Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
BackDoor.Gbot.2298
Добавлен в вирусную базу Dr.Web:
2012-09-18
Описание добавлено:
2012-10-09
Technical Information
To ensure autorun and distribution:
Creates or modifies the following files:
%WINDIR%\Tasks\GoogleUpdateTaskMachineUA.job
%WINDIR%\Tasks\GoogleUpdateTaskMachineCore.job
Creates the following services:
[<HKLM>\SYSTEM\ControlSet001\Services\gupdate] 'Start' = '00000002'
Malicious functions:
Creates and executes the following:
%PROGRAM_FILES%\Google\Update\GoogleUpdate.exe /svc
%PROGRAM_FILES%\Google\Update\GoogleUpdate.exe /RegServer
%PROGRAM_FILES%\Google\Update\GoogleUpdate.exe /c
%PROGRAM_FILES%\Google\Update\1.2.183.13\GoogleCrashHandler.exe /crashhandler
%PROGRAM_FILES%\Google\Update\GoogleUpdate.exe /cr
%TEMP%\eptemp.$$$\ChromeSetup\ChromeSetup.exe
%TEMP%\eptemp.$$$\ChromeSetup\ChromeStub.exe
%PROGRAM_FILES%\Google\GoogleUpdateSetup.exe /silent /install "appguid={8A69D345-D564-463c-AFF1-A69D9E530F96}&appname=Google%20Chrome&needsadmin=True&brand=UGNF&lang=ja" /appargs "appguid={8A69D345-D564-463c-AFF1-A69D9E530F96}&installerdata=%7B%22homepage%22%3A%22http%3A%2F%2Fwww.go####.##.#################################################################################################################################Atrue%2C%22import_search_engine%22%3Afalse%2C%22import_history%22%3Afalse%2C%22create_all_shortcuts%22%3Atrue%2C%22do_not_launch_chrome%22%3Atrue%2C%22make_chrome_default%22%3Afalse%2C%22verbose_logging%22%3Afalse%7D%2C%22first_run_tabs%22%3A%5B%22http%3A%2F%2Fwww.google.com%2Fchrome%2Fintl%2Fja%2Feasystart%2Findex.html%22%2C%22http%3A%2F%2Fwww.google.co.jp%22%2C%22welcome_page%22%2C%22new_tab_page%22%5D%7D
%PROGRAM_FILES%\Google\Update\GoogleUpdate.exe /ig "appguid={8A69D345-D564-463c-AFF1-A69D9E530F96}&appname=Google%20Chrome&needsadmin=True&brand=UGNF&lang=ja" /appargs "appguid={8A69D345-D564-463c-AFF1-A69D9E530F96}&installerdata=%7B%22homepage%22%3A%22http%3A%2F%2Fwww.go####.##.#################################################################################################################################Atrue%2C%22import_search_engine%22%3Afalse%2C%22import_history%22%3Afalse%2C%22create_all_shortcuts%22%3Atrue%2C%22do_not_launch_chrome%22%3Atrue%2C%22make_chrome_default%22%3Afalse%2C%22verbose_logging%22%3Afalse%7D%2C%22first_run_tabs%22%3A%5B%22http%3A%2F%2Fwww.google.com%2Fchrome%2Fintl%2Fja%2Feasystart%2Findex.html%22%2C%22http%3A%2F%2Fwww.google.co.jp%22%2C%22welcome_page%22%2C%22new_tab_page%22%5D%7D" /silent
%TEMP%\GUM7.tmp\GoogleUpdate.exe /silent /install "appguid={8A69D345-D564-463c-AFF1-A69D9E530F96}&appname=Google%20Chrome&needsadmin=True&brand=UGNF&lang=ja" /appargs "appguid={8A69D345-D564-463c-AFF1-A69D9E530F96}&installerdata=%7B%22homepage%22%3A%22http%3A%2F%2Fwww.go####.##.#################################################################################################################################Atrue%2C%22import_search_engine%22%3Afalse%2C%22import_history%22%3Afalse%2C%22create_all_shortcuts%22%3Atrue%2C%22do_not_launch_chrome%22%3Atrue%2C%22make_chrome_default%22%3Afalse%2C%22verbose_logging%22%3Afalse%7D%2C%22first_run_tabs%22%3A%5B%22http%3A%2F%2Fwww.google.com%2Fchrome%2Fintl%2Fja%2Feasystart%2Findex.html%22%2C%22http%3A%2F%2Fwww.google.co.jp%22%2C%22welcome_page%22%2C%22new_tab_page%22%5D%7D
Executes the following:
<SYSTEM32>\msiexec.exe /V
Modifies file system :
Creates the following files:
Deletes the following files:
%TEMP%\GUM7.tmp\goopdateres_pl.dll
%TEMP%\GUM7.tmp\goopdateres_pt-BR.dll
%TEMP%\GUM7.tmp\goopdateres_no.dll
%TEMP%\GUM7.tmp\goopdateres_or.dll
%TEMP%\GUM7.tmp\goopdateres_pt-PT.dll
%TEMP%\GUM7.tmp\goopdateres_sk.dll
%TEMP%\GUM7.tmp\goopdateres_sl.dll
%TEMP%\GUM7.tmp\goopdateres_ro.dll
%TEMP%\GUM7.tmp\goopdateres_ru.dll
%TEMP%\GUM7.tmp\goopdateres_ko.dll
%TEMP%\GUM7.tmp\goopdateres_lt.dll
%TEMP%\GUM7.tmp\goopdateres_ja.dll
%TEMP%\GUM7.tmp\goopdateres_kn.dll
%TEMP%\GUM7.tmp\goopdateres_lv.dll
%TEMP%\GUM7.tmp\goopdateres_ms.dll
%TEMP%\GUM7.tmp\goopdateres_nl.dll
%TEMP%\GUM7.tmp\goopdateres_ml.dll
%TEMP%\GUM7.tmp\goopdateres_mr.dll
%TEMP%\GUT8.tmp
%PROGRAM_FILES%\Google\GoogleUpdateSetup.exe
%TEMP%\GUM7.tmp\goopdateres_zh-CN.dll
%TEMP%\GUM7.tmp\goopdateres_zh-TW.dll
%TEMP%\epe3.tmp
%TEMP%\eptemp.$$$\ChromeSetup\ChromeStub.exe
%TEMP%\eptemp.$$$\ChromeSetup\gcapi_dll.dll
%TEMP%\epi4.tmp
%TEMP%\eptemp.$$$\ChromeSetup\ChromeSetup.exe
%TEMP%\GUM7.tmp\goopdateres_ta.dll
%TEMP%\GUM7.tmp\goopdateres_te.dll
%TEMP%\GUM7.tmp\goopdateres_sr.dll
%TEMP%\GUM7.tmp\goopdateres_sv.dll
%TEMP%\GUM7.tmp\goopdateres_th.dll
%TEMP%\GUM7.tmp\goopdateres_ur.dll
%TEMP%\GUM7.tmp\goopdateres_vi.dll
%TEMP%\GUM7.tmp\goopdateres_tr.dll
%TEMP%\GUM7.tmp\goopdateres_uk.dll
%TEMP%\GUM7.tmp\goopdateres_iw.dll
%TEMP%\GUM7.tmp\GoogleCrashHandler.exe
%TEMP%\GUM7.tmp\goopdateres_ar.dll
%TEMP%\GUM7.tmp\GoopdateBho.dll
%TEMP%\GUM7.tmp\GoogleUpdateHelper.msi
%TEMP%\GUM7.tmp\goopdateres_bg.dll
%TEMP%\GUM7.tmp\goopdateres_cs.dll
%TEMP%\GUM7.tmp\goopdateres_da.dll
%TEMP%\GUM7.tmp\goopdateres_bn.dll
%TEMP%\GUM7.tmp\goopdateres_ca.dll
%WINDIR%\Installer\MSI9.tmp
C:\Config.Msi\341ef.rbs
%TEMP%\cab1.tmp
%TEMP%\cab2.tmp
%WINDIR%\Installer\341ec.msi
%TEMP%\GUM7.tmp\goopdate.dll
%TEMP%\GUM7.tmp\npGoogleOneClick8.dll
%WINDIR%\Installer\341ee.ipi
%TEMP%\GUM7.tmp\GoogleUpdate.exe
%TEMP%\GUM7.tmp\goopdateres_gu.dll
%TEMP%\GUM7.tmp\goopdateres_hi.dll
%TEMP%\GUM7.tmp\goopdateres_fil.dll
%TEMP%\GUM7.tmp\goopdateres_fr.dll
%TEMP%\GUM7.tmp\goopdateres_hr.dll
%TEMP%\GUM7.tmp\goopdateres_is.dll
%TEMP%\GUM7.tmp\goopdateres_it.dll
%TEMP%\GUM7.tmp\goopdateres_hu.dll
%TEMP%\GUM7.tmp\goopdateres_id.dll
%TEMP%\GUM7.tmp\goopdateres_en.dll
%TEMP%\GUM7.tmp\goopdateres_en-GB.dll
%TEMP%\GUM7.tmp\goopdateres_de.dll
%TEMP%\GUM7.tmp\goopdateres_el.dll
%TEMP%\GUM7.tmp\goopdateres_es.dll
%TEMP%\GUM7.tmp\goopdateres_fa.dll
%TEMP%\GUM7.tmp\goopdateres_fi.dll
%TEMP%\GUM7.tmp\goopdateres_es-419.dll
%TEMP%\GUM7.tmp\goopdateres_et.dll
Network activity:
Connects to:
'74.##5.232.51':80
'74.##5.232.51':443
'cs######4-crl.verisign.com':80
'wp#d':80
'crl.verisign.com':80
TCP:
HTTP GET requests:
crl.verisign.com/ThawteTimestampingCA.crl
crl.verisign.com/tss-ca.crl
cs######4-crl.verisign.com/CSC3-2004.crl
wp#d/wpad.dat
crl.verisign.com/pca3.crl
HTTP POST requests:
74.##5.232.51/service/update2
UDP:
DNS ASK to###.google.com
DNS ASK cr######.clients.google.com
DNS ASK cs######4-crl.verisign.com
DNS ASK wp#d
DNS ASK crl.verisign.com
Miscellaneous:
Searches for the following windows:
ClassName: 'Shell_TrayWnd' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK