Для корректной работы нашего сайта необходимо включить поддержку JavaScript в вашем браузере.
Trojan.DownLoader7.20255
Добавлен в вирусную базу Dr.Web:
2012-11-10
Описание добавлено:
2012-11-10
Technical Information
To ensure autorun and distribution:
Modifies the following registry keys:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] '' = ''
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
[<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
[<HKLM>\SOFTWARE\Classes\cmdfile\shell\open\command] '' = '"%1" %*'
[<HKLM>\SOFTWARE\Classes\comfile\shell\open\command] '' = '"%1" %*'
[<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '"%1" %*'
[<HKLM>\SOFTWARE\Classes\batfile\shell\open\command] '' = '"%1" %*'
Creates the following services:
[<HKLM>\SYSTEM\ControlSet001\Services\PROCEXP90] 'ImagePath' = '<DRIVERS>\PROCEXP90.SYS'
Malicious functions:
Creates and executes the following:
C:\<Virus name>\mtee.cfexe NlsLang
C:\<Virus name>\swreg.cfexe query "HKLM\System\CurrentControlSet\Control\NLS\Language" /V InstallLanguage
C:\<Virus name>\sed.cfexe "/.*\t/!d; s///" temp00
<SYSTEM32>\CF7869.exe /S /D /c" ECHO.0409"
C:\<Virus name>\Findstr.cfexe -E "07"
C:\<Virus name>\Findstr.cfexe -E "13"
C:\<Virus name>\Findstr.cfexe -E "0C"
C:\<Virus name>\swreg.cfexe query "HKLM\System\CurrentControlSet\Control\NLS\CodePage" /V ACP
<SYSTEM32>\CF7869.exe /k c.bat
<SYSTEM32>\CF7869.exe /f:off /d /c call Start_.cmd
C:\32788R22FWJFW\NirCmd.cfexe execmd DEL "\32788R22FWJFW\prep.cmd"
<SYSTEM32>\CF7869.exe /S /D /c" ECHO..cfexe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH"
C:\<Virus name>\grep.cfexe -qi ".CFEXE;"
<SYSTEM32>\CF7869.exe /S /D /c" SET PATHEXT"
C:\<Virus name>\grep.cfexe -qi "\.CFEXE;"
C:\<Virus name>\Findstr.cfexe -E "0B"
C:\<Virus name>\grep.cfexe -isq "\/u" sfx.cmd
C:\<Virus name>\grep.cfexe -sq \\ ForeignA.dat
C:\<Virus name>\Findstr.cfexe -IV "\\detoured\.dll" temp01
<SYSTEM32>\CF7869.exe /S /D /c" ( ECHO.7947 http://do######.bleepingcomputer.com/sUBs/ & ECHO.28017 http://su##.#eekstogo.com/ & ECHO.18704 http://www.fo###pyware.com/sUBs/ )"
C:\<Virus name>\nircmd.com qboxcom "There's a newer version of ComboFix available.~n~nWould you like to update ComboFix?" "Update" returnval 1
C:\<Virus name>\Findstr.cfexe MANDATORY Version.txt
C:\<Virus name>\ComboFix-Download.exe http://www.fo###pyware.com/sUBs/version.txt .\ /delete
C:\<Virus name>\sed.cfexe -r "1d; /\t$/!d; s/.*\t(.:\\.*)\t.*/\1/;" temp00
C:\<Virus name>\Findstr.cfexe -E "0A"
C:\<Virus name>\Findstr.cfexe -E "10"
C:\<Virus name>\Findstr.cfexe -E "16"
C:\<Virus name>\Findstr.cfexe -E "05"
C:\<Virus name>\pv.cfexe -m CF7869.exe -q -e
C:\<Virus name>\Findstr.cfexe -E "04"
C:\<Virus name>\Findstr.cfexe -E "15"
C:\32788R22FWJFW\sed.cfexe -r "/<Non-existant Process> pid: ([0-9]*) .*/!d; s//@Nircmd KillProcess \/\1/" temp01
C:\32788R22FWJFW\handle.cfexe
<SYSTEM32>\cmd.cfexe /c 32788R22FWJFW\prep.cmd >Bug.txt
C:\32788R22FWJFW\pv.cfexe -o"%i\t%l"
C:\32788R22FWJFW\NirCmd.cfexe win close ititle "ComboFix"
C:\32788R22FWJFW\NirCmd.cfexe win close class "#32770"
C:\32788R22FWJFW\sed.cfexe "/\t.*\\nircmd\.inf$/!d; s///; s/./@pv -kfi &/" temp02
C:\32788R22FWJFW\nircmd.com cmdwait 500 exec hide "<SYSTEM32>\cmd.cfexe" /c 32788R22FWJFW\prep.cmd >Bug.txt
C:\32788R22FWJFW\nircmd.com exec hide 32788R22FWJFW\SWREG.exe acl "hklm\software\microsoft\windows nt\currentversion\windows" /de:f /q
C:\32788R22FWJFW\hidec.exe 32788R22FWJFW\swreg.exe import 32788R22FWJFW\EXE.reg
C:\32788R22FWJFW\nircmd.com shexec install 32788R22FWJFW\nircmd.inf
C:\32788R22FWJFW\swreg.exe import 32788R22FWJFW\EXE.reg
C:\32788R22FWJFW\gsar.cfexe -f -s\:000M:000i:000c:000r:000o -r\:001M:000i:000c:000r:000o "<SYSTEM32>\cmd.exe" "<SYSTEM32>\cmd.cfexe"
C:\32788R22FWJFW\nircmd.com exec hide 32788R22FWJFW\GSAR.cfexe -f -s\:000M:000i:000c:000r:000o -r\:001M:000i:000c:000r:000o "<SYSTEM32>\cmd.exe" "<SYSTEM32>\cmd.cfexe"
C:\32788R22FWJFW\swreg.exe acl "hklm\software\microsoft\windows nt\currentversion\windows" /de:f /q
C:\32788R22FWJFW\swreg.exe add "hklm\software\microsoft\windows\currentversion\app paths\combofix.exe" /ve /d "<Full path to virus>"
C:\32788R22FWJFW\swreg.cfexe acl "hklm\software\microsoft\windows nt\currentversion\windows" /RE:F /Q
C:\32788R22FWJFW\Findstr.cfexe -LIXC:"<Virus name>" dirname00
C:\32788R22FWJFW\Findstr.cfexe -IVX ComboFix
C:\32788R22FWJFW\grep.cfexe -sq "currentversion.* 6.0" osVer00
C:\32788R22FWJFW\NirCmd.cfexe exec hide "<SYSTEM32>\CF7869.exe" /f:off /d /c call Start_.cmd
C:\32788R22FWJFW\swreg.cfexe acl "hklm\software\microsoft\windows nt\currentversion\windows" /DE:F /Q
C:\32788R22FWJFW\swreg.cfexe query "hklm\software\microsoft\windows nt\currentversion\windows"
<SYSTEM32>\CF7869.exe /S /D /c" DIR /AD/B C:\* "
C:\32788R22FWJFW\Attrib.cfexe +R "C:\32788R22FWJFW\*.com"
C:\32788R22FWJFW\Attrib.cfexe +R "C:\32788R22FWJFW\*.cfexe"
C:\32788R22FWJFW\sed.cfexe -r "s/SfxCmd=.[^\x22]*\x22 +/@SET SfxCmd=/I"
C:\32788R22FWJFW\swxcacls.cfexe "<SYSTEM32>\cmd.exe" /OA /Q
C:\32788R22FWJFW\grep.cfexe -isqx "FileName=[-[:alnum:]@.]*" FileName
C:\32788R22FWJFW\gsar.cfexe -f -s\:000M:000i:000c:000r:000o -r\:001M:000i:000c:000r:000o "<SYSTEM32>\cmd.exe" "<SYSTEM32>\CF7869.exe"
C:\32788R22FWJFW\swxcacls.cfexe "<SYSTEM32>\cmd.exe" /P /GA:F /GS:F /GP:X /GU:X /Q
Executes the following:
<SYSTEM32>\findstr.exe -I "=.*[a-z]" sfx.cmd
<SYSTEM32>\attrib.exe +R "<Full path to virus>"
<SYSTEM32>\chcp.com 1251
<SYSTEM32>\sort.exe
<SYSTEM32>\ping.exe -n 2 google.com
<SYSTEM32>\runonce.exe -r
<SYSTEM32>\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 C:\32788R22FWJFW\nircmd.inf
<SYSTEM32>\grpconv.exe -o
<SYSTEM32>\find.exe "Windows XP" VER00
<SYSTEM32>\find.exe "Microsoft Windows [Version 5.2.3790]" VER00
Modifies file system :
Creates the following files:
Deletes the following files:
<SYSTEM32>\cmd.cfexe
C:\Bug.txt
C:\Start_.cmd
C:\<Virus name>\Lang01
C:\<Virus name>\temp00
C:\<Virus name>\lang00
C:\32788R22FWJFW\Prep.cmd
C:\32788R22FWJFW\temp02
C:\32788R22FWJFW\temp01
<DRIVERS>\PROCEXP90.SYS
C:\32788R22FWJFW\dirname00
C:\32788R22FWJFW\FileName
C:\32788R22FWJFW\NirCmd.inf
Moves the following files:
Network activity:
Connects to:
TCP:
HTTP GET requests:
www.fo###pyware.com/sUBs/version.txt
UDP:
DNS ASK www.fo###pyware.com
DNS ASK google.com
Miscellaneous:
Searches for the following windows:
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'EDIT' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Скачайте Dr.Web для Android
Бесплатно на 3 месяца
Все компоненты защиты
Продление демо через AppGallery/Google Pay
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее
OK