Trojan.DownLoader6.37350

Technical Information

To ensure autorun and distribution:

Modifies the following registry keys:

[<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'

Malicious functions:

Executes the following:

<SYSTEM32>\attrib.exe +r "keygen.exe"
<SYSTEM32>\attrib.exe +h "keygen.exe"
<SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\keygen.bat""

Modifies file system :

Creates the following files:

%WINDIR%\550.329
<SYSTEM32>\11516.29889
%WINDIR%\10827.23245
<SYSTEM32>\28362.6708
%WINDIR%\2265.9200
<SYSTEM32>\12420.30831
%WINDIR%\29579.3158
<SYSTEM32>\14051.31648
%WINDIR%\14000.9816
<SYSTEM32>\11987.14159
%WINDIR%\12450.27394
<SYSTEM32>\27850.10475
%WINDIR%\22800.18227
<SYSTEM32>\11715.9862
%WINDIR%\7400.32371
<SYSTEM32>\6061.11937
%WINDIR%\5763.10437
<SYSTEM32>\14028.19583
%WINDIR%\24963.8146
<SYSTEM32>\7548.19183
%WINDIR%\8115.17861
<SYSTEM32>\29539.9274
%WINDIR%\11593.25718
<SYSTEM32>\27761.14123
%WINDIR%\11623.3111
<SYSTEM32>\4431.7064
%WINDIR%\27988.21002
<SYSTEM32>\21272.19340
%WINDIR%\8469.26523
<SYSTEM32>\11112.29977
%WINDIR%\1836.14387
<SYSTEM32>\16672.15531
%WINDIR%\22335.4248
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\600f5345.cash4files[1]
%WINDIR%\5062.30985
<SYSTEM32>\22363.31296
%WINDIR%\24433.28659
<SYSTEM32>\31514.26332
%WINDIR%\9521.26924
<SYSTEM32>\1991.7292
%WINDIR%\15422.29957
<SYSTEM32>\32451.8586
%WINDIR%\3726.31528
<SYSTEM32>\16219.9707
%WINDIR%\251.19795
<SYSTEM32>\25988.4723
%WINDIR%\9100.32576
<SYSTEM32>\11638.6913
%WINDIR%\4151.12226
<SYSTEM32>\27020.28960
<SYSTEM32>\5634.20942
<SYSTEM32>\5515.31151
%WINDIR%\2346.30896
<SYSTEM32>\6956.16318
%WINDIR%\12374.30078
<SYSTEM32>\26960.13611
%WINDIR%\18455.9864
<SYSTEM32>\2921.10082
%WINDIR%\18662.31425
<SYSTEM32>\32236.22116
%WINDIR%\20584.31741
<SYSTEM32>\5744.3507
%WINDIR%\14728.4313
<SYSTEM32>\32116.18228
%WINDIR%\19680.25321
<SYSTEM32>\31410.3034
%WINDIR%\23622.30475
%TEMP%\1.tmp\keygen.bat
<Current directory>\keygenerator.exe
<SYSTEM32>\13897.8702
%WINDIR%\1517.8733
<SYSTEM32>\18116.12377
%WINDIR%\25450.22394
<SYSTEM32>\31631.17592
%WINDIR%\9613.19663
<SYSTEM32>\15799.11041
%WINDIR%\13385.7697
<SYSTEM32>\8652.1683
%WINDIR%\11976.32567
<SYSTEM32>\3341.16367
%WINDIR%\10455.22570
<SYSTEM32>\32763.19287
%WINDIR%\21979.32692
<SYSTEM32>\9883.1215
%WINDIR%\28986.22731
<SYSTEM32>\3250.6684
%WINDIR%\31163.1783
<SYSTEM32>\20458.1102
%WINDIR%\31130.888
<SYSTEM32>\16285.5483
%WINDIR%\27039.14296
<SYSTEM32>\18854.18434
%WINDIR%\25218.2881
<SYSTEM32>\16554.3248
%WINDIR%\12876.31008
<SYSTEM32>\15783.26614
%WINDIR%\27334.11727
<SYSTEM32>\20533.31922
%WINDIR%\30219.25416
<SYSTEM32>\7540.29045
%WINDIR%\5463.5037

Deletes the following files:

%TEMP%\1.tmp\keygen.bat
<Current directory>\keygenerator.exe

Network activity:

Connects to:

'60#####5.cash4files.com':80
'localhost':1035

TCP:

HTTP GET requests:

60#####5.cash4files.com/

UDP:

DNS ASK 60#####5.cash4files.com

Miscellaneous:

Searches for the following windows:

ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebcheckMonitor' WindowName: ''
ClassName: 'IEFrame' WindowName: ''
ClassName: '' WindowName: ''
ClassName: 'Shell_TrayWnd' WindowName: ''

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android