Trojan.DownLoader23.4771

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<Полный путь к файлу>'

Вредоносные функции:

Для затруднения выявления своего присутствия в системе

блокирует запуск следующих системных утилит:

Диспетчера задач (Taskmgr)

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\sXafHn
%WINDIR%\h2wlr15iG1
%WINDIR%\AuRhDN4Jy
%WINDIR%\HLmNn3
%WINDIR%\xe5YSXvlN
%WINDIR%\RI5RWr32bJ
%WINDIR%\Dds4oGrwv
%WINDIR%\aPSYsfL
%WINDIR%\MY4ke2wPY
%WINDIR%\CWC6AXKkRi
%WINDIR%\v1br86e
%WINDIR%\vX3NvW
%WINDIR%\PWdwF
%WINDIR%\m6s8qmVBB
%WINDIR%\b4J7Pk
%WINDIR%\DLugevG2
%WINDIR%\kPxLtXh
%WINDIR%\QrWRYkU3Y
%WINDIR%\JrQtMW
%WINDIR%\oMDMneE5
%WINDIR%\QEM6Y
%WINDIR%\F5Pqw
%WINDIR%\XS36QES
%WINDIR%\hhluNri
%WINDIR%\qCm4lxX
%WINDIR%\Yxcgj3kv
%WINDIR%\t1maYi5Ln
%WINDIR%\8matQfVAI
%WINDIR%\B5o5St
%WINDIR%\TjQ4d5J
%WINDIR%\eqw8cog
%WINDIR%\3cKJy1D
%WINDIR%\xSqxu
%WINDIR%\2pT3mDHp
%WINDIR%\Mm4IMsBd
%WINDIR%\RqphX
%WINDIR%\NaH8uf
%WINDIR%\gi5d6O
%WINDIR%\m2v3EoHHp
%WINDIR%\Cdb25
%WINDIR%\H4BdKd
%WINDIR%\L2yYgX1Gf
%WINDIR%\gNOovM7j
%WINDIR%\6nOytltQ
%WINDIR%\sVf8Tceii
%WINDIR%\sGCugT7
%WINDIR%\qep8JOWYf
%WINDIR%\n7fshgL8
%WINDIR%\dPBQtX
%WINDIR%\iFLqbr4M5r
%WINDIR%\h8i11q
%WINDIR%\fHKOdFft
%WINDIR%\GKUgA
%WINDIR%\8tIX1s
%WINDIR%\o3dcAux
%WINDIR%\hD3pGI
%WINDIR%\PgJpFbirf
%WINDIR%\JjwYsm
%WINDIR%\s3VnTdJoIT
%WINDIR%\teWJfW1
%WINDIR%\I1ROl8N2D6
%WINDIR%\sJCIa
%WINDIR%\yuEUD
%WINDIR%\7g5Yuc
%WINDIR%\8fhuTqS
%WINDIR%\nvEutWGI
%WINDIR%\4pyddvslW
%WINDIR%\OGkHcc5H
%WINDIR%\4C2odW
%WINDIR%\FiIC6FXbgi
%WINDIR%\E2KUQG
%WINDIR%\JyFGwncd2W
%WINDIR%\e3ahKTwkC
%WINDIR%\F4rB5fba
%WINDIR%\lnb7bw8Rg
%WINDIR%\cqYFEq
%WINDIR%\SL2Kwp3
%WINDIR%\dErn7B
%WINDIR%\njNi43k5
%WINDIR%\8hA1cB3f7L
%WINDIR%\OHAA1sP6b
%WINDIR%\dNNmREqfKj
%WINDIR%\GWnfSvPhUf
%WINDIR%\XJ23gO
%WINDIR%\GYClsgLhSf
%WINDIR%\DrLGHTQlVs
%WINDIR%\kpEuGjocD
%WINDIR%\hQtT3Vy6rF
%WINDIR%\IvyhiKDSj
%WINDIR%\EnHvRv8
%WINDIR%\reQM8unQ
%WINDIR%\JxfwmUyS
%WINDIR%\RLsXc
%WINDIR%\W2uNUn
%WINDIR%\5U3bbogJq
%WINDIR%\1BmKF
%WINDIR%\1Jrt36
%WINDIR%\LLiJNJ
%WINDIR%\JXgshKxwe
%WINDIR%\BFM2mXI7
%WINDIR%\krd6wfqso
%WINDIR%\DKEFAxw
%WINDIR%\M4qA7a5l
%WINDIR%\JfqHk4866
%WINDIR%\yqyPb7
%WINDIR%\tgJva
%WINDIR%\kl6txGiNx
%WINDIR%\clwRTKyh
%WINDIR%\u1Mte55X
%WINDIR%\gPkYC
%WINDIR%\nJM6T
%WINDIR%\pjVsH7fHE
%WINDIR%\863iEex37T
%WINDIR%\ic4amQxQF
%WINDIR%\GuTv1t2Un
%WINDIR%\4rW2OQ
%WINDIR%\3GkYjgBx
%WINDIR%\JHssotJtpm
%WINDIR%\dTJctl7uVB
%WINDIR%\APowTrqt
%WINDIR%\jntLNo4s8X
%WINDIR%\1Rci4fY
%WINDIR%\e6ASyfxV5
%WINDIR%\fQyTIB7uk
%WINDIR%\nNjapHT

Другое:

Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: ''

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android