Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.DownLoader11.37477

Добавлен в вирусную базу Dr.Web: 2014-10-18

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '5425de41972c15c94c80e6c49c85e305' = '"%APPDATA%\firfox.exe" ..'
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '5425de41972c15c94c80e6c49c85e305' = '"%APPDATA%\firfox.exe" ..'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\firfox.exe' = '%APPDATA%\firfox.exe:*:Enabled:firfox.exe'
Создает и запускает на исполнение:
  • 'C:\Extracted\Pro Webcam Hack v 1.0 2013.exe'
  • '%TEMP%\ir_ext_temp_0\autorun.exe' "SFXSOURCE:C:\Extracted\Pro Webcam Hack v 1.0 2013.exe"
  • 'C:\Extracted\server4.exe'
  • '%APPDATA%\firfox.exe'
Запускает на исполнение:
  • '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%APPDATA%\firfox.exe" "firfox.exe" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\today501.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled 2.bmp
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Rockstar-announces-GTA-IV-DLC-1.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Thumbs.db
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled 2_1.bmp
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled 3_1.bmp
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled 5.bmp
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled 222.bmp
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled 3.bmp
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\logo hacker.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\logo2.gif
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\lock-and-key-icon-thumb355812.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\lock-and-key-icon-thumb355812_1.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\mgs4_boss_ladies.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\pirate-girls-black-skirt.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\ppp.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\new-picture-21.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\noctis.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled 6.bmp
  • %TEMP%\ir_ext_temp_0\AutoPlay\Plugins\WINBUTTON\WINBUTTON.APO
  • %TEMP%\ir_ext_temp_0\AutoPlay\Videos\Thumbs.db
  • %TEMP%\ir_ext_temp_0\AutoPlay\Plugins\vt_Euro.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Plugins\vt_Windows OS.png
  • %TEMP%\ir_ext_temp_0\autorun.exe
  • %TEMP%\_ir_tmpfnt_1\Pieces of Eight.TFT
  • %TEMP%\_ir_tmpfnt_1\Segoe Print.TFT
  • %TEMP%\ir_ext_temp_0\Hardware-Webcam.ico
  • %TEMP%\_ir_tmpfnt_1\Calligraph421 BT.TFT
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled3.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled3_1.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled 7.bmp
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Untitled1.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Webcam_logo.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Yahoo-Messenger-icon.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Plugins\sb_Euro.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\WindowsLive.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Windows-Messenger-icon.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\lightning-character-art-from-final-fantasy-13.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\indigo_clouds.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\indigo_i.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Buttons\green_pill.btn
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\hackwebcam.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\sayfe.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled_3.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled_4.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled_2.swf
  • C:\Extracted\Pro Webcam Hack v 1.0 2013.exe
  • %APPDATA%\firfox.exe
  • %TEMP%\sfx.ini
  • C:\Extracted\server4.exe
  • %TEMP%\ir_ext_temp_0\AutoPlay\Audio\Boop.ogg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Audio\Squisher.ogg
  • %TEMP%\ir_ext_temp_0\AutoPlay\autorun.cdd
  • %TEMP%\ir_ext_temp_0\AutoPlay\Audio\Click1.ogg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Audio\High1.ogg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled2.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Final_Fantasy_XIII_Lightning-1.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Flower02.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\e3223ccccdd1.gif
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\feature-peace-walker.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Flowers.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\images.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\KeyLogoSmallInverted.gif
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\hacker2.png
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\help_icon.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled20000_2.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled222.wfs.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled20000.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled20000_1.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Flash\Untitled2222.swf
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Border02.gif
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\Dark-Skull-38806.jpg
  • %TEMP%\ir_ext_temp_0\AutoPlay\Icons\Hardware-Webcam.ico
  • %TEMP%\ir_ext_temp_0\AutoPlay\Images\007-gun-logo.png
Удаляет следующие файлы:
  • %TEMP%\sfx.ini
Сетевая активность:
Подключается к:
  • 'ma#####0147.no-ip.biz':2020
UDP:
  • DNS ASK ma#####0147.no-ip.biz
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'Indicator' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке