Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader6.20473
Добавлен в вирусную базу Dr.Web:
2012-06-20
Описание добавлено:
2012-07-11
Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Spoolsv' = '<SYSTEM32>\spoolvs.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe %WINDIR%\shell.exe'
[<HKLM>\SYSTEM\ControlSet001\Control\SecurityProviders] 'SecurityProviders' = 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, wowfx.dll'
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Printer' = '<SYSTEM32>\printer.exe'
Creates or modifies the following files:
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe
%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe
Malicious functions:
To bypass firewall, removes or modifies the following registry keys:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe' = '%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe' = '%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe' = '%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe' = '%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\shell.exe' = '%WINDIR%\shell.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\shell.exe' = '%WINDIR%\shell.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe' = '%HOMEPATH%\Start Menu\Programs\Startup\findfast.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\winav.exe' = '<SYSTEM32>\winav.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winav.exe' = '<SYSTEM32>\winav.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winav.exe' = '<SYSTEM32>\winav.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\winav.exe' = '<SYSTEM32>\winav.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe' = '%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe' = '%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe' = '%ALLUSERSPROFILE%\Start Menu\Programs\Startup\autorun.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\printer.exe' = '<SYSTEM32>\printer.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\printer.exe' = '<SYSTEM32>\printer.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\printer.exe' = '<SYSTEM32>\printer.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\printer.exe' = '%APPDATA%\printer.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%APPDATA%\printer.exe' = '%APPDATA%\printer.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%APPDATA%\printer.exe' = '%APPDATA%\printer.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\printer.exe' = '%APPDATA%\printer.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\spoolvs.exe' = '<SYSTEM32>\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%WINDIR%\shell.exe' = '%WINDIR%\shell.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%WINDIR%\shell.exe' = '%WINDIR%\shell.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\spoolvs.exe' = '<SYSTEM32>\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\printer.exe' = '<SYSTEM32>\printer.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\spoolvs.exe' = '<SYSTEM32>\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019'
[<HKLM>\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\spoolvs.exe' = '<SYSTEM32>\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019'
To complicate detection of its presence in the operating system,
blocks execution of the following system utilities:
Windows Task Manager (Taskmgr)
Registry Editor (RegEdit)
Creates and executes the following:
%APPDATA%\npad.exe
%APPDATA%\printer.exe
Executes the following:
<SYSTEM32>\cmd.exe /c %TEMP%\2.bat
<SYSTEM32>\cmd.exe /c %TEMP%\1.bat
Modifies settings of Windows Explorer:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000001'
Modifies file system :
Creates the following files:
%WINDIR%\shell.exe
%PROGRAM_FILES%\altcmd\uninstall.bat
%PROGRAM_FILES%\altcmd\altcmd.inf
%TEMP%\2.bat
%APPDATA%\spoolsvc.dll
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\l3[1]
<DRIVERS>\etc\st.im
%APPDATA%\nvsvc1024.dll
%APPDATA%\npad.exe
%APPDATA%\printer.exe
<SYSTEM32>\printer.exe
%PROGRAM_FILES%\altcmd\altcmd32.dll
%TEMP%\1.bat
<SYSTEM32>\spoolvs.exe
Deletes the following files:
<SYSTEM32>\wowfx.dll
<DRIVERS>\etc\hosts
Moves itself:
from <Full path to virus> to <SYSTEM32>\<Virus name>.exe
Network activity:
Connects to:
'ln###live.com':80
'localhost':1049
TCP:
HTTP GET requests:
ln###live.com/l3/?q=###################################################
UDP:
Miscellaneous:
Searches for the following windows:
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK