Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Trojan.MulDrop5.18791
Добавлен в вирусную базу Dr.Web:
2014-05-05
Описание добавлено:
2014-05-06
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,72,73,76,70,73,70,2e,64,6c,6c,00,65,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,72,73,76,70,73,70,2e,64,6c,6c,00,65,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = '{43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,4e,65,74,68,6f,6d,65,49,6e,66,6f,5c,6e,65,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = '{43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,4e,65,74,68,6f,6d,65,49,6e,66,6f,5c,6e,65,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = '{43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,4e,65,74,68,6f,6d,65,49,6e,66,6f,5c,6e,65,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = '{43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,4e,65,74,68,6f,6d,65,49,6e,66,6f,5c,6e,65,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = '{43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,4e,65,74,68,6f,6d,65,49,6e,66,6f,5c,6e,65,74,68,6f,6d,65,69,6e,66,6f,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
[<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = '{25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,6d,73,77,73,6f,63,6b,2e,64,6c,6c,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,...'
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\NetHomeIDE] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
'%PROGRAM_FILES%\baidu\dsetup.exe' install
'%PROGRAM_FILES%\baidu\RandWr.exe' spass.dll
'%PROGRAM_FILES%\baidu\RandWr.exe' newnetgar.dll
'%PROGRAM_FILES%\baidu\uninst13.exe'
'%TEMP%\nsc2.tmp\devcon.exe' enable =net
'%TEMP%\nsc2.tmp\ns11.tmp' %TEMP%\nsc2.tmp\devcon.exe enable =net
'%TEMP%\~nsu.tmp\Au_.exe' _?=%PROGRAM_FILES%\baidu\
'%TEMP%\nsc2.tmp\ns6.tmp' cmd.exe /c netsh int ip add dns name="Local Area Connection" addr=182.18.12.11 index=2
'%TEMP%\nsc2.tmp\ns3.tmp' cmd.exe /c netsh int ip set dns name="Local Area Connection" static 61.158.160.197
'%TEMP%\nsc2.tmp\loading.exe'
'%TEMP%\nsc2.tmp\ns7.tmp' %TEMP%\nsc2.tmp\devcon.exe disable =net
'%PROGRAM_FILES%\baidu\RandWr.exe' dsetup.exe
'%TEMP%\nsc2.tmp\install.exe'
'%TEMP%\nsc2.tmp\devcon.exe' disable =net
Запускает на исполнение:
'<SYSTEM32>\runonce.exe' -r
'<SYSTEM32>\svchost.exe' -k mysysgroup3
'<SYSTEM32>\rundll32.exe' <SYSTEM32>\nethome32.dll RundllInstall NetHomeIDE
Изменения в файловой системе:
Создает следующие файлы:
%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
%APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
%WINDIR%\inf\oem3.inf
%WINDIR%\inf\oem4.inf
%WINDIR%\inf\oem3.PNF
%APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\4013341a-0cd8-4cd0-a695-8d53294896ea
<SYSTEM32>\NethomeInfo\MyIEData\main.ini
%PROGRAM_FILES%\baidu\uninst13.exe
<SYSTEM32>\NethomeInfo\nethomeinfo.dll
<SYSTEM32>\nethome32.dll
<SYSTEM32>\NethomeInfo\MyIEData\SysDat.bin
%TEMP%\nsc2.tmp\ns11.tmp
%TEMP%\~nsu.tmp\Au_.exe
%TEMP%\nsc2.tmp\ioSpecial.ini
%TEMP%\nsc2.tmp\InstallOptions.dll
%TEMP%\nsc2.tmp\modern-wizard.bmp
%APPDATA%\MyIEData\main.ini
%WINDIR%\inf\INFCACHE.0
%WINDIR%\inf\oem4.PNF
<DRIVERS>\SETE.tmp
%APPDATA%\NetHome\main.ini
<DRIVERS>\SETF.tmp
%PROGRAM_FILES%\baidu\tempnethome13.ini
%TEMP%\nsc2.tmp\nsRandom.dll
%TEMP%\nsc2.tmp\ns6.tmp
%TEMP%\nsc2.tmp\AccessControl.dll
%TEMP%\nsc2.tmp\ns7.tmp
%TEMP%\nsc2.tmp\devcon.exe
%TEMP%\nsf5.tmp\NxSMSILoaderDlg.dll
%TEMP%\nsc2.tmp\System.dll
%TEMP%\nsc2.tmp\loading.exe
%TEMP%\nsc2.tmp\Math.dll
%TEMP%\nsc2.tmp\ns3.tmp
%TEMP%\nsc2.tmp\nsExec.dll
%PROGRAM_FILES%\baidu\spass.dll
%PROGRAM_FILES%\baidu\newnetgar.dll
%PROGRAM_FILES%\baidu\SysDat.bin
%TEMP%\nse9.tmp\System.dll
%PROGRAM_FILES%\baidu\RandWr.exe
%PROGRAM_FILES%\baidu\mpflt.inf
%PROGRAM_FILES%\baidu\nethome.dll
%TEMP%\nsc2.tmp\install.exe
%PROGRAM_FILES%\baidu\dsetup.exe
%PROGRAM_FILES%\baidu\mpflt_m.inf
%PROGRAM_FILES%\baidu\nethome.sys
Удаляет следующие файлы:
%PROGRAM_FILES%\baidu\tempnethome13.ini
%PROGRAM_FILES%\baidu\newnetgar.dll
%PROGRAM_FILES%\baidu\mpflt_m.inf
%PROGRAM_FILES%\baidu\mpflt.inf
%PROGRAM_FILES%\baidu\spass.dll
%TEMP%\nsc2.tmp\ns11.tmp
%TEMP%\nsc2.tmp\devcon.exe
%PROGRAM_FILES%\baidu\SysDat.bin
%PROGRAM_FILES%\baidu\RandWr.exe
%PROGRAM_FILES%\baidu\dsetup.exe
%TEMP%\nsc2.tmp\ns7.tmp
%TEMP%\nsf5.tmp\NxSMSILoaderDlg.dll
%TEMP%\nsc2.tmp\ns3.tmp
%TEMP%\nsc2.tmp\ns6.tmp
%TEMP%\nse9.tmp\System.dll
%PROGRAM_FILES%\baidu\nethome.dll
%PROGRAM_FILES%\baidu\nethome.sys
%PROGRAM_FILES%\baidu\uninst13.exe
%TEMP%\nsc2.tmp\install.exe
Перемещает следующие системные файлы:
%WINDIR%\inf\INFCACHE.2 в %WINDIR%\inf\OLDCACHE.000
%WINDIR%\inf\INFCACHE.1 в %WINDIR%\inf\INFCACHE.2
Перемещает следующие файлы:
<DRIVERS>\SETF.tmp в <DRIVERS>\nethome.sys
<DRIVERS>\SETE.tmp в <DRIVERS>\nethome.dll
Сетевая активность:
UDP:
'localhost':1043
'23#.#55.255.250':1900
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: '(null)' WindowName: '??????...'
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK