Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader11.64083
Добавлен в вирусную базу Dr.Web:
2015-01-04
Описание добавлено:
2015-01-04
Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\tdhzpukd.exe' = '<SYSTEM32>\tdhzpukd.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\eoevejky.exe' = '<SYSTEM32>\eoevejky.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\slbvqifw.exe' = '<SYSTEM32>\slbvqifw.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\zkppvjnj.exe' = '<SYSTEM32>\zkppvjnj.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\tcxakfto.exe' = '<SYSTEM32>\tcxakfto.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\qykxdeoc.exe' = '<SYSTEM32>\qykxdeoc.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\csqpnpzy.exe' = '<SYSTEM32>\csqpnpzy.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\bdyqrqnc.exe' = '<SYSTEM32>\bdyqrqnc.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ukbtqhdd.exe' = '<SYSTEM32>\ukbtqhdd.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\vkibrriq.exe' = '<SYSTEM32>\vkibrriq.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\tpigiivc.exe' = '<SYSTEM32>\tpigiivc.exe:*:Enabled:Microsoft (R) Internetal IExplore'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\qsypwjme.exe' = '<SYSTEM32>\qsypwjme.exe:*:Enabled:Microsoft (R) Internetal IExplore'
Создает и запускает на исполнение:
'<SYSTEM32>\bdyqrqnc.exe'
'<SYSTEM32>\csqpnpzy.exe'
'<SYSTEM32>\eoevejky.exe'
'<SYSTEM32>\wxzbynms.exe'
'<SYSTEM32>\qykxdeoc.exe'
'<SYSTEM32>\tcxakfto.exe'
'<SYSTEM32>\tdhzpukd.exe'
'<SYSTEM32>\ukbtqhdd.exe'
'<SYSTEM32>\qsypwjme.exe'
'<SYSTEM32>\tpigiivc.exe'
'<SYSTEM32>\zkppvjnj.exe'
'<SYSTEM32>\slbvqifw.exe'
'<SYSTEM32>\vkibrriq.exe'
Запускает на исполнение:
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\eoevejky.exe" /t REG_SZ /d "<SYSTEM32>\eoevejky.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\wbem\wmiadap.exe' /R /T
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\zkppvjnj.exe" /t REG_SZ /d "<SYSTEM32>\zkppvjnj.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\tdhzpukd.exe" /t REG_SZ /d "<SYSTEM32>\tdhzpukd.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\tcxakfto.exe" /t REG_SZ /d "<SYSTEM32>\tcxakfto.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\qykxdeoc.exe" /t REG_SZ /d "<SYSTEM32>\qykxdeoc.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\csqpnpzy.exe" /t REG_SZ /d "<SYSTEM32>\csqpnpzy.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\bdyqrqnc.exe" /t REG_SZ /d "<SYSTEM32>\bdyqrqnc.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\slbvqifw.exe" /t REG_SZ /d "<SYSTEM32>\slbvqifw.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v DisableNotifications /t REG_DWORD /d 1 /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<Полный путь к вирусу>" /t REG_SZ /d "<Полный путь к вирусу>:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v EnableFirewall /t REG_DWORD /d 0 /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v DoNotAllowExceptions /t REG_DWORD /d 0 /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\ukbtqhdd.exe" /t REG_SZ /d "<SYSTEM32>\ukbtqhdd.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\vkibrriq.exe" /t REG_SZ /d "<SYSTEM32>\vkibrriq.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\tpigiivc.exe" /t REG_SZ /d "<SYSTEM32>\tpigiivc.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
'<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\qsypwjme.exe" /t REG_SZ /d "<SYSTEM32>\qsypwjme.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
Внедряет код в
следующие системные процессы:
Изменения в файловой системе:
Создает следующие файлы:
<SYSTEM32>\csqpnpzy.exe
<SYSTEM32>\eoevejky.exe
<SYSTEM32>\tdhzpukd.exe
<SYSTEM32>\bdyqrqnc.exe
<SYSTEM32>\wxzbynms.exe
<SYSTEM32>\qykxdeoc.exe
<SYSTEM32>\tcxakfto.exe
<SYSTEM32>\zkppvjnj.exe
<SYSTEM32>\tpigiivc.exe
<SYSTEM32>\MSWINSCK.ocx
<SYSTEM32>\qsypwjme.exe
<SYSTEM32>\slbvqifw.exe
<SYSTEM32>\vkibrriq.exe
<SYSTEM32>\ukbtqhdd.exe
Присваивает атрибут 'скрытый' для следующих файлов:
<SYSTEM32>\bdyqrqnc.exe
<SYSTEM32>\csqpnpzy.exe
<SYSTEM32>\eoevejky.exe
<SYSTEM32>\wxzbynms.exe
<SYSTEM32>\qykxdeoc.exe
<SYSTEM32>\tcxakfto.exe
<SYSTEM32>\tdhzpukd.exe
<SYSTEM32>\ukbtqhdd.exe
<SYSTEM32>\qsypwjme.exe
<SYSTEM32>\tpigiivc.exe
<SYSTEM32>\zkppvjnj.exe
<SYSTEM32>\slbvqifw.exe
<SYSTEM32>\vkibrriq.exe
Удаляет следующие файлы:
%TEMP%\~DF411.tmp
%TEMP%\~DF36EF.tmp
%TEMP%\~DF8AB4.tmp
%TEMP%\~DFCE8C.tmp
%TEMP%\~DFEF30.tmp
%TEMP%\~DFF63E.tmp
%TEMP%\~DFE5FE.tmp
%TEMP%\~DFB4F3.tmp
%TEMP%\~DF9F40.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\MSWINSCK[1].OCX
%TEMP%\~DF9B0D.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\MSWINSCK[1].OCX
%TEMP%\~DFF0.tmp
%TEMP%\~DF37DD.tmp
%TEMP%\~DF7A3D.tmp
Сетевая активность:
Подключается к:
'localhost':1068
'localhost':1065
'localhost':1062
'localhost':1071
'localhost':1080
'localhost':1077
'localhost':1074
'localhost':1058
'localhost':1043
'pd###.egloos.com':80
'localhost':1038
'localhost':1046
'localhost':1056
'localhost':1053
'localhost':1049
TCP:
Запросы HTTP GET:
pd###.egloos.com/pds/201401/25/40/MSWINSCK.OCX
UDP:
Другое:
Ищет следующие окна:
ClassName: 'MS_WebcheckMonitor' WindowName: ''
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK