Trojan.DownLoader5.410

Добавлен в вирусную базу Dr.Web: 2011-10-04

Описание добавлено: 2011-10-04

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<LS_APPDATA>\a72a1ac3\X'

Создает следующие сервисы:

[<HKLM>\SYSTEM\ControlSet001\Services\a72a1ac3] 'ImagePath' = '%WINDIR%\3273271975:1490412860.exe'
[<HKLM>\SYSTEM\ControlSet001\Services\.ipsec] 'ImagePath' = '\?'

Вредоносные функции:

Создает и запускает на исполнение:

<LS_APPDATA>\a72a1ac3\X

Запускает на исполнение:

%WINDIR%\explorer.exe

Внедряет код в

следующие системные процессы:

<SYSTEM32>\winlogon.exe
%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\3273271975:1490412860.exe
%WINDIR%\$NtUninstallKB16918$\2804554435\L\acbrwqkz
<LS_APPDATA>\a72a1ac3\@
<LS_APPDATA>\a72a1ac3\X

Самоудаляется.

Сетевая активность:

Подключается к:

'19#.#3.169.148':21810
'14.#8.78.55':21810
'17#.#06.55.225':21810
'82.##.156.53':21810
'11#.#3.75.151':21810
'91.##1.55.227':21810
'10#.#38.214.192':21810
'20#.#12.232.20':21810
'17#.#12.79.164':21810
'31.##.16.128':21810
'92.##4.28.162':21810
'91.##4.17.209':21810
'83.##.123.81':21810
'93.##8.86.170':21810
'58.##4.222.61':21810
'76.##.27.145':21810
'72.##1.125.3':21810
'18#.#7.17.11':21810
'18#.#44.132.178':21810
'11#.#40.27.49':21810
'11#.#5.24.119':21810
'85.##.141.170':21810
'95.#9.93.95':21810
'17#.#16.218.197':21810
'19#.#04.76.28':21810
'21#.#5.160.41':21810
'21#.#2.185.213':21810
'17#.47.6.13':21810
'85.##8.144.178':21810
'11#.#31.0.76':21810
'15#.#7.52.31':21810
'19#.#8.242.169':21810
'10.##.126.63':21810
'94.##3.217.137':21810
'10.##.106.167':21810
'95.##0.132.50':21810
'92.##7.10.239':21810
'75.##4.255.56':21810
'17#.#87.151.125':21810
'21#.#.129.223':21810
'17#.#29.159.101':21810
'11#.#96.43.32':21810
'94.##.235.11':21810
'<IP-адрес в локальной сети>':21810
'17#.#7.235.101':21810
'19#.#4.51.189':21810
'12#.#9.72.101':21810
'62.##4.75.51':21810
'85.##6.208.121':21810
'94.##1.203.22':21810
'46.##7.142.22':21810
'20#.#1.206.116':21810
'10#.#98.162.87':21810
'17#.#4.241.23':21810
'18#.#98.112.214':21810
'11#.#2.202.70':21810
'61.##1.174.233':21810
'10#.#65.43.182':21810
'95.##.226.155':21810
'61.##.217.20':21810
'13#.#24.230.123':21810
'83.##6.191.205':21810
'61.##4.133.193':21810
'11#.#40.60.73':21810
'92.##1.155.204':21810
'84.##8.61.254':21810
'4.##7.60.98':21810
'20#.#53.148.233':21810
'72.##2.65.53':21810
'18#.#6.40.168':21810
'10#.#4.167.74':21810
'11#.#54.149.133':21810
'24.#.212.48':21810
'95.##0.247.47':21810
'18#.#32.35.144':21810
'12#.#12.160.156':21810
'16#.#32.23.133':21810
'17#.#57.71.18':21810
'95.##.22.103':21810
'12#.#50.246.6':21810
'21#.#29.82.44':21810
'95.##9.184.82':21810
'13#.#39.135.81':21810
'76.##1.254.22':21810
'18#.#86.20.141':21810
'79.##5.57.155':21810
'93.##.141.195':21810
'42.##1.192.199':21810
'98.##4.70.166':21810
'90.##8.108.139':21810
'18#.#88.141.49':21810
'81.##.69.162':21810
'94.##.245.199':21810
'19#.#2.88.187':21810
'18#.#97.115.187':21810
'4.###.60.190':21810
'10#.#38.23.66':21810
'14.##4.42.51':21810
'17#.#71.43.196':21810
'18#.#23.63.9':21810
'18#.#98.3.153':21810
'94.##2.236.246':21810
'99.##6.88.189':21810
'41.##1.242.124':21810
'46.#8.8.15':21810
'75.##2.23.126':21810
'46.##2.112.58':21810
'98.##.197.254':21810
'95.##.74.156':21810
'10#.#35.8.225':21810
'11#.#41.141.56':21810
'46.##.35.173':21810
'12#.#5.10.190':21810
'86.##2.37.202':21810
'94.##0.115.134':21810
'68.##.202.213':21810
'46.#20.26.1':21810
'75.##1.40.236':21810
'10.##4.247.5':21810
'91.##5.36.209':21810
'76.##.132.242':21810
'92.##4.75.111':21810
'18#.#86.24.86':21810
'11#.#41.239.189':21810
'20#.#29.54.125':21810
'18#.#23.170.165':21810
'18#.#9.44.169':21810
'75.##.195.76':21810
'19#.#05.135.219':21810
'12#.#08.66.45':21810
'11#.#41.191.128':21810
'10#.#37.59.193':21810
'10#.#65.38.214':21810
'58.##0.186.202':21810
'10#.#91.46.147':21810
'14.##.96.191':21810
'10#.#87.119.32':21810
'10#.#26.44.108':21810
'84.##.157.231':21810
'78.##6.223.86':21810
'17#.#04.233.197':21810
'90.##8.226.121':21810
'98.##.224.232':21810
'17#.#87.164.101':21810
'17#.#29.52.234':21810
'31.##1.223.91':21810
'46.##1.205.227':21810
'77.##.158.226':21810
'12#.#06.177.33':21810
'18#.#33.8.254':21810
'66.##5.78.32':21810
'12#.#79.146.54':21810
'89.##8.119.161':21810
'11#.#1.77.45':21810
'11#.#6.229.254':21810
'46.##9.122.204':21810
'94.##.224.181':21810
'2.##.66.126':21810
'94.##0.53.60':21810
'10#.#01.201.21':21810
'69.##0.82.45':21810
'21#.#13.232.152':21810
'17#.#5.49.128':21810
'17#.#09.234.79':21810
'12#.#48.152.44':21810
'95.##0.53.92':21810
'18#.#9.155.60':21810
'89.##5.137.127':21810
'46.##3.223.252':21810
'75.##7.13.183':21810
'19#.#05.154.210':80
'10#.#84.89.70':21810
'46.#.152.51':21810
'95.#8.34.37':21810
'95.##1.228.106':21810
'92.##1.146.145':21810
'79.##5.42.244':21810
'82.##0.225.47':21810
'21#.#7.19.10':21810
'89.##9.104.32':21810
'11#.#07.35.113':21810
'20#.#6.100.75':21810
'46.##7.94.81':21810
'21#.#9.112.40':21810
'91.##5.36.123':21810
'2.##.234.180':21810
'2.##.152.108':21810
'92.##1.117.13':21810
'17#.#63.70.4':21810
'82.##9.78.179':21810
'14.##4.57.187':21810
'10#.#91.143.171':21810
'17#.#7.89.104':21810
'85.##1.93.158':21810
'11#.#07.254.21':21810
'11#.#25.229.115':21810
'21#.#64.26.55':21810
'75.##.184.59':21810
'78.#1.61.75':21810
'94.##2.193.135':21810
'12#.#4.146.2':21810
'94.##3.38.59':21810
'94.##1.207.83':21810
'92.##.186.57':21810
'72.##4.79.177':21810
'94.##2.131.209':21810
'90.##8.108.64':21810
'10#.#95.73.191':21810
'14#.#14.222.172':21810
'12#.#14.65.156':21810
'11#.#9.145.249':21810
'14.##.183.21':21810
'92.##5.46.62':21810
'17#.#06.199.93':21810
'11#.#20.245.98':21810
'21#.#8.82.24':21810
'21#.#81.252.156':21810
'95.##.212.32':21810
'62.##.33.106':21810
'94.##1.251.215':21810
'11#.#41.67.242':21810
'94.##2.232.208':21810
'75.##9.160.26':21810
'95.##.126.69':21810
'10#.#91.139.40':21810
'82.##2.45.204':21810
'18#.#34.65.160':21810
'31.##.62.118':21810
'77.##.165.183':21810
'46.##2.180.125':21810
'11#.#26.5.14':21810
'17#.#87.58.215':21810
'21#.#2.187.124':21810
'94.##.186.168':21810
'68.##1.199.49':21810
'18#.#17.246.166':21810
'84.#44.17.8':21810
'10#.#01.213.136':21810
'2.##.28.217':21810
'21#.94.2.55':21810
'4.###.60.228':21810
'21#.#2.74.27':21810
'21#.#8.103.120':21810
'85.#4.46.60':21810
'89.##.103.217':21810
'86.##2.39.28':21810
'94.#0.98.79':21810
'10#.#05.89.4':21810
'46.##6.119.163':21810
'46.##7.24.250':21810
'62.##3.177.19':21810
'67.##.187.151':21810
'46.#.3.153':21810
'10#.#91.5.214':21810
'18#.#9.129.141':21810
'17#.#67.63.77':21810

TCP:

Запросы HTTP GET:

19#.#05.154.210/stat2.php?w=##########################################
19#.#05.154.210/stat2.php?w=###########################################

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней