Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
BackDoor.RMS.34
Добавлен в вирусную базу Dr.Web:
2012-05-25
Описание добавлено:
2014-10-21
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RWLN] 'Startup' = 'WLEventStartup'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RWLN] 'Logon' = 'WLEventLogon'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RWLN] 'DllName' = 'RWLN.dll'
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\RManService] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
'%PROGRAM_FILES%\Remote Manipulator System - Server\rutserv.exe' /start
'%PROGRAM_FILES%\Remote Manipulator System - Server\rfusclient.exe' /server /start
'%PROGRAM_FILES%\Remote Manipulator System - Server\rfusclient.exe' /tray
'%PROGRAM_FILES%\Remote Manipulator System - Server\rutserv.exe'
'%PROGRAM_FILES%\Remote Manipulator System - Server\rutserv.exe' /firewall
'%PROGRAM_FILES%\Remote Manipulator System - Server\rfusclient.exe' /server /silentinstall
'%TEMP%\1.tmp\RMS.exe'
'%PROGRAM_FILES%\Remote Manipulator System - Server\rfusclient.exe' /server /firewall
'%PROGRAM_FILES%\Remote Manipulator System - Server\rutserv.exe' /silentinstall
Запускает на исполнение:
'<SYSTEM32>\net.exe' stop rmanservice
'<SYSTEM32>\net1.exe' stop rmanservice
'<SYSTEM32>\ping.exe' localhost -n 3
'<SYSTEM32>\msiexec.exe' -Embedding 995CFC27D9DC1253BAD0DC181B523133
'<SYSTEM32>\msiexec.exe' -Embedding DBA5DB6DA1E9C08671DEB2275EB13CCE M Global\MSI0000
'<SYSTEM32>\ping.exe' localhost -n 5
'<SYSTEM32>\net1.exe' start rmanservice
'<SYSTEM32>\attrib.exe' +h +s +r /d /s "*.*"
'%WINDIR%\regedit.exe' /s 123.reg
'<SYSTEM32>\attrib.exe' +h +s +r /d /s "%PROGRAM_FILES%\Remote Manipulator System - Server"
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZipSfx.000\install.cmd" "
'<SYSTEM32>\chcp.com' 1251
'<SYSTEM32>\taskkill.exe' /f /im rutserv.exe
'<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\setup.bat" "
'<SYSTEM32>\taskkill.exe' /f /im rfusclient.exe
'<SYSTEM32>\ping.exe' 127.0.0.1
'<SYSTEM32>\msiexec.exe' /I "rms.server5.1b1ru.msi" /qn
'<SYSTEM32>\msiexec.exe' /x {11A90858-40BB-4858-A2DA-CA6495B5E907} /qn REBOOT=ReallySuppress
'<SYSTEM32>\msiexec.exe' /x {61FFA475-24D5-44FB-A51F-39B699E3D82C} /qn REBOOT=ReallySuppress
'<SYSTEM32>\msiexec.exe' /V
Изменения в файловой системе:
Создает следующие файлы:
%PROGRAM_FILES%\Remote Manipulator System - Server\HookDrv.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\rfusclient.exe
%PROGRAM_FILES%\Remote Manipulator System - Server\msvcp90.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\RIPCServer.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\EULA.rtf
%PROGRAM_FILES%\Remote Manipulator System - Server\msvcr90.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\vp8decoder.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\English.lg
%PROGRAM_FILES%\Remote Manipulator System - Server\rutserv.exe
%PROGRAM_FILES%\Remote Manipulator System - Server\dsfVorbisDecoder.dll
%WINDIR%\Installer\{11A90858-40BB-4858-A2DA-CA6495B5E907}\config_server_066CADD456D84808BDCEE928E4286C5B.exe
%WINDIR%\Installer\{11A90858-40BB-4858-A2DA-CA6495B5E907}\stop_server_F11ADA9A6E8F4FE79139D84A6B091D47.exe
<SYSTEM32>\RWLN.dll
%WINDIR%\Installer\MSI9.tmp
%WINDIR%\Installer\{11A90858-40BB-4858-A2DA-CA6495B5E907}\ROMServer.exe_84521F20C7744F7FAAC4E478858A721D.exe
%WINDIR%\Installer\MSI7.tmp
%PROGRAM_FILES%\Remote Manipulator System - Server\help.chm
%WINDIR%\Installer\{11A90858-40BB-4858-A2DA-CA6495B5E907}\UNINST_Uninstall_R_3B1E3C8B7D0945898DA82CEEED02F0C7.exe
%WINDIR%\Installer\{11A90858-40BB-4858-A2DA-CA6495B5E907}\ARPPRODUCTICON.exe
%PROGRAM_FILES%\Remote Manipulator System - Server\vp8encoder.dll
%TEMP%\7ZipSfx.000\rms.server5.1b1ru.msi
%WINDIR%\28122008.txt
%WINDIR%\Installer\3006e.msi
%TEMP%\7ZipSfx.000\install.cmd
%TEMP%\1.tmp\123.reg
%TEMP%\1.tmp\rfusclient.exe
%TEMP%\1.tmp\setup.bat
%TEMP%\1.tmp\rutserv.exe
%TEMP%\1.tmp\RMS.exe
%PROGRAM_FILES%\Remote Manipulator System - Server\Microsoft.VC90.CRT.manifest
%PROGRAM_FILES%\Remote Manipulator System - Server\RWLN.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\Russian.lg
%PROGRAM_FILES%\Remote Manipulator System - Server\dsfVorbisEncoder.dll
%WINDIR%\Installer\MSI6.tmp
%TEMP%\~4.tmp
%WINDIR%\Installer\MSI3.tmp
C:\Config.Msi\30071.rbs
%WINDIR%\Installer\MSI2.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
%PROGRAM_FILES%\Remote Manipulator System - Server\RIPCServer.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\Russian.lg
%PROGRAM_FILES%\Remote Manipulator System - Server\msvcr90.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\rfusclient.exe
%PROGRAM_FILES%\Remote Manipulator System - Server\vp8decoder.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\vp8encoder.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\rutserv.exe
%PROGRAM_FILES%\Remote Manipulator System - Server\RWLN.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\English.lg
%PROGRAM_FILES%\Remote Manipulator System - Server\EULA.rtf
%PROGRAM_FILES%\Remote Manipulator System - Server\dsfVorbisDecoder.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\dsfVorbisEncoder.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\Microsoft.VC90.CRT.manifest
%PROGRAM_FILES%\Remote Manipulator System - Server\msvcp90.dll
%PROGRAM_FILES%\Remote Manipulator System - Server\help.chm
%PROGRAM_FILES%\Remote Manipulator System - Server\HookDrv.dll
Удаляет следующие файлы:
%WINDIR%\Installer\30070.ipi
%WINDIR%\Installer\3006e.msi
%WINDIR%\Installer\MSI9.tmp
%TEMP%\1.tmp\setup.bat
%TEMP%\7ZipSfx.000\rms.server5.1b1ru.msi
%TEMP%\7ZipSfx.000\install.cmd
%WINDIR%\Installer\MSI7.tmp
%WINDIR%\Installer\MSI6.tmp
%WINDIR%\Installer\MSI3.tmp
%TEMP%\~4.tmp
C:\Config.Msi\30071.rbs
%WINDIR%\Installer\MSI2.tmp
Сетевая активность:
Подключается к:
'rm#####ver.tektonit.ru':5655
'rm##sys.ru':80
TCP:
Запросы HTTP GET:
rm##sys.ru/utils/inet_id_notify.php?te####
Запросы HTTP POST:
rm##sys.ru/utils/inet_id_notify.php
UDP:
DNS ASK rm#####ver.tektonit.ru
DNS ASK rm##sys.ru
Другое:
Ищет следующие окна:
ClassName: 'RegEdit_RegEdit' WindowName: ''
ClassName: '' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK