Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
BackDoor.Tdss.8908
Добавлен в вирусную базу Dr.Web:
2012-10-14
Описание добавлено:
2012-10-18
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Inoyikotadoqev' = 'rundll32.exe "%WINDIR%\svcsrvc1.dll",Startup'
[<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\2100448576] 'Name' = '%TEMP%\5.tmp'
Вредоносные функции:
Создает и запускает на исполнение:
%TEMP%\hgvngcs.exe
%TEMP%\-1998166001
%TEMP%\lxfy.exe
%TEMP%\wdux.exe
%TEMP%\xdsf.exe
%TEMP%\mhshghx.exe
%TEMP%\gysg.exe
%TEMP%\jmohv.exe
%TEMP%\hhckoyg.exe
%TEMP%\vdcm.exe
%TEMP%\nsm3.tmp\2IC.exe
%TEMP%\nrlv.exe
%TEMP%\rsftl.exe
%TEMP%\nsm3.tmp\6tbp.exe
%TEMP%\nsm3.tmp\3E4U - Old.exe
%TEMP%\nsm3.tmp\bogamdl.exe
%TEMP%\nsm3.tmp\1EuroP.exe
%TEMP%\gysg.exe (загружен из сети Интернет)
%TEMP%\mhshghx.exe (загружен из сети Интернет)
%TEMP%\hhckoyg.exe (загружен из сети Интернет)
%TEMP%\jmohv.exe (загружен из сети Интернет)
%TEMP%\vdcm.exe (загружен из сети Интернет)
%TEMP%\rsftl.exe (загружен из сети Интернет)
%TEMP%\nrlv.exe (загружен из сети Интернет)
%TEMP%\lxfy.exe (загружен из сети Интернет)
%TEMP%\-1998166001 (загружен из сети Интернет)
%TEMP%\xdsf.exe (загружен из сети Интернет)
%TEMP%\wdux.exe (загружен из сети Интернет)
%TEMP%\hgvngcs.exe (загружен из сети Интернет)
Запускает на исполнение:
<SYSTEM32>\rundll32.exe "%WINDIR%\svcsrvc1.dll",iep
<SYSTEM32>\svchost.exe
<SYSTEM32>\rundll32.exe "%WINDIR%\svcsrvc1.dll",Startup
Внедряет код в
следующие системные процессы:
<SYSTEM32>\svchost.exe
%WINDIR%\Explorer.EXE
<SYSTEM32>\spoolsv.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1400' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'currentlevel' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
%TEMP%\xdsf.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\wjwwnae[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\lyyyzdduh[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\uhhymdqu[1].php
%TEMP%\jmohv.exe
%TEMP%\hgvngcs.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\bosgwxbeff[1].php
%TEMP%\Aqz..bat
%TEMP%\-1998166001
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\vvvjzar[1].php
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y6JKXYEO\desktop.ini
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\kxyyp[1].php
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ANAW7YZQ\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G5AZ05QN\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SXQZSDMN\desktop.ini
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\hhlycptx[1].php
%TEMP%\hhckoyg.exe
%TEMP%\mhshghx.exe
%TEMP%\gysg.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\scctgxkbb[1].php
%TEMP%\4.tmp
%TEMP%\nsm3.tmp\6tbp.exe
%WINDIR%\svcsrvc1.dll
%WINDIR%\Temp\6.tmp
%TEMP%\nsm3.tmp\bogamdl.exe
%TEMP%\nsc2.tmp
%TEMP%\nsm3.tmp\1EuroP.exe
%TEMP%\nsm3.tmp\3E4U - Old.exe
%TEMP%\nsm3.tmp\2IC.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\sbsfwao[1].php
%TEMP%\vdcm.exe
%TEMP%\lxfy.exe
%TEMP%\wdux.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\vvvmmddhvl[1].php
%TEMP%\rsftl.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\nnrfjmqeh[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\lmzdd[1].php
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\ivjwneei[1].php
%TEMP%\nrlv.exe
Присваивает атрибут 'скрытый' для следующих файлов:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SXQZSDMN\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\G5AZ05QN\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y6JKXYEO\desktop.ini
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ANAW7YZQ\desktop.ini
Удаляет следующие файлы:
<DRIVERS>\etc\hosts
%TEMP%\5.tmp
<SYSTEM32>\svchost.exe
%WINDIR%\Temp\6.tmp
%TEMP%\nsm3.tmp\bogamdl.exe
%TEMP%\nsm3.tmp\2IC.exe
%TEMP%\nsm3.tmp\1EuroP.exe
%TEMP%\nsm3.tmp\6tbp.exe
%TEMP%\nsm3.tmp\3E4U - Old.exe
Перемещает следующие файлы:
%TEMP%\4.tmp в %TEMP%\5.tmp
Сетевая активность:
Подключается к:
'localhost':1040
'ab###ute.com':80
TCP:
Запросы HTTP GET:
ab###ute.com/bdqqu/uhhymdqu.php?ad####################################
ab###ute.com/bdqqu/lyyyzdduh.php?ad####################################
ab###ute.com/bdqqu/wjwwnae.php?ad####################################
ab###ute.com/bdqqu/kxyyp.php?ad##################################################################
ab###ute.com/bdqqu/scctgxkbb.php?ad####################################
ab###ute.com/bdqqu/hhlycptx.php?ad####################################
ab###ute.com/bdqqu/vvvjzar.php?ad####################################
ab###ute.com/bdqqu/ivjwneei.php?ad####################################
ab###ute.com/bdqqu/lmzdd.php?ad####################################
ab###ute.com/bdqqu/nnrfjmqeh.php?ad####################################
ab###ute.com/bdqqu/bosgwxbeff.php?ad####################################
ab###ute.com/bdqqu/vvvmmddhvl.php?ad####################################
ab###ute.com/bdqqu/sbsfwao.php?ad####################################
UDP:
DNS ASK sk##ia.in
DNS ASK gr####uzzchat.in
DNS ASK 03######0907.centizzy.net
DNS ASK ab###ute.com
DNS ASK re###blica.it
DNS ASK se##aa.net
DNS ASK ye##.com
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'Indicator' WindowName: ''
ClassName: 'SystemTray_Main' WindowName: ''
ClassName: 'CSCHiddenWindow' WindowName: ''
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK