Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader3.59773
Добавлен в вирусную базу Dr.Web:
2011-07-01
Описание добавлено:
2011-07-01
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
[<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'r3ny1us' = '%APPDATA%\nq17g.exe'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Sxikihuvuw' = 'rundll32.exe "%WINDIR%\imintfg1.dll",Startup'
[<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\2536321360] 'Name' = '"%TEMP%\5.tmp"'
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\MouseDriver] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
%APPDATA%\nq17g.exe -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
"%TEMP%\iycclejs.exe" (загружен из сети Интернет)
"%TEMP%\mish.exe" (загружен из сети Интернет)
"%TEMP%\pshha.exe" (загружен из сети Интернет)
"%TEMP%\hodwarf.exe" (загружен из сети Интернет)
"%TEMP%\nohfx.exe" (загружен из сети Интернет)
"%TEMP%\ukrycny.exe" (загружен из сети Интернет)
"%TEMP%\yttwulhw.exe" (загружен из сети Интернет)
"%TEMP%\750234914" (загружен из сети Интернет)
Запускает на исполнение:
<SYSTEM32>\runonce.exe -r
<SYSTEM32>\rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %APPDATA%\mdinstall.inf
<SYSTEM32>\net1.exe stop "Windows Firewall/Internet Connection Sharing (ICS)"
<SYSTEM32>\grpconv.exe -o
<SYSTEM32>\cmd.exe /c "%APPDATA%\vn1uoy5tt.bat"
<SYSTEM32>\rundll32.exe "%WINDIR%\imintfg1.dll",iep
<SYSTEM32>\net1.exe stop "Security Center"
<SYSTEM32>\net.exe stop "Security Center"
<SYSTEM32>\svchost.exe
<SYSTEM32>\rundll32.exe "%WINDIR%\imintfg1.dll",Startup
<SYSTEM32>\sc.exe config SharedAccess start= DISABLED
<SYSTEM32>\net.exe stop "Windows Firewall/Internet Connection Sharing (ICS)"
<SYSTEM32>\sc.exe config wscsvc start= DISABLED
Внедряет код в
следующие системные процессы:
Изменяет следующие настройки браузера Windows Internet Explorer:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1A10' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{AEBA21FA-782A-4A90-978D-B72164C80120}' = ''
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{A8A88C49-5EB2-4990-A1A2-0876022C854F}' = ''
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'currentlevel' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1400' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\iycclejs.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\ivzqmqd[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\xtkkbspt[1].php
%TEMP%\Rlb..bat
%APPDATA%\nq17g.exe
%WINDIR%\Temp\6.tmp
%TEMP%\hodwarf.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\dhdhuy[1].php
%APPDATA%\vn1uoy5tt.bat
%APPDATA%\mdinstall.inf
%WINDIR%\uqotaqunuhogaj.dll
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\CAIJ23M5.php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\flcppgggu[1].php
%TEMP%\pshha.exe
%APPDATA%\MouseDriver.bat
%TEMP%\mish.exe
%TEMP%\750234914
%TEMP%\nsw3.tmp\6tbp.exe
%TEMP%\nsw3.tmp\3E4U - Bucks.exe
%WINDIR%\imintfg1.dll
%TEMP%\nsw3.tmp\IR.exe
%TEMP%\nsw3.tmp\ic5.exe
%TEMP%\nsw2.tmp
%TEMP%\nsw3.tmp\2IC.exe
%TEMP%\nsw3.tmp\1EuroP.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\sjwxkob[1].php
%TEMP%\nohfx.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\erfjjje[1].php
%TEMP%\yttwulhw.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\dnnrvriqm[1].php
%TEMP%\4.tmp
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\nnbrswmqa[1].php
%TEMP%\ukrycny.exe
Присваивает атрибут 'скрытый' для следующих файлов:
%APPDATA%\MouseDriver.bat
Удаляет следующие файлы:
<DRIVERS>\etc\hosts
%TEMP%\5.tmp
%WINDIR%\Temp\6.tmp
%APPDATA%\mdinstall.inf
<SYSTEM32>\svchost.exe
%TEMP%\nsw3.tmp\IR.exe
%TEMP%\nsw3.tmp\2IC.exe
%TEMP%\nsw3.tmp\1EuroP.exe
%TEMP%\nsw3.tmp\3E4U - Bucks.exe
%TEMP%\nsw3.tmp\ic5.exe
%TEMP%\nsw3.tmp\6tbp.exe
Сетевая активность:
Подключается к:
'14#####b0620.twivu.net':80
'w.#####ardiscover.com':888
'localhost':1041
'fr###wives.in':80
'aa###ket.com':80
TCP:
Запросы HTTP GET:
aa###ket.com/ckkuylpycc/xtkkbspt.php?ad################################
aa###ket.com/ckkuylpycc/ivzqmqd.php?ad################################
aa###ket.com/ckkuylpycc/flcppgggu.php?ad################################
aa###ket.com/ckkuylpycc/arboobnkar.php?ad################################
aa###ket.com/ckkuylpycc/qqqriimq.php?ad################################
aa###ket.com/ckkuylpycc/nnbrswmqa.php?ad################################
aa###ket.com/ckkuylpycc/dnnrvriqm.php?ad################################
aa###ket.com/ckkuylpycc/sjwxkob.php?ad################################
aa###ket.com/ckkuylpycc/dhdhuy.php?ad################################
aa###ket.com/ckkuylpycc/erfjjje.php?ad################################
Запросы HTTP POST:
fr###wives.in/ads76tds76d76.php?in##############################################################################################################
UDP:
DNS ASK aa###ket.com
DNS ASK 14#####b0620.twivu.net
DNS ASK w.#####ardiscover.com
DNS ASK fr###wives.in
DNS ASK ik##.com
DNS ASK si###ell.com
DNS ASK go##le.ae
Другое:
Ищет следующие окна:
ClassName: 'Indicator' WindowName: ''
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebcheckMonitor' WindowName: ''
ClassName: 'SystemTray_Main' WindowName: ''
ClassName: 'CSCHiddenWindow' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Поздравляем!
Обменяйте их на скидку до 50% на покупку Dr.Web.
Получить скидку
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK