Trojan.DownLoader3.56280

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Service Monitor' = '<SYSTEM32>\Debugger\svchost.exe'

Вредоносные функции:

Для затруднения выявления своего присутствия в системе

блокирует:

Центр обеспечения безопасности (Security Center)

Создает и запускает на исполнение:

<SYSTEM32>\Debugger\svchost.exe
<SYSTEM32>\Debugger\Attr.exe doit
<SYSTEM32>\Debugger\ScreenCapture.exe 1
<SYSTEM32>\Debugger\wcescomm.exe
<SYSTEM32>\Debugger\Bridge.exe
<SYSTEM32>\decomp.exe aosmtp.dll
<SYSTEM32>\Debugger\decomp.exe /all
<SYSTEM32>\Debugger\Script.exe

Запускает на исполнение:

<SYSTEM32>\reg.exe add "HKLM\Software\Microsoft\Security Center" /v AntiVirusOverride /t REG_DWORD /d 0x1 /f
<SYSTEM32>\reg.exe add "HKLM\Software\Microsoft\Security Center" /v FirewallOverride /t REG_DWORD /d 0x1 /f
<SYSTEM32>\reg.exe add "HKLM\Software\Microsoft\Security Center" /v UpdatesDisableNotify /t REG_DWORD /d 0x1 /f
<SYSTEM32>\reg.exe add "HKLM\Software\Microsoft\Security Center" /v AntiVirusDisableNotify /t REG_DWORD /d 0x1 /f
<SYSTEM32>\reg.exe add "HKLM\Software\Microsoft\Security Center" /v FirewallDisableNotify /t REG_DWORD /d 0x1 /f
<SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /t REG_DWORD /d 0x4 /f
<SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\wscntfy" /v Start /t REG_DWORD /d 0x4 /f
<SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" /v Start /t REG_DWORD /d 0x4 /f
<SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /t REG_DWORD /d 0x4 /f
<SYSTEM32>\wscript.exe "%WINDIR%\FirstUpdate.vbs"
<SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" /v Start /t REG_DWORD /d 0x4 /f
<SYSTEM32>\net1.exe stop wscsvc
<SYSTEM32>\net.exe stop "Security Center"
<SYSTEM32>\net1.exe stop "Security Center"
<SYSTEM32>\cmd.exe /c ""<SYSTEM32>\Debugger\kill_xp_firewall.bat" "
<SYSTEM32>\wscript.exe "<SYSTEM32>\Debugger\gizle.vbs"
<SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\aosmtp.dll"
<SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\MSINET.OCX"
<SYSTEM32>\net1.exe stop MpsSvc
<SYSTEM32>\net.exe stop wscsvc
<SYSTEM32>\net.exe stop MpsSvc
<SYSTEM32>\net.exe stop SharedAccess
<SYSTEM32>\net1.exe stop SharedAccess

Изменения в файловой системе:

Создает следующие файлы:

<SYSTEM32>\Script.tmp
<SYSTEM32>\Script.bak
<SYSTEM32>\ScreenCapture.bak
<SYSTEM32>\Bridge.bak
%WINDIR%\FirstUpdate.vbs
%WINDIR%\Update.vbs
<SYSTEM32>\Debugger\aosmtp.dll
%WINDIR%\New.vbs
<SYSTEM32>\gizle.bak
<SYSTEM32>\Debugger\ss1.jpg
<SYSTEM32>\Debugger\ss.bmp
<SYSTEM32>\Debugger\logs2.txt
<SYSTEM32>\Debugger\logs.txt
<SYSTEM32>\MSINET.OCX
<SYSTEM32>\Attr.bak
<SYSTEM32>\Debugger\k.dat
<SYSTEM32>\Debugger\comctlogs.dll
<SYSTEM32>\Debugger\aosmtp.dll.mail
<SYSTEM32>\Debugger\svchost.exe
<SYSTEM32>\Debugger\MSINET.OCX
<SYSTEM32>\Debugger\config.dat
<SYSTEM32>\Debugger\Script.exe
<SYSTEM32>\Debugger\decomp.exe
<SYSTEM32>\Debugger\ScreenCapture.exe
<SYSTEM32>\Debugger\Bridge.exe
<SYSTEM32>\Debugger\un.tmp
<SYSTEM32>\aosmtp.dll.mail
<SYSTEM32>\Debugger\Extractor.exe
<SYSTEM32>\aosmtp.dll
<SYSTEM32>\decomp.exe
<SYSTEM32>\Debugger\Attr.exe
<SYSTEM32>\Debugger\wcescomm.exe
<SYSTEM32>\Debugger\gizle.vbs
<SYSTEM32>\Debugger\kill_xp_firewall.bat

Присваивает атрибут 'скрытый' для следующих файлов:

<SYSTEM32>\Debugger\Script.exe
<SYSTEM32>\Debugger\svchost.exe
<SYSTEM32>\Debugger\wcescomm.exe
<SYSTEM32>\Debugger\ScreenCapture.exe
<SYSTEM32>\Debugger\Bridge.exe
<SYSTEM32>\Debugger\decomp.exe
<SYSTEM32>\Debugger\Extractor.exe

Удаляет следующие файлы:

<SYSTEM32>\Debugger\ss.bmp

Сетевая активность:

Подключается к:

'ao#.#yndns.org':80

TCP:

Запросы HTTP GET:

ao#.#yndns.org/spynmail/sync/me.asp?id##############################################################################################################################################################################################

UDP: