Для коректної роботи нашого сайта необхідно включити підтримку JavaScript у Вашому браузері.
Trojan.MulDrop13.21917
Добавлен в вирусную базу Dr.Web:
2020-07-28
Описание добавлено:
2020-07-29
Technical Information
To ensure autorun and distribution
Modifies the following registry keys
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '%WINDIR%\sysWOW64\userinit.exe,'
Malicious functions
Executes the following
'%WINDIR%\syswow64\netsh.exe' firewall set icmpsetting 8 ENABLE
'%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\SmtzService.exe TCP ENABLE
'%WINDIR%\syswow64\netsh.exe' firewall add portopening UDP 9099 UDP2 ENABLE ALL
'%WINDIR%\syswow64\netsh.exe' firewall add portopening UDP 8099 UDP1 ENABLE ALL
'%WINDIR%\syswow64\netsh.exe' firewall add portopening TCP 8055 TCP3 ENABLE ALL
'%WINDIR%\syswow64\netsh.exe' firewall add portopening TCP 9055 TCP0 ENABLE ALL
'%WINDIR%\syswow64\netsh.exe' firewall add portopening TCP 5050 TCP1 ENABLE ALL
'%WINDIR%\syswow64\netsh.exe' firewall add portopening TCP 5051 TCP2 ENABLE ALL
'%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\SmtzPlatform.exe UDP ENABLE
'%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\rsvwin.exe PING ENABLE
Modifies file system
Creates the following files
%TEMP%\rarsfx0\installmanager.exe
%WINDIR%\syswow64\resms\smtzmonlog.exe
%WINDIR%\syswow64\resms\smtzmonservice.exe
%WINDIR%\syswow64\resms\smtzplatform.exe
%WINDIR%\syswow64\resms\smtzservice.exe
%WINDIR%\syswow64\resms\terminalaudit.dll
%WINDIR%\syswow64\resms\winpcap.exe
%TEMP%\nse2643.tmp\userinfo.dll
%TEMP%\nse2643.tmp\nsweb.dll
%TEMP%\cace_banner.htm
%TEMP%\cace_logo.gif
%TEMP%\netsol.jpg
%TEMP%\nse2643.tmp\iospecial.ini
%TEMP%\nse2643.tmp\modern-wizard.bmp
%TEMP%\nse2643.tmp\modern-header.bmp
%WINDIR%\syswow64\resms\securitymanager.dll
%WINDIR%\syswow64\resms\winpcap_4_1_2.exe
%WINDIR%\syswow64\resms\qchain.exe
%WINDIR%\syswow64\resms\devmonlib.dll
%TEMP%\rarsfx0\pcmanager.config
%WINDIR%\syswow64\resms\pcmanager.config
%WINDIR%\syswow64\resms\authenmanager.dll
%WINDIR%\syswow64\resms\cabxmldll.dll
%WINDIR%\syswow64\resms\changeservice.exe
%WINDIR%\syswow64\resms\devicemanager.dll
%WINDIR%\syswow64\resms\mainmanager.dll
%WINDIR%\syswow64\npptools.dll
%WINDIR%\syswow64\resms\monhardware.dll
%WINDIR%\syswow64\resms\monlanhost.dll
%WINDIR%\syswow64\resms\monoutercon.dll
%WINDIR%\syswow64\resms\myfwdrv.sys
%WINDIR%\syswow64\resms\myfwforv.dll
%WINDIR%\syswow64\resms\npptools.dll
%WINDIR%\syswow64\resms\patchmanager.dll
%LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012020072720200728\index.dat
Deletes the following files
%WINDIR%\syswow64\resms\pcmanager.config
Substitutes the following files
%WINDIR%\syswow64\resms\pcmanager.config
Miscellaneous
Searches for the following windows
ClassName: 'EDIT' WindowName: ''
ClassName: 'MS_AutodialMonitor' WindowName: ''
ClassName: 'MS_WebCheckMonitor' WindowName: ''
Creates and executes the following
'%TEMP%\rarsfx0\installmanager.exe'
'%WINDIR%\syswow64\resms\winpcap_4_1_2.exe'
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\SmtzService.exe TCP ENABLE' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c rd /q %WINDIR%\sysWOW64\ResMs\' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c del /q %WINDIR%\sysWOW64\ResMs\' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c rd /q %WINDIR%\sysWOW64\ResBack\' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c del /q %WINDIR%\sysWOW64\ResBack\' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c rd /q %WINDIR%\sysWOW64\Update\' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c del /q %WINDIR%\sysWOW64\Update\' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c sc delete SmtzManagerMon' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c sc delete NetManagerMon' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c sc delete SmtzManagerSer' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c sc delete NetManagerSer' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c move %WINDIR%\sysWOW64\ResMs\ %WINDIR%\sysWOW64\ResBack\' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening UDP 8099 UDP1 ENABLE ALL' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening UDP 9099 UDP2 ENABLE ALL' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening TCP 9055 TCP0 ENABLE ALL' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening TCP 8055 TCP3 ENABLE ALL' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening TCP 5051 TCP2 ENABLE ALL' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening TCP 5050 TCP1 ENABLE ALL' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\rsvwin.exe PING ENABLE' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\SmtzPlatform.exe UDP ENABLE' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall set icmpsetting 8 ENABLE' (with hidden window)
'%WINDIR%\syswow64\cmd.exe' /c sc delete NetManageServ' (with hidden window)
Executes the following
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall set icmpsetting 8 ENABLE
'%WINDIR%\syswow64\cmd.exe' /c del /q %WINDIR%\sysWOW64\ResMs\
'%WINDIR%\syswow64\cmd.exe' /c rd /q %WINDIR%\sysWOW64\ResBack\
'%WINDIR%\syswow64\cmd.exe' /c del /q %WINDIR%\sysWOW64\ResBack\
'%WINDIR%\syswow64\cmd.exe' /c rd /q %WINDIR%\sysWOW64\Update\
'%WINDIR%\syswow64\cmd.exe' /c del /q %WINDIR%\sysWOW64\Update\
'%WINDIR%\syswow64\sc.exe' delete SmtzManagerMon
'%WINDIR%\syswow64\sc.exe' delete NetManagerMon
'%WINDIR%\syswow64\sc.exe' delete NetManagerSer
'%WINDIR%\syswow64\sc.exe' delete SmtzManagerSer
'%WINDIR%\syswow64\sc.exe' delete NetManageServ
'%WINDIR%\syswow64\cmd.exe' /c sc delete SmtzManagerMon
'%WINDIR%\syswow64\cmd.exe' /c rd /q %WINDIR%\sysWOW64\ResMs\
'%WINDIR%\syswow64\cmd.exe' /c sc delete NetManagerMon
'%WINDIR%\syswow64\cmd.exe' /c sc delete NetManagerSer
'%WINDIR%\syswow64\cmd.exe' /c sc delete NetManageServ
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening UDP 8099 UDP1 ENABLE ALL
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening UDP 9099 UDP2 ENABLE ALL
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening TCP 9055 TCP0 ENABLE ALL
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening TCP 8055 TCP3 ENABLE ALL
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening TCP 5051 TCP2 ENABLE ALL
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add portopening TCP 5050 TCP1 ENABLE ALL
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\rsvwin.exe PING ENABLE
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\SmtzPlatform.exe UDP ENABLE
'%WINDIR%\syswow64\cmd.exe' /c netsh firewall add allowedprogram %WINDIR%\sysWOW64\ResMs\SmtzService.exe TCP ENABLE
'%WINDIR%\syswow64\cmd.exe' /c sc delete SmtzManagerSer
'%WINDIR%\syswow64\cmd.exe' /c move %WINDIR%\sysWOW64\ResMs\ %WINDIR%\sysWOW64\ResBack\
Рекомендации по лечению
Windows
macOS
Linux
Android
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store .
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подробнее о Dr.Web для Android
Демо бесплатно на 14 дней
Выдаётся при установке
Завантажте Dr.Web для Android
Безкоштовно на 3 місяці
Всі компоненти захисту
Подовження демо в AppGallery/Google Pay
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше
OK