Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader26.18135
Добавлен в вирусную базу Dr.Web:
2018-02-15
Описание добавлено:
2018-02-15
Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'insertingyuli' = '"%ProgramFiles%\jackrabbit\tremper.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yuliinserting' = '"%ProgramFiles%\jackrabbit\tremper.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'inserting' = '"%ProgramFiles%\Imitative\flamenco.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yuliyuli' = '"%ProgramFiles%\Melodramas\flamenco.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'fusty' = '"%ProgramFiles%\Imitative\flamenco.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'hasso' = '"%ProgramFiles%\drexler\hasso.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'insertinginserting' = '"%ProgramFiles%\Melodramas\flamenco.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'denniepresuppose' = '"%ProgramFiles%\jackrabbit\tremper.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'presuppose' = '"%ProgramFiles%\Imitative\flamenco.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'dennie' = '"%ProgramFiles%\Imitative\flamenco.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'presupposedennie' = '"%ProgramFiles%\jackrabbit\tremper.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'yuli' = '"%ProgramFiles%\Imitative\flamenco.exe"'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'presupposepresuppose' = '"%ProgramFiles%\Melodramas\flamenco.exe"'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'denniedennie' = '"%ProgramFiles%\Melodramas\flamenco.exe"'
Creates or modifies the following files:
%HOMEPATH%\Start Menu\Programs\Startup\incrementincrement.lnk
%HOMEPATH%\Start Menu\Programs\Startup\increment.lnk
Malicious functions:
Executes the following:
'<SYSTEM32>\taskkill.exe' /im chrome.exe
Modifies file system:
Creates the following files:
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[11].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[10].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[8].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[12].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[15].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[14].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[13].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[4].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[3].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[2].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[6].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[9].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[7].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[5].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[25].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[24].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[23].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[26].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[29].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[28].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[27].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[18].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[17].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[16].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[19].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[22].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[21].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[20].html
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\Y20A18A02dO14YA[1].html
%ProgramFiles%\Imitative\flamenco.dll
%ProgramFiles%\Imitative\Imitative.exe
%TEMP%\nsj2.tmp\115221.exe
%ProgramFiles%\Imitative\flamenco.exe
%ProgramFiles%\jackrabbit\tremper.exe
%ProgramFiles%\jackrabbit\tremper.dll
%ProgramFiles%\jackrabbit\jackrabbit.exe
%TEMP%\nsj2.tmp\56557.exe
%TEMP%\nsj2.tmp\46961.exe
%TEMP%\nsj2.tmp\18538.exe
%TEMP%\nsj2.tmp\94318.exe
%TEMP%\nsj2.tmp\Microsoft.Win32.TaskScheduler.dll
%TEMP%\nsj2.tmp\NMconsumer.exe
%TEMP%\nsj2.tmp\139712.exe
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\Y20A18A02dO14YA[1].html
%WINDIR%\cranky.exe
%ProgramFiles%\drexler\hasso.exe
%TEMP%\nsyA.tmp\nsExec.dll
%HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\2-Y20A18A02dO14YA[1].html
%TEMP%\nsxD.tmp\ShellLink.dll
%TEMP%\nsyA.tmp\nsB.tmp
%TEMP%\nsq5.tmp\SimpleFC.dll
<LS_APPDATA>\tremper.exe
<LS_APPDATA>\flamenco.exe
%ProgramFiles%\Melodramas\flamenco.exe
%TEMP%\nsn7.tmp\AccessControl.dll
%ProgramFiles%\grenades\grenades.exe
%ProgramFiles%\Melodramas\tremper.exe
Deletes the following files:
%TEMP%\nsxD.tmp\ShellLink.dll
%TEMP%\nsn7.tmp\AccessControl.dll
%TEMP%\nsq5.tmp\SimpleFC.dll
Network activity:
Connects to:
'li###essvell.pw':80
'localhost':1045
'localhost':1041
'localhost':1037
'localhost':1038
TCP:
HTTP GET requests:
http://www.li###essvell.pw/2-Y20A18A02dO14YA.html?14################## via li###essvell.pw
http://www.li###essvell.pw/Y20A18A02dO14YA.html?14################## via li###essvell.pw
UDP:
DNS ASK www.li###essvell.pw
Miscellaneous:
Searches for the following windows:
ClassName: 'Chrome_WidgetWin_0' WindowName: ''
ClassName: '' WindowName: ''
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebcheckMonitor' WindowName: ''
Creates and executes the following:
'%TEMP%\nsj2.tmp\NMconsumer.exe' "%ProgramFiles%\grenades\grenades.exe" "irregularity"
'%TEMP%\nsj2.tmp\115221.exe'
'%TEMP%\nsj2.tmp\NMconsumer.exe' "%ProgramFiles%\Melodramas\flamenco.exe" "led_diffuse"
'%TEMP%\nsj2.tmp\NMconsumer.exe' "%ProgramFiles%\Melodramas\tremper.exe" "phyllis disconcert"
'%TEMP%\nsj2.tmp\94318.exe'
'%TEMP%\nsyA.tmp\nsB.tmp' taskkill /im chrome.exe
'%ProgramFiles%\drexler\hasso.exe'
'%TEMP%\nsj2.tmp\56557.exe'
'%ProgramFiles%\Melodramas\tremper.exe'
'%TEMP%\nsj2.tmp\139712.exe'
'%ProgramFiles%\Imitative\flamenco.exe'
'%TEMP%\nsj2.tmp\NMconsumer.exe' "%ProgramFiles%\Imitative\flamenco.exe" "pitney"
'%TEMP%\nsj2.tmp\NMconsumer.exe' "%ProgramFiles%\jackrabbit\tremper.exe" "aller-eau"
'%TEMP%\nsj2.tmp\NMconsumer.exe' "<LS_APPDATA>\tremper.exe" "savouring_wicky"
'%ProgramFiles%\Melodramas\flamenco.exe'
'%TEMP%\nsj2.tmp\46961.exe'
'%TEMP%\nsj2.tmp\NMconsumer.exe' "<LS_APPDATA>\flamenco.exe" "backcountry dudman carrick"
Executes the following:
'%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' -Embedding
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK