Trojan.DownLoader3.13990

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\2393389424] 'Name' = '"%TEMP%\srvAD8.tmp"'

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\srvAD8] 'Start' = '00000002'

Вредоносные функции:

Внедряет код в следующие системные процессы:

<SYSTEM32>\spoolsv.exe

Изменения в файловой системе:

Создает следующие файлы:

%TEMP%\srvAD8.tmp
%TEMP%\srvAD8.ini
%WINDIR%\Temp\2.tmp
%WINDIR%\Temp\3.tmp

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0HEN09YB\desktop.ini

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\PK3DPJDU\desktop.ini

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GZ012LM5\desktop.ini

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SHWVUBG1\desktop.ini

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0HEN09YB\X[1]

```
<SYSTEM32>\a.exe
```

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5OP\wpad[1].dat

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5OP\wpad[2].dat

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0HEN09YB\wpad[1].dat

Присваивает атрибут 'скрытый' для следующих файлов:

%TEMP%\srvAD8.tmp

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0HEN09YB\desktop.ini

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\PK3DPJDU\desktop.ini

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GZ012LM5\desktop.ini

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SHWVUBG1\desktop.ini

Самоперемещается:

из <Полный путь к вирусу> в %TEMP%\1.tmp

Сетевая активность:

Подключается к:

'19#.#68.193.2':445
'19#.#68.193.12':445
'19#.#68.193.26':445
'19#.#68.193.8':445
'19#.#68.193.28':445
'19#.#68.193.6':445
'19#.#68.193.30':445
'19#.#68.193.4':445
'19#.#68.193.7':445
'19#.#68.193.19':445
'19#.#68.193.24':445
'19#.#68.193.21':445
'19#.#68.193.22':445
'19#.#68.193.16':445
'19#.#68.193.18':445
'19#.#68.193.14':445
'19#.#68.193.3':445
'19#.#68.193.13':445
'19#.#68.193.20':445
'19#.#68.193.9':445
'19#.#68.193.10':445
'19#.#68.193.1':445
'19#.#68.193.11':445
'19#.#68.193.25':445
'19#.#68.193.27':445
'19#.#68.193.29':445
'19#.#68.193.17':445
'19#.#68.193.15':445
'19#.#68.193.23':445
'19#.#68.193.5':445
'19#.#68.193.33':445
'19#.#68.193.45':445
'19#.#68.193.32':445
'19#.#68.193.40':445
'19#.#68.193.38':445
'19#.#68.193.36':445
'19#.#68.193.34':445
'19#.#68.193.49':445
'19#.#68.193.51':445
'19#.#68.193.42':445
'19#.#68.193.54':445
'19#.#68.193.37':445
'19#.#68.193.35':445
'19#.#68.193.47':445
'19#.#68.193.39':445
'19#.#68.193.41':445
'19#.#68.193.44':445
'19#.#68.193.46':445
'19#.#68.193.48':445
'19#.#68.193.58':445
'19#.#68.193.53':445
'19#.#68.193.55':445
'19#.#68.193.50':445
'19#.#68.193.52':445
'19#.#68.193.62':445
'19#.#68.193.59':445
'19#.#68.193.57':445
'19#.#68.193.61':445
'19#.#68.193.63':445
'19#.#68.193.65':445
'19#.#68.193.60':445
'19#.#68.193.64':445
'19#.#68.193.70':445
'19#.#68.193.56':445
'19#.#68.193.74':445
'19#.#68.193.75':445
'19#.#68.193.66':445
'19#.#68.193.80':445
'19#.#68.193.68':445
'19#.#68.193.86':445
'19#.#68.193.76':445
'19#.#68.193.78':445
'19#.#68.193.88':445
'19#.#68.193.90':445
'19#.#68.193.84':445
'19#.#68.193.72':445
'19#.#68.193.82':445
'19#.#68.193.85':445
'19#.#68.193.77':445
'19#.#68.193.79':445
'19#.#68.193.69':445
'19#.#68.193.81':445
'19#.#68.193.73':445
'19#.#68.193.71':445
'19#.#68.193.96':445
'19#.#68.193.94':445
'19#.#68.193.67':445
'19#.#68.193.83':445
'19#.#68.193.87':445
'19#.#68.193.98':445
'19#.#68.193.92':445
'19#.#68.193.102':445
'19#.#68.193.100':445
'19#.#68.193.89':445
'19#.#68.193.106':445
'19#.#68.193.103':445
'19#.#68.193.99':445
'19#.#68.193.93':445
'19#.#68.193.95':445
'19#.#68.193.97':445
'19#.#68.193.91':445
'19#.#68.193.101':445
'19#.#68.193.104':445
'19#.#68.193.108':445
'19#.#68.193.110':445
'19#.#68.193.114':445
'19#.#68.193.112':445
'19#.#68.193.105':445
'19#.#68.193.113':445
'19#.#68.193.107':445
'19#.#68.193.115':445
'19#.#68.193.118':445
'19#.#68.193.126':445
'19#.#68.193.120':445
'19#.#68.193.116':445
'19#.#68.193.111':445
'19#.#68.193.124':445
'19#.#68.193.122':445
'19#.#68.193.121':445
'19#.#68.193.123':445
'19#.#68.193.109':445
'19#.#68.193.119':445
'19#.#68.193.117':445
'19#.#68.193.128':445
'19#.#68.193.129':445
'19#.#68.193.125':445
'19#.#68.193.133':445
'19#.#68.193.130':445
'19#.#68.193.132':445
'19#.#68.193.131':445
'19#.#68.193.127':445
'19#.#68.193.143':445
'19#.#68.193.137':445
'19#.#68.193.142':445
'19#.#68.193.141':445
'19#.#68.193.135':445
'19#.#68.193.136':445
'19#.#68.193.138':445
'19#.#68.193.147':445
'19#.#68.193.149':445
'19#.#68.193.145':445
'19#.#68.193.140':445
'19#.#68.193.134':445
'19#.#68.193.144':445
'19#.#68.193.146':445
'19#.#68.193.153':445
'19#.#68.193.148':445
'19#.#68.193.151':445
'19#.#68.193.155':445
'19#.#68.193.157':445
'19#.#68.193.150':445
'19#.#68.193.154':445
'19#.#68.193.152':445
'19#.#68.193.159':445
'19#.#68.193.161':445
'19#.#68.193.160':445
'19#.#68.193.158':445
'19#.#68.193.156':445
'19#.#68.193.163':445
'19#.#68.193.167':445
'19#.#68.193.165':445
'19#.#68.193.162':445
'19#.#68.193.169':445
'19#.#68.193.171':445
'19#.#68.193.173':445
'19#.#68.193.177':445
'19#.#68.193.175':445
'19#.#68.193.179':445
'19#.#68.193.168':445
'19#.#68.193.170':445
'19#.#68.193.166':445
'19#.#68.193.178':445
'19#.#68.193.183':445
'19#.#68.193.174':445
'19#.#68.193.164':445
'19#.#68.193.181':445
'19#.#68.193.185':445
'19#.#68.193.180':445
'19#.#68.193.184':445
'19#.#68.193.182':445
'19#.#68.193.186':445
'19#.#68.193.187':445
'19#.#68.193.189':445
'19#.#68.193.172':445
'19#.#68.193.176':445
'19#.#68.193.188':445
'19#.#68.193.195':445
'19#.#68.193.191':445
'19#.#68.193.193':445
'19#.#68.193.192':445
'19#.#68.193.197':445
'19#.#68.193.194':445
'19#.#68.193.199':445
'19#.#68.193.201':445
'19#.#68.193.203':445
'19#.#68.193.205':445
'19#.#68.193.209':445
'19#.#68.193.196':445
'19#.#68.193.207':445
'19#.#68.193.190':445
'19#.#68.193.211':445
'19#.#68.193.217':445
'19#.#68.193.213':445
'19#.#68.193.208':445
'19#.#68.193.215':445
'19#.#68.193.219':445
'19#.#68.193.198':445
'19#.#68.193.200':445
'19#.#68.193.221':445
'19#.#68.193.202':445
'19#.#68.193.204':445
'19#.#68.193.210':445
'19#.#68.193.216':445
'19#.#68.193.214':445
'19#.#68.193.212':445
'19#.#68.193.206':445
'19#.#68.193.227':445
'19#.#68.193.229':445
'19#.#68.193.224':445
'19#.#68.193.231':445
'19#.#68.193.233':445
'19#.#68.193.220':445
'19#.#68.193.225':445
'19#.#68.193.236':445
'19#.#68.193.230':445
'19#.#68.193.235':445
'19#.#68.193.241':445
'19#.#68.193.251':445
'19#.#68.193.237':445
'19#.#68.193.250':445
'19#.#68.193.239':445
'19#.#68.193.245':445
'19#.#68.193.247':445
'19#.#68.193.253':445
'19#.#68.193.223':445
'19#.#68.193.249':445
'19#.#68.193.243':445
'19#.#68.193.238':445
'19#.#68.193.226':445
'19#.#68.193.228':445
'19#.#68.193.218':445
'19#.#68.193.222':445
'19#.#68.193.232':445
'19#.#68.193.234':445
'19#.#68.193.252':445
'19#.#68.193.248':445
'19#.#68.193.254':445
'19#.#68.193.240':445
'19#.#68.193.242':445
'19#.#68.193.246':445
'19#.#68.193.244':445
'19#.#68.193.5':139
'19#.#68.193.2':139
'19#.#68.193.5':80
'19#.#68.193.2':80
'94.##.123.33':80
'94.##.123.34':80
'localhost':1301
'wpad.localdomain':80

TCP:

Запросы HTTP GET:

94.##.123.33/service/listener.php?af#########
94.##.123.34/service/scripts/files/aff_50045.dll
94.##.123.34/X
wpad.localdomain/wpad.dat

UDP:

DNS ASK wpad.localdomain

Технологии

Термины

Обучение и просвещение

Мифы

Для обеспечения автозапуска и распространения:

Вредоносные функции:

Изменения в файловой системе:

Сетевая активность:

TCP:

Рекомендации по лечению

Демо бесплатно на 14 дней