Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.DownLoader6.43272

Добавлен в вирусную базу Dr.Web: 2012-08-15

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\SubLineIDE] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block0 -r Block0 -f 118.145.31.*+0 -n BLOCK -x
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Pass1 -r Pass1 -f 125.39.100.74+0 -n PASS -x
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block8 -r Block8 -f 220.181.126.*+0 -n BLOCK -x
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block9 -r Block9 -f 221.194.142.*+0 -n BLOCK -x
  • %PROGRAM_FILES%\FunshionMedia\feixin.exe md5 -s subidecom.dll -d subidecom.dll
  • %PROGRAM_FILES%\FunshionMedia\feixin.exe dns 122.225.196.136,222.88.93.126
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Pass2 -r Pass2 -f 220.181.126.15+0 -n PASS -x
  • %PROGRAM_FILES%\FunshionMedia\feixin.exe md5 -s spass.dll -d spass.dll
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block7 -r Block7 -f 125.39.102.*+0 -n BLOCK -x
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block1 -r BlockTCP -f 119.147.91.*+0 -n BLOCK -x
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block2 -r BlockNEW -f 119.188.4.*+0 -n BLOCK -x
  • %TEMP%\is-JQODL.tmp\<Имя вируса>.tmp /SL5="$40036,759098,54272,<Полный путь к вирусу>"
  • %PROGRAM_FILES%\FunshionMedia\feixin.exe md5 -s ipseccmd.exe -d ipseccmd.exe
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block5 -r Block5 -f 124.238.244.*+0 -n BLOCK -x
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block6 -r Block6 -f 125.39.100.*+0 -n BLOCK -x
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block3 -r BlockTWO -f 122.70.130.*+0 -n BLOCK -x
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block4 -r BlockTHREE -f 124.238.243.*+0 -n BLOCK -x
Запускает на исполнение:
  • <SYSTEM32>\svchost.exe -k mysysgroup3
  • <SYSTEM32>\rundll32.exe <SYSTEM32>\subidecom.dll RundllInstall SubLineIDE
  • <SYSTEM32>\sc.exe start PolicyAgent
Изменения в файловой системе:
Создает следующие файлы:
  • %PROGRAM_FILES%\FunshionMedia\spass.dll
  • %PROGRAM_FILES%\FunshionMedia\subidecom.dll
  • <SYSTEM32>\sublung\MyIEData\main.ini
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe
  • <SYSTEM32>\subidecom.dll
  • <SYSTEM32>\sublung\MyIEData\myad.dat
  • %APPDATA%\NetHome\main.ini
  • <SYSTEM32>\sublung\sublung.dll
  • <SYSTEM32>\sublung\MyIEData\SysDat.bin
  • %PROGRAM_FILES%\FunshionMedia\is-IL8QJ.tmp
  • %TEMP%\is-NVSF3.tmp\_isetup\_shfoldr.dll
  • %TEMP%\is-NVSF3.tmp\spass.dll
  • %TEMP%\is-JQODL.tmp\<Имя вируса>.tmp
  • %TEMP%\is-NVSF3.tmp\_isetup\_RegDLL.tmp
  • %PROGRAM_FILES%\FunshionMedia\is-ESFHU.tmp
  • %PROGRAM_FILES%\FunshionMedia\is-DGABB.tmp
  • %PROGRAM_FILES%\FunshionMedia\is-4IBU6.tmp
  • %PROGRAM_FILES%\FunshionMedia\is-DM82C.tmp
  • %PROGRAM_FILES%\FunshionMedia\is-4N7VR.tmp
Удаляет следующие файлы:
  • %TEMP%\is-NVSF3.tmp\spass.dll
  • %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe
  • %TEMP%\is-NVSF3.tmp\_isetup\_RegDLL.tmp
  • %TEMP%\is-JQODL.tmp\<Имя вируса>.tmp
  • %TEMP%\is-NVSF3.tmp\_isetup\_shfoldr.dll
  • %PROGRAM_FILES%\FunshionMedia\feixin.exe
  • %PROGRAM_FILES%\FunshionMedia\spass.dll
  • %PROGRAM_FILES%\FunshionMedia\subidecom.dll
  • %PROGRAM_FILES%\FunshionMedia\SysDat.bin
  • %PROGRAM_FILES%\FunshionMedia\myad.dat
Сетевая активность:
Подключается к:
  • 'so.#21.org':88
UDP:
  • DNS ASK so.#21.org
  • DNS ASK sd#.#60safe.com
Другое:
Ищет следующие окна:
  • ClassName: 'Shell_TrayWnd' WindowName: ''

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке