Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.PWS.Spy.13245

Добавлен в вирусную базу Dr.Web: 2012-01-01

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.ipsec] 'ImagePath' = '\*'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\cfg.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
Сетевая активность:
Подключается к:
  • '68.#2.162.7':34354
  • '75.#45.48.4':34354
  • '75.##3.19.134':34354
  • '79.##7.122.248':34354
  • '41.##2.96.177':34354
  • '71.##.56.173':34354
  • '98.##5.81.161':34354
  • '68.#.147.47':34354
  • '64.##5.133.84':34354
  • '98.##.146.159':34354
  • '98.##1.61.161':34354
  • '71.##2.105.238':34354
  • '76.##3.122.46':34354
  • '20#.#65.181.44':34354
  • '24.##.94.123':34354
  • '98.##5.8.241':34354
  • '77.##9.13.16':34354
  • '74.##6.43.52':34354
  • '68.##.114.17':34354
  • '74.##1.52.252':34354
  • '24.##.248.69':34354
  • '11#.#03.20.196':34354
  • '68.##2.31.206':34354
  • '20#.#64.134.67':34354
  • '98.##6.127.245':34354
  • '69.##4.120.101':34354
  • '68.##9.13.28':34354
  • '67.#3.25.19':34354
  • '41.##3.189.16':34354
  • '76.#7.33.29':34354
  • '69.#.181.216':34354
  • '50.##.175.102':34354
  • '70.##9.35.190':34354
  • '64.##2.124.172':34354
  • '94.##9.234.166':34354
  • '76.##.172.37':34354
  • '19#.#.127.30':34354
  • '18#.#.240.110':34354
  • '15#.#5.174.157':34354
  • '67.##9.190.4':34354
  • '19#.#04.130.241':34354
  • '18#.#5.160.4':34354
  • '99.##.32.197':34354
  • '17#.#70.145.36':34354
  • '95.#8.4.246':34354
  • '17#.#02.45.71':34354
  • '24.#08.69.3':34354
  • '69.##4.193.36':34354
  • '74.##.193.223':34354
  • '50.##.118.164':34354
  • '21#.#2.60.212':34354
  • '84.##2.27.181':34354
  • '68.##5.148.121':34354
  • '14.##6.177.183':34354
  • '96.##.161.47':34354
  • '78.##7.49.70':34354
  • '21#.#07.230.110':34354
  • '18#.#52.177.58':34354
  • '31.##3.216.39':34354
  • '99.##7.94.167':34354
  • '12#.#20.45.148':34354
  • '20#.#35.212.10':34354
  • '13#.#7.49.172':34354
  • '14#.#44.174.32':34354
  • '19#.#91.214.16':34354
  • '11#.#25.198.206':34354
  • '69.##3.177.66':34354
  • '71.##6.75.212':34354
  • '75.#1.71.13':34354
  • '68.##.221.29':34354
  • '68.#0.29.22':34354
  • '20#.#8.47.215':34354
  • '10#.#5.238.15':34354
  • '89.##.127.46':34354
  • '82.##.219.188':34354
  • '10#.#0.47.242':34354
  • '72.##3.49.200':34354
  • '76.##9.204.48':34354
  • '70.##0.198.21':34354
  • '11#.#09.246.73':34354
  • '76.##7.154.79':34354
  • '17#.#22.239.241':34354
  • '68.##.240.239':34354
  • '97.##.11.240':34354
  • '68.##.101.67':34354
  • '75.##4.35.248':34354
  • '75.#3.70.76':34354
  • '10#.#62.78.74':34354
  • '19#.#73.58.225':34354
  • '71.##2.204.127':34354
  • '17#.#8.155.155':34354
  • '98.#1.6.135':34354
  • '89.##4.191.106':34354
  • '68.##8.137.105':34354
  • '98.##.20.230':34354
  • '17#.#03.64.116':34354
  • '18#.#5.132.138':34354
  • '98.##4.228.118':34354
  • '19#.#8.254.230':34354
  • '98.##6.21.32':34354
  • '12#.#8.70.35':34354
  • '68.##0.55.130':34354
  • '91.##.215.121':34354
  • '80.##.46.213':34354
  • '20#.#41.237.180':34354
  • '99.#75.88.4':34354
  • '15#.#24.149.190':34354
  • '68.##.46.189':34354
  • '71.##.40.247':34354
  • '18#.#84.199.160':34354
  • '18#.#27.118.84':34354
  • '68.##8.144.174':34354
  • '24.##1.152.248':34354
  • '41.##0.190.169':34354
  • '78.##.241.215':34354
  • '70.##.50.157':34354
  • '74.##4.189.148':34354
  • '24.##0.247.241':34354
  • '18#.#2.237.251':34354
  • '77.##.10.236':34354
  • '18#.#6.97.117':34354
  • '69.##3.206.32':34354
  • '71.##3.131.130':34354
  • '21#.#74.5.221':34354
  • '99.##0.144.216':34354
  • '76.##7.217.155':34354
  • '24.##.218.116':34354
  • '98.##1.41.151':34354
  • '19#.#9.207.240':34354
  • '17#.#7.197.68':34354
  • '66.#1.34.89':34354
  • '92.##0.94.190':34354
  • '20#.#55.82.43':34354
  • '10#.#02.163.174':34354
  • '94.##.12.102':34354
  • '91.##7.60.22':34354
  • '66.##6.24.91':34354
  • '24.##.153.88':34354
  • '99.##.207.31':34354
  • '21#.#02.71.248':34354
  • '18#.#80.111.13':34354
  • '72.##8.68.213':34354
  • '24.#.103.246':34354
  • '72.##6.150.52':34354
  • '17#.#9.166.10':34354
  • '89.##6.180.220':34354
  • '95.#9.3.89':34354
  • '68.##5.133.170':34354
  • '19#.#12.105.1':34354
  • '68.##.113.168':34354
  • '98.##6.232.191':34354
  • '18#.#35.107.218':34354
  • '98.##3.10.78':34354
  • '79.##4.228.170':34354
  • '18#.#85.27.66':34354
  • '70.##9.222.98':34354
  • '18#.#6.146.17':34354
  • '74.##4.134.20':34354
  • '75.#9.5.196':34354
  • '70.##6.8.248':34354
  • '75.##.38.189':34354
  • '69.##6.125.134':34354
  • '19#.#89.71.6':34354
  • '74.#8.157.0':34354
  • '89.##6.111.201':34354
  • '77.#2.47.99':34354
  • '12#.#3.221.158':34354
  • '19#.#47.26.22':34354
  • '66.##9.48.50':34354
  • '68.##9.88.251':34354
  • '96.##.105.231':34354
  • 'localhost':80
  • '71.##5.33.57':34354
  • '24.##.82.129':34354
  • '76.#0.94.83':34354
  • '67.##9.42.177':34354
  • '67.##.107.78':34354
  • '96.##.124.127':34354
  • '98.##2.218.38':34354
  • '67.##1.25.219':34354
  • '20#.#.200.234':34354
  • '18#.#5.180.197':34354
  • '98.##5.153.160':34354
  • '76.##4.93.111':34354
  • '65.##4.188.31':34354
  • '24.##.44.152':34354
  • '75.##.29.206':34354
  • '98.##2.221.153':34354
  • '67.##2.49.101':34354
  • '69.##8.225.102':34354
  • '18#.65.50.5':34354
  • '97.##2.51.112':34354
  • '41.#01.87.4':34354
  • '68.##.214.242':34354
  • '81.##8.255.54':34354
  • '18#.#94.110.120':34354
  • '18#.#91.255.10':34354
  • '24.##7.39.34':34354
  • '18#.#8.28.224':34354
  • '11#.#49.147.250':34354
  • '68.#.70.33':34354
  • '64.##0.241.163':34354
  • '10#.#43.203.163':34354
  • '19#.#74.170.141':34354
  • '20#.#2.46.236':34354
  • '66.##7.201.24':34354
  • '82.##.136.198':34354
  • '69.##.46.225':34354
  • '21#.#68.60.27':34354
  • '27.##7.230.248':34354
  • '69.##0.70.38':34354
  • '18#.#76.22.196':34354
  • '24.##8.193.46':34354
  • '98.##.129.174':34354
  • '71.##7.54.35':34354
  • '27.##5.37.89':34354
  • '46.##2.60.169':34354
  • '79.##8.89.161':34354
  • '74.##3.152.226':34354
  • '68.##.118.200':34354
  • '18#.#3.136.175':34354
  • '50.##3.251.26':34354
  • '10#.#38.133.3':34354
  • '94.##8.121.59':34354
  • '20#.#48.0.208':34354
  • '68.##9.45.13':34354
  • '50.##.218.122':34354
  • '24.##3.198.5':34354
  • '15#.#2.57.29':34354
  • '75.##5.52.112':34354
  • '77.##2.79.38':34354
  • '76.##.185.215':34354
  • '98.##8.230.143':34354
  • '98.##3.120.233':34354
  • '60.##.90.193':34354
  • '24.#18.5.33':34354
  • '70.##9.227.20':34354
  • '69.##2.36.61':34354
  • '17#.#9.76.134':34354
  • '96.##.47.133':34354
  • '18#.#19.238.70':34354
  • '66.##4.214.250':34354
  • '75.##0.112.161':34354
  • '68.##8.92.161':34354
  • '77.##0.19.240':34354
  • '68.##.88.200':34354
  • '17#.#06.86.58':34354
  • '68.##.77.164':34354
  • '95.#8.37.39':34354
  • '68.##4.195.121':34354
  • '20#.#64.202.142':34354
  • '68.#.229.181':34354
  • '75.##.68.105':34354
  • '72.##8.75.184':34354
  • '95.#9.68.42':34354
  • '69.##3.88.102':34354
  • '65.##1.245.230':34354
TCP:
Запросы HTTP GET:
  • nw##bpes.cn/stat2.php?&a#################
  • nw##bpes.cn/stat2.php?&a################
Другое:
Ищет следующие окна:
  • ClassName: 'KJDkjdlKUDOiudOI' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке