Защити созданное

Другие наши ресурсы

  • free.drweb.uz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.uz — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.uz/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

UZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.DownLoader32.55297

Добавлен в вирусную базу Dr.Web: 2020-02-01

Описание добавлено:

Technical Information

To ensure autorun and distribution
Modifies the following registry keys
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{6ZMULYI-VTB5-YY4B-9P18-4IAGZZK9R1R}' = '"%APPDATA%\amd64_microsoft-windows-i..l-keyboard-0001041e_31bf3856ad364e35_6.3.9600.16384_none_9...
Malicious functions
Searches for registry branches where third party applications store passwords
  • [<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]
Reads files which store third party applications passwords
  • %HOMEPATH%\desktop\fi51.doc
  • %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
  • %HOMEPATH%\desktop\hanni_umami_chapter.doc
  • %HOMEPATH%\desktop\lisp_success.doc
  • %HOMEPATH%\desktop\nwfieldnotes1966.docx
  • %HOMEPATH%\desktop\thlps_keeper_mayer_1965.docx
  • %HOMEPATH%\desktop\uep_form_786_bulletin_1726i602.doc
  • %HOMEPATH%\desktop\dashborder_192.bmp
  • %HOMEPATH%\desktop\dialmap.bmp
  • %HOMEPATH%\desktop\toolbar.bmp
Searches for windows to
detect analytical utilities:
  • ClassName: 'OLLYDBG', WindowName: ''
  • ClassName: 'GBDYLLO', WindowName: ''
  • ClassName: 'pediy06', WindowName: ''
  • ClassName: 'FilemonClass', WindowName: ''
  • ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
  • ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
  • ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
  • ClassName: 'RegmonClass', WindowName: ''
  • ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
Modifies file system
Creates the following files
  • %TEMP%\aut1.tmp
  • %TEMP%\dw.log
  • %TEMP%\nsf6.tmp\system.dll
  • %TEMP%\nsf6.tmp\nsdialogs.dll
  • %TEMP%\nsf6.tmp\brandingurl.dll
  • %TEMP%\nsf6.tmp\aero.dll
  • %TEMP%\nsf6.tmp\modern-wizard.bmp
  • %TEMP%\nsf6.tmp\modern-header.bmp
  • %TEMP%\nsf6.tmp\orange-r.bmp
  • %TEMP%\17427f.dmp
  • %TEMP%\nsf6.tmp\ukr-r.bmp
  • %TEMP%\nsf6.tmp\rus-r.bmp
  • %TEMP%\nsf6.tmp\langdll.dll
  • %TEMP%\nsh5.tmp
  • %APPDATA%\z96453169\uninstall.tool-3.5.9.5660.exe
  • %TEMP%\aut3.tmp
  • %APPDATA%\z96453169\uninstall tool 3.5.9-build 5660.exe
  • %TEMP%\aut2.tmp
  • %APPDATA%\z96453169\uninstall tool 3.5.9 build 5660.exe
  • %TEMP%\nsf6.tmp\eng-r.bmp
  • %APPDATA%\amd64_microsoft-windows-i..l-keyboard-0001041e_31bf3856ad364e35_6.3.9600.16384_none_922e26ef1bece244\config.json
Sets the 'hidden' attribute to the following files
  • %APPDATA%\amd64_microsoft-windows-i..l-keyboard-0001041e_31bf3856ad364e35_6.3.9600.16384_none_922e26ef1bece244\nlsdata0003.exe
  • %APPDATA%\amd64_microsoft-windows-i..l-keyboard-0001041e_31bf3856ad364e35_6.3.9600.16384_none_922e26ef1bece244\config.json
Deletes the following files
  • %TEMP%\aut1.tmp
  • %TEMP%\aut2.tmp
  • %TEMP%\aut3.tmp
Moves the following files
  • from %APPDATA%\z96453169\uninstall tool 3.5.9-build 5660.exe to %APPDATA%\amd64_microsoft-windows-i..l-keyboard-0001041e_31bf3856ad364e35_6.3.9600.16384_none_922e26ef1bece244\nlsdata0003.exe
Network activity
Connects to
  • 'ya####ba.zzz.com.ua':52256
  • 'ya####ba.zzz.com.ua':54918
TCP
HTTP GET requests
  • http://45.##.228.211:2012/websocket via 45.##.228.211
  • http://ap#.#pify.org/
  • '<LOCALNET>.8.54':1109
  • '<LOCALNET>.8.54':1106
  • '<LOCALNET>.8.54':1103
  • '<LOCALNET>.8.54':1100
  • '<LOCALNET>.8.54':1097
  • '<LOCALNET>.8.54':1094
  • '<LOCALNET>.8.54':1091
  • '<LOCALNET>.8.54':1088
  • '<LOCALNET>.8.54':1085
  • '<LOCALNET>.8.54':1082
  • '<LOCALNET>.8.54':1079
  • '<LOCALNET>.8.54':1076
  • '<LOCALNET>.8.54':1073
  • '<LOCALNET>.8.54':1070
  • '<LOCALNET>.8.54':1067
  • '<LOCALNET>.8.54':1064
  • '<LOCALNET>.8.54':1061
  • '<LOCALNET>.8.54':1058
  • '<LOCALNET>.8.54':1055
  • '<LOCALNET>.8.54':1052
  • '<LOCALNET>.8.54':1049
  • 'ya####ba.zzz.com.ua':21
  • '<LOCALNET>.8.54':1046
  • 'ip###ger.org':443
  • 'ip##fo.io':443
  • '<LOCALNET>.8.54':1112
  • '<LOCALNET>.8.54':1115
    • UDP
    • DNS ASK ap#.#pify.org
    • DNS ASK ip##fo.io
    • DNS ASK ip###ger.org
    • DNS ASK ya####ba.zzz.com.ua
    Miscellaneous
    Searches for the following windows
    • ClassName: '18467-41' WindowName: ''
    Creates and executes the following
    • '%APPDATA%\z96453169\uninstall tool 3.5.9 build 5660.exe'
    • '%APPDATA%\z96453169\uninstall tool 3.5.9-build 5660.exe'
    • '%APPDATA%\z96453169\uninstall.tool-3.5.9.5660.exe'
    • '%APPDATA%\amd64_microsoft-windows-i..l-keyboard-0001041e_31bf3856ad364e35_6.3.9600.16384_none_922e26ef1bece244\nlsdata0003.exe'
    Executes the following
    • '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 716

    Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Демо бесплатно

     

    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    Демо бесплатно

     

    Скачать Dr.Web

    По серийному номеру

    Скачать Dr.Web с Apple Store

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Демо бесплатно

     

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке

    Скачать с сайта
    Скачать с Google Play