Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.DownLoader5.17863

Добавлен в вирусную базу Dr.Web: 2011-11-20

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.<Служебное имя>] 'ImagePath' = '\*'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\cfg.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
Сетевая активность:
Подключается к:
  • '18#.#4.136.4':34354
  • '75.##0.252.229':34354
  • '10#.#93.107.199':34354
  • '86.##.91.251':34354
  • '72.##2.233.169':34354
  • '69.##9.235.157':34354
  • '15#.#3.64.253':34354
  • '71.##2.205.12':34354
  • '99.##.214.87':34354
  • '99.##.118.228':34354
  • '41.##0.172.113':34354
  • '21#.#71.60.170':34354
  • '20#.#88.86.137':34354
  • '89.##6.133.79':34354
  • '75.##1.135.115':34354
  • '67.#72.7.8':34354
  • '17#.#9.118.53':34354
  • '71.##9.24.216':34354
  • '77.##8.204.132':34354
  • '12#.#40.234.69':34354
  • '18#.#6.31.167':34354
  • '46.#5.12.54':34354
  • '76.##9.65.161':34354
  • '50.##3.19.104':34354
  • '20#.#60.156.117':34354
  • '76.#0.41.46':34354
  • '98.#4.40.32':34354
  • '17#.#24.12.1':34354
  • '15#.#3.131.212':34354
  • '67.##.25.246':34354
  • '50.##.255.72':34354
  • '68.##.140.86':34354
  • '31.##2.16.109':34354
  • '76.##.243.198':34354
  • '65.#8.1.216':34354
  • '11#.#35.69.206':34354
  • '10#.#33.205.225':34354
  • '10#.#25.128.106':34354
  • '69.##4.170.166':34354
  • '18#.#27.118.84':34354
  • '98.##.199.107':34354
  • '10#.#98.112.65':34354
  • '17#.#95.104.148':34354
  • '98.##0.55.28':34354
  • '76.##7.85.149':34354
  • '24.##.61.226':34354
  • '69.##7.33.61':34354
  • '18#.#01.91.234':34354
  • '84.##4.239.154':34354
  • '10#.#42.133.98':34354
  • '18#.#27.85.102':34354
  • '62.##.198.128':34354
  • '18#.#53.206.114':34354
  • '68.##3.236.120':34354
  • '69.##0.70.38':34354
  • '18#.#.150.180':34354
  • '17#.#4.134.94':34354
  • '75.##.220.232':34354
  • '18#.#0.199.135':34354
  • '75.#.234.93':34354
  • '94.##.41.103':34354
  • '11#.#69.64.251':34354
  • '64.##1.242.249':34354
  • '17#.#13.81.18':34354
  • '76.##6.164.235':34354
  • '62.##1.156.20':34354
  • '19#.#7.253.13':34354
  • '67.##4.115.16':34354
  • '83.##9.158.105':34354
  • '69.##2.20.104':34354
  • '98.##2.209.120':34354
  • '17#.#67.92.3':34354
  • '95.##.166.54':34354
  • '18#.34.37.2':34354
  • '92.##6.113.44':34354
  • '24.##5.53.242':34354
  • '19#.#3.102.212':34354
  • '70.##7.169.184':34354
  • '74.##3.72.107':34354
  • '95.##.233.27':34354
  • '59.##8.49.146':34354
  • '19#.#4.62.150':34354
  • '95.##.73.200':34354
  • '24.##0.166.109':34354
  • '76.#12.6.55':34354
  • '18#.#8.104.165':34354
  • '97.##.143.117':34354
  • '74.##3.152.226':34354
  • '12#.#47.16.99':34354
  • '18#.#84.199.160':34354
  • '79.##2.142.247':34354
  • '19#.#8.80.22':34354
  • '69.##4.109.79':34354
  • '83.##4.59.138':34354
  • '19#.#7.197.116':34354
  • '19#.#41.81.199':34354
  • '11#.#4.128.66':34354
  • '24.##9.161.70':34354
  • '46.##5.7.192':34354
  • '69.##5.42.63':34354
  • '66.##.189.50':34354
  • '75.##8.12.153':34354
  • '24.##7.74.12':34354
  • '10#.#11.86.159':34354
  • '87.##.91.102':34354
  • '69.##6.150.55':34354
  • '88.##4.30.254':34354
  • '68.##7.180.222':34354
  • '97.##.165.96':34354
  • '24.##5.160.88':34354
  • '93.##.213.54':34354
  • '20#.#65.11.107':34354
  • '58.##.210.39':34354
  • '15#.#5.173.136':34354
  • '10#.#0.174.13':34354
  • '80.##6.246.230':34354
  • '96.##.64.129':34354
  • '67.##4.65.105':34354
  • '85.##1.238.59':34354
  • '64.##3.69.178':34354
  • '66.#6.55.11':34354
  • '17#.#6.241.228':34354
  • '50.##.118.164':34354
  • '67.##6.183.210':34354
  • '75.##5.193.137':34354
  • '24.##6.239.219':34354
  • '87.##0.85.48':34354
  • '71.##3.58.152':34354
  • '41.##7.25.45':34354
  • '18#.#86.236.35':34354
  • '69.##8.161.220':34354
  • '91.##7.60.22':34354
  • '15#.#2.202.143':34354
  • '41.##7.180.27':34354
  • '96.#.221.172':34354
  • '69.##7.68.15':34354
  • '18#.#8.196.44':34354
  • '68.##.236.196':34354
  • '24.##.122.74':34354
  • '97.##4.138.100':34354
  • '89.##9.91.15':34354
  • '20#.#40.205.152':34354
  • '99.##8.70.74':34354
  • '18#.#84.56.233':34354
  • '11#.#94.244.169':34354
  • '17#.#2.107.23':34354
  • '71.##0.60.176':34354
  • '24.##6.66.32':34354
  • '99.##7.135.198':34354
  • '96.##.168.190':34354
  • '17#.#1.76.211':34354
  • '10#.#97.43.58':34354
  • '74.##0.57.22':34354
  • '82.##2.128.251':34354
  • '79.##0.0.218':34354
  • '72.##0.210.82':34354
  • '18#.#31.121.121':34354
  • '75.##.169.234':34354
  • '19#.#00.244.235':34354
  • '99.##.111.210':34354
  • '91.##5.124.201':34354
  • '71.##6.226.125':34354
  • '17#.#50.185.196':34354
  • '10#.#40.195.74':34354
  • '77.##1.94.115':34354
  • '20#.#89.59.219':34354
  • '19#.#40.136.141':34354
  • '86.##.189.149':34354
  • '18#.#1.170.166':34354
  • '66.##0.158.41':34354
  • '68.##2.226.186':34354
  • 'localhost':80
  • '16#.#3.242.254':34354
  • '98.##3.236.40':34354
  • '18#.#14.141.103':34354
  • '50.##.214.116':34354
  • '69.##4.77.148':34354
  • '71.#0.30.84':34354
  • '21#.#31.62.244':34354
  • '75.##.184.10':34354
  • '96.##.190.20':34354
  • '68.##3.185.52':34354
  • '68.#3.70.53':34354
  • '24.##8.54.160':34354
  • '72.##5.12.85':34354
  • '19#.#73.253.109':34354
  • '10#.#0.132.11':34354
  • '24.#0.0.206':34354
  • '19#.#62.232.234':34354
  • '11#.#94.199.242':34354
  • '18#.#8.78.172':34354
  • '75.##5.73.137':34354
  • '89.##2.240.39':34354
  • '19#.#05.94.245':34354
  • '68.##6.195.106':34354
  • '70.##8.135.240':34354
  • '17#.#8.139.157':34354
  • '98.##.146.159':34354
  • '20#.#24.1.131':34354
  • '92.##2.73.19':34354
  • '68.##.32.234':34354
  • '20#.#6.64.41':34354
  • '93.##2.54.153':34354
  • '10#.#42.10.3':34354
  • '24.##.27.236':34354
  • '68.#.54.169':34354
  • '89.##6.60.226':34354
  • '81.##.195.54':34354
  • '71.##2.174.150':34354
  • '24.##6.209.176':34354
  • '84.##2.183.141':34354
  • '72.##0.120.22':34354
  • '76.##4.121.36':34354
  • '17#.#40.112.33':34354
  • '75.#6.7.44':34354
  • '18#.#.201.81':34354
  • '96.#9.84.56':34354
  • '97.##.80.239':34354
  • '93.##0.65.84':34354
  • '24.##.215.90':34354
  • '98.##3.188.231':34354
  • '75.##3.80.42':34354
  • '67.##7.95.160':34354
  • '71.##.137.85':34354
  • '75.##7.80.190':34354
  • '98.##1.158.35':34354
  • '98.##1.150.197':34354
  • '10#.#02.163.174':34354
  • '75.#.146.65':34354
  • '69.##.177.71':34354
  • '50.##.218.148':34354
  • '69.##7.171.78':34354
  • '67.##5.71.83':34354
  • '68.##.12.141':34354
  • '68.##.203.94':34354
  • '62.##7.233.53':34354
  • '18#.#2.147.210':34354
  • '66.##8.94.51':34354
  • '31.##7.125.225':34354
  • '69.##8.76.178':34354
  • '68.#9.5.117':34354
  • '71.##0.51.213':34354
  • '17#.#18.229.17':34354
  • '17#.#03.4.60':34354
  • '10#.#98.4.84':34354
  • '11#.#84.155.157':34354
  • '17#.#1.62.58':34354
  • '83.##.115.71':34354
  • '88.#6.12.83':34354
  • '84.##.55.117':34354
  • '17#.#09.139.116':34354
  • '92.##.88.241':34354
  • '17#.#7.102.71':34354
  • '69.##6.234.160':34354
  • '60.#0.10.38':34354
  • '10#.#7.189.161':34354
  • '24.#3.7.172':34354
TCP:
Запросы HTTP GET:
  • eg##kkid.cn/stat2.php?&a###
  • eg##kkid.cn/stat2.php?&a##

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке