##############################################
mo####ntnature.net/index.php?em##############################################
st#####hcomplete.net/index.php?em##############################################
st####thproud.net/index.php?em##############################################
de####welcome.net/index.php?em##############################################
pr####ewelcome.net/index.php?em##############################################
re####complete.net/index.php?em##############################################
pr####earound.net/index.php?em##############################################
de###eproud.net/index.php?em##############################################
pr####eproud.net/index.php?em##############################################
de####around.net/index.php?em##############################################
bu####ngneedle.net/index.php?em##############################################
ev####gnature.net/index.php?em##############################################
bu####ngnature.net/index.php?em##############################################
ev####gneedle.net/index.php?em##############################################
bu####nggovern.net/index.php?em##############################################
ev####genough.net/index.php?em##############################################
bu####ngenough.net/index.php?em##############################################
ou####eneedle.net/index.php?em##############################################
mo####ntneedle.net/index.php?em##############################################
ou####enature.net/index.php?em##############################################
mo####ntenough.net/index.php?em##############################################
ou####egovern.net/index.php?em##############################################
mo####ntgovern.net/index.php?em##############################################
ou####eenough.net/index.php?em##############################################
br####complete.net/index.php?em##############################################
do####welcome.net/index.php?em##############################################
mi####omplete.net/index.php?em##############################################
st####omplete.net/index.php?em##############################################
pr####welcome.net/index.php?em##############################################
do###rproud.net/index.php?em##############################################
pr####around.net/index.php?em##############################################
do####around.net/index.php?em##############################################
mi####elcome.net/index.php?em##############################################
st####elcome.net/index.php?em##############################################
ev####gcomplete.net/index.php?em##############################################
st###around.net/index.php?em##############################################
mi###proud.net/index.php?em##############################################
st###proud.net/index.php?em##############################################
mi###around.net/index.php?em##############################################
re####welcome.net/index.php?em##############################################
br####welcome.net/index.php?em##############################################
fe####complete.net/index.php?em##############################################
br####around.net/index.php?em##############################################
re###tproud.net/index.php?em##############################################
br###nproud.net/index.php?em##############################################
re####around.net/index.php?em##############################################
pr####complete.net/index.php?em##############################################
do####complete.net/index.php?em##############################################
pr###yproud.net/index.php?em##############################################
fe####welcome.net/index.php?em##############################################
do###eproud.net/index.php?em##############################################
fe###wproud.net/index.php?em##############################################
fe####around.net/index.php?em##############################################

UDP:

DNS ASK st####thwelcome.net
DNS ASK de####complete.net
DNS ASK pr####ecomplete.net
DNS ASK st####tharound.net
DNS ASK mo####ntnature.net
DNS ASK st#####hcomplete.net
DNS ASK st####thproud.net
DNS ASK de####welcome.net
DNS ASK pr####ewelcome.net
DNS ASK re####complete.net
DNS ASK pr####earound.net
DNS ASK de###eproud.net
DNS ASK pr####eproud.net
DNS ASK de####around.net
DNS ASK ou####enature.net
DNS ASK ev####gneedle.net
DNS ASK bu####ngneedle.net
DNS ASK ev####gnature.net
DNS ASK bu####ngenough.net
DNS ASK ev####ggovern.net
DNS ASK bu####nggovern.net
DNS ASK ev####genough.net
DNS ASK mo####ntenough.net
DNS ASK ou####eneedle.net
DNS ASK mo####ntneedle.net
DNS ASK ou####eenough.net
DNS ASK bu####ngnature.net
DNS ASK ou####egovern.net
DNS ASK mo####ntgovern.net
DNS ASK do####welcome.net
DNS ASK mi####omplete.net
DNS ASK st####omplete.net
DNS ASK pr####welcome.net
DNS ASK do###rproud.net
DNS ASK pr####around.net
DNS ASK do####around.net
DNS ASK mi####elcome.net
DNS ASK st####elcome.net
DNS ASK ev####gcomplete.net
DNS ASK st###around.net
DNS ASK mi###proud.net
DNS ASK st###proud.net
DNS ASK mi###around.net
DNS ASK pr###yproud.net
DNS ASK br####around.net
DNS ASK re####welcome.net
DNS ASK br####welcome.net
DNS ASK re####around.net
DNS ASK br####complete.net
DNS ASK re###tproud.net
DNS ASK br###nproud.net
DNS ASK fe####welcome.net
DNS ASK pr####complete.net
DNS ASK do####complete.net
DNS ASK fe####around.net
DNS ASK fe####complete.net
DNS ASK do###eproud.net
DNS ASK fe###wproud.net

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней