Trojan.DownLoader6.17136

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''

Вредоносные функции:

Внедряет код в

следующие системные процессы:

<SYSTEM32>\services.exe
%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

%WINDIR%\Installer\{2ebe1c2e-2a38-cb36-436c-4d1cb8c2630c}\n
%WINDIR%\assembly\GAC\Desktop.ini
%WINDIR%\Installer\{2ebe1c2e-2a38-cb36-436c-4d1cb8c2630c}\@
<LS_APPDATA>\{2ebe1c2e-2a38-cb36-436c-4d1cb8c2630c}\@
<LS_APPDATA>\{2ebe1c2e-2a38-cb36-436c-4d1cb8c2630c}\n

Присваивает атрибут 'скрытый' для следующих файлов:

%WINDIR%\Installer\{2ebe1c2e-2a38-cb36-436c-4d1cb8c2630c}\@
%WINDIR%\Installer\{2ebe1c2e-2a38-cb36-436c-4d1cb8c2630c}\n
<LS_APPDATA>\{2ebe1c2e-2a38-cb36-436c-4d1cb8c2630c}\@
<LS_APPDATA>\{2ebe1c2e-2a38-cb36-436c-4d1cb8c2630c}\n

Самоудаляется.

Сетевая активность:

Подключается к:

'20#.#08.79.128':80
'pr####.fling.com':80

TCP:

Запросы HTTP GET:

20#.#08.79.128/count.php?id#########################
20#.#08.79.128/count.php?id########################
pr####.fling.com/geo/txt/city.php
20#.#08.79.128/count.php?id#######################

UDP:

DNS ASK 8�#��
DNS ASK 8�#��9
DNS ASK 8�#�e�
DNS ASK 8�#��q�
DNS ASK 8�#.NQ
DNS ASK 8�#��
DNS ASK pr####.fling.com
DNS ASK 8�#�;��
DNS ASK 8�#߉
DNS ASK 8�#�N�L
'77.##8.154.104':16471
'17#.#7.92.109':16471
'17#.#17.231.112':16471
'67.##1.72.229':16471
'89.##2.160.92':16471
'11#.#3.103.102':16471
'17#.#6.157.229':16471
'72.#9.6.226':16471
'20#.#6.36.216':16471
'18#.#7.159.22':16471
'18#.#67.124.128':16471
'24.##2.108.125':16471
'72.##9.91.113':16471
'15#.#4.142.122':16471
'66.##1.52.219':16471
'24.##.196.252':16471
'46.##4.111.50':16471
'69.##8.154.50':16471
'85.##5.221.48':16471
'95.##4.199.24':16471
'96.##.178.26':16471
'68.##8.53.41':16471
'87.#42.2.56':16471
'68.##.104.82':16471
'87.##.66.235':16471
'85.##.140.84':16471
'71.#5.83.70':16471
'70.##7.86.56':16471
'50.#.216.66':16471
'77.##6.105.69':16471

Другое:

Ищет следующие окна:

ClassName: 'fgfdhfghgfjfghiopgfhpofghgf' WindowName: 'fgdhgdfhjfgufthygfhgf'

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта

Скачать с Google Play

Поздравляем! Обменяйте их на скидку до 50% на покупку Dr.Web.

Получить скидку

Скачайте
Dr.Web для Android

Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через
AppGallery/Google Pay

Вы используете устаревший браузер!

Боты для Telegram

Технологии

Термины

Обучение и просвещение

Мифы

Техническая информация

Рекомендации по лечению

Демо бесплатно на 14 дней

Мы в соцсетях

Для Telegram

Другие ресурсы Dr.WEB