Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader3.33180
Добавлен в вирусную базу Dr.Web:
2011-06-17
Описание добавлено:
2011-06-17
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
[<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '46f2' = '%APPDATA%\7bsxzxl.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Sxikihuvuw' = 'rundll32.exe "%WINDIR%\uidrerfd.dll",Startup'
[<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\4066996992] 'Name' = '"%TEMP%\5.tmp"'
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\MouseDriver] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
%APPDATA%\7bsxzxl.exe -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
"%TEMP%\nohfx.exe" (загружен из сети Интернет)
"%TEMP%\ukrycny.exe" (загружен из сети Интернет)
Запускает на исполнение:
<SYSTEM32>\runonce.exe -r
<SYSTEM32>\rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %APPDATA%\mdinstall.inf
<SYSTEM32>\net1.exe stop "Windows Firewall/Internet Connection Sharing (ICS)"
<SYSTEM32>\rundll32.exe "%WINDIR%\uidrerfd.dll",iep
<SYSTEM32>\grpconv.exe -o
<SYSTEM32>\cmd.exe /c "%APPDATA%\um0tnw4sr.bat"
<SYSTEM32>\net1.exe stop "Security Center"
<SYSTEM32>\net.exe stop "Security Center"
<SYSTEM32>\svchost.exe
<SYSTEM32>\rundll32.exe "%WINDIR%\uidrerfd.dll",Startup
<SYSTEM32>\sc.exe config SharedAccess start= DISABLED
<SYSTEM32>\net.exe stop "Windows Firewall/Internet Connection Sharing (ICS)"
<SYSTEM32>\sc.exe config wscsvc start= DISABLED
Внедряет код в
следующие системные процессы:
Изменяет следующие настройки браузера Windows Internet Explorer:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1400' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'currentlevel' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\tcomfpag.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\sjwxkob[1].php
%TEMP%\yttwulhw.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\nnbrswmqa[1].php
%TEMP%\nohfx.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\qqqriimq[1].php
%TEMP%\Rlb..bat
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\CAL48RPT.php
%WINDIR%\umeqocubalepi.dll
%APPDATA%\MouseDriver.bat
%APPDATA%\mdinstall.inf
%APPDATA%\um0tnw4sr.bat
%TEMP%\ukrycny.exe
%TEMP%\nsv3.tmp\2IC.exe
%TEMP%\nsv3.tmp\3E4U - Bucks.exe
%TEMP%\nsv3.tmp\6tbp.exe
%TEMP%\nsf2.tmp
%TEMP%\nsv3.tmp\cb.exe
%TEMP%\nsv3.tmp\1EuroP.exe
%WINDIR%\Temp\6.tmp
%APPDATA%\7bsxzxl.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\dnnrvriqm[1].php
%TEMP%\nsv3.tmp\IR.exe
%WINDIR%\uidrerfd.dll
%TEMP%\4.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
%APPDATA%\MouseDriver.bat
Удаляет следующие файлы:
<DRIVERS>\etc\hosts
%TEMP%\5.tmp
%WINDIR%\Temp\6.tmp
%APPDATA%\mdinstall.inf
<SYSTEM32>\svchost.exe
%TEMP%\nsv3.tmp\2IC.exe
%TEMP%\nsv3.tmp\1EuroP.exe
%TEMP%\nsv3.tmp\3E4U - Bucks.exe
%TEMP%\nsv3.tmp\IR.exe
%TEMP%\nsv3.tmp\cb.exe
Сетевая активность:
Подключается к:
'localhost':1043
'10######0633.divacero.net':80
'w.#####ardiscover.com':888
'sn###istrict.in':80
'aa###ket.com':80
TCP:
Запросы HTTP GET:
aa###ket.com/ckkuylpycc/qqqriimq.php?ad################################
aa###ket.com/ckkuylpycc/sjwxkob.php?ad################################
aa###ket.com/ckkuylpycc/dnnrvriqm.php?ad################################
aa###ket.com/ckkuylpycc/nnbrswmqa.php?ad################################
Запросы HTTP POST:
sn###istrict.in/s98f78ds97f.php?in##############################################################################################################
UDP:
DNS ASK aa###ket.com
DNS ASK w.#####ardiscover.com
DNS ASK 10######0633.divacero.net
DNS ASK sn###istrict.in
DNS ASK ti##pic.com
DNS ASK ma##h.com
DNS ASK da##.net
Другое:
Ищет следующие окна:
ClassName: '1431711962' WindowName: '2058870854'
ClassName: '1506096222' WindowName: '248988637'
ClassName: '1392534724' WindowName: '623103451'
ClassName: '1182565934' WindowName: '1125850349'
ClassName: '1780575281' WindowName: '1073800441'
ClassName: '306698680' WindowName: '2037277338'
ClassName: '1849075277' WindowName: '2068167048'
ClassName: '1104068477' WindowName: '1404761976'
ClassName: 'Indicator' WindowName: ''
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebcheckMonitor' WindowName: ''
ClassName: '1146050257' WindowName: '149240860'
ClassName: '154473942' WindowName: '1879050032'
ClassName: '1935521598' WindowName: '1229804093'
ClassName: '2104067754' WindowName: '1775750486'
ClassName: '1860862109' WindowName: '165018390'
ClassName: '979901450' WindowName: '181811255'
ClassName: '1517078665' WindowName: '1876366001'
ClassName: '1045451454' WindowName: '808720827'
ClassName: 'SystemTray_Main' WindowName: ''
ClassName: 'CSCHiddenWindow' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: '818426960' WindowName: '1500170644'
ClassName: '1935197299' WindowName: '1235723843'
ClassName: '674082625' WindowName: '1632793673'
ClassName: '1983598183' WindowName: '383133704'
ClassName: '621159803' WindowName: '1884466027'
ClassName: '923438600' WindowName: '1018784301'
ClassName: '1927144148' WindowName: '1710441000'
ClassName: '719190676' WindowName: '1143895782'
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK