ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BY

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

Trojan.DownLoader25.64153

Добавлен в вирусную базу Dr.Web: 2017-12-05

Описание добавлено:

Technical Information

To ensure autorun and distribution:
Modifies the following registry keys:
  • [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'README' = '"%ProgramFiles%\Windows NT\Accessories\wordpad.exe" "%APPDATA%\!ReadMe_How_To_Decrypt_Files!.rtf"'
Malicious functions:
To complicate detection of its presence in the operating system,
deletes volume shadow copies.
Creates and executes the following:
  • '<Current directory>\ECcwgJbL.exe' -n
Executes the following:
  • '<SYSTEM32>\cacls.exe' "%HOMEPATH%\NTUSER.DAT" /E /G %USERNAME%:F /C
  • '<SYSTEM32>\attrib.exe' -R -A -H "%HOMEPATH%\NTUSER.DAT"
  • '%WINDIR%\XXInstall\ps.exe' /pid=2684
  • '<SYSTEM32>\cmd.exe' /C reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v README /t REG_SZ /d "\"%ProgramFiles%\Windows NT\Accessories\wordpad.exe\" \"%APPDATA%\!ReadMe_How_To_Decrypt_Files!.rtf"" /f ...
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v README /t REG_SZ /d "\"%ProgramFiles%\Windows NT\Accessories\wordpad.exe\" \"%APPDATA%\!ReadMe_How_To_Decrypt_Files!.rtf"" /f
  • '<SYSTEM32>\cmd.exe' /C CACLS "%HOMEPATH%\NTUSER.DAT" /E /G %USERNAME%:F /C & ATTRIB -R -A -H "%HOMEPATH%\NTUSER.DAT"
Modifies file system:
Creates the following files:
  • %ProgramFiles%\Outlook Express\!ReadMe_How_To_Decrypt_Files!.rtf
  • <STUBS_DIR>\!ReadMe_How_To_Decrypt_Files!.rtf
  • %CommonProgramFiles%\Microsoft Shared\Stationery\!ReadMe_How_To_Decrypt_Files!.rtf
  • %ProgramFiles%\FireFox\!ReadMe_How_To_Decrypt_Files!.rtf
  • %ProgramFiles%\Movie Maker\Shared\!ReadMe_How_To_Decrypt_Files!.rtf
  • %ProgramFiles%\Movie Maker\Shared\Profiles\!ReadMe_How_To_Decrypt_Files!.rtf
  • <SYSTEM32>\dllcache\sam.sdf.new
  • %TEMP%\tmp1.tmp
  • %TEMP%\tmp2.tmp
  • %HOMEPATH%\Favorites\Links\!ReadMe_How_To_Decrypt_Files!.rtf
  • %CommonProgramFiles%\SpeechEngines\Microsoft\TTS\1033\sam.sdf.new
  • %HOMEPATH%\Favorites\!ReadMe_How_To_Decrypt_Files!.rtf
  • C:\Far2\Plugins\FTP\!ReadMe_How_To_Decrypt_Files!.rtf
  • %APPDATA%\!ReadMe_How_To_Decrypt_Files!.rtf
  • %HOMEPATH%\Templates\!ReadMe_How_To_Decrypt_Files!.rtf
  • %CommonProgramFiles%\SpeechEngines\Microsoft\TTS\1033\!ReadMe_How_To_Decrypt_Files!.rtf
  • <Current directory>\ECcwgJbL.exe
  • <Current directory>\561F04A3448976D7.pek
  • <Current directory>\561F04A3448976D7.sek
  • C:\Far2\Plugins\7-Zip\!ReadMe_How_To_Decrypt_Files!.rtf
  • C:\Far2\Plugins\Colorer\hrc\!ReadMe_How_To_Decrypt_Files!.rtf
  • C:\Far2\Plugins\ExtSearch\doc\!ReadMe_How_To_Decrypt_Files!.rtf
  • C:\Far2\Addons\!ReadMe_How_To_Decrypt_Files!.rtf
  • C:\Far2\Documentation\eng\!ReadMe_How_To_Decrypt_Files!.rtf
  • C:\Far2\Documentation\rus\!ReadMe_How_To_Decrypt_Files!.rtf
Deletes the following files:
  • %TEMP%\tmp1.tmp
Moves the following files:
  • from %ProgramFiles%\Outlook Express\msoe.txt to %ProgramFiles%\Outlook Express\K4GSejWQ-Tsj9PuxQ.[barboza40@yahoo.com]
  • from %ProgramFiles%\Movie Maker\Shared\Sample1.jpg to %ProgramFiles%\Movie Maker\Shared\kuBrh3EL-RdN6y9S3.[barboza40@yahoo.com]
  • from %ProgramFiles%\Movie Maker\Shared\Sample2.jpg to %ProgramFiles%\Movie Maker\Shared\MljoG6Ln-Obq6w5gF.[barboza40@yahoo.com]
  • from %ProgramFiles%\FireFox\README.txt to %ProgramFiles%\FireFox\X6HpKLtS-4hFZgS72.[barboza40@yahoo.com]
  • from %ProgramFiles%\Movie Maker\Shared\Empty.txt to %ProgramFiles%\Movie Maker\Shared\vUootqDy-KUp2DIEe.[barboza40@yahoo.com]
  • from %ProgramFiles%\Movie Maker\Shared\Profiles\Blank.txt to %ProgramFiles%\Movie Maker\Shared\Profiles\cwVGH3Bv-CH5LbagL.[barboza40@yahoo.com]
Network activity:
Connects to:
  • '<L####NET>.0.157':445
  • '<L####NET>.0.158':445
  • '<L####NET>.0.155':445
  • '<L####NET>.0.156':445
  • '<L####NET>.0.159':445
  • '<L####NET>.0.161':445
  • '<L####NET>.0.162':445
  • '<L####NET>.0.159':139
  • '<L####NET>.0.160':445
  • '<L####NET>.0.154':139
  • '<L####NET>.0.149':445
  • '<L####NET>.0.150':445
  • '<L####NET>.0.146':445
  • '<L####NET>.0.148':445
  • '<L####NET>.0.151':445
  • '<L####NET>.0.153':445
  • '<L####NET>.0.154':445
  • '<L####NET>.0.152':445
  • '<L####NET>.0.152':139
  • '<L####NET>.0.163':445
  • '<L####NET>.0.175':139
  • '<L####NET>.0.176':445
  • '<L####NET>.0.174':445
  • '<L####NET>.0.175':445
  • '<L####NET>.0.177':445
  • '<L####NET>.0.179':445
  • '<L####NET>.0.179':139
  • '<L####NET>.0.178':445
  • '<L####NET>.0.178':139
  • '<L####NET>.0.173':445
  • '<L####NET>.0.166':445
  • '<L####NET>.0.167':445
  • '<L####NET>.0.164':445
  • '<L####NET>.0.165':445
  • '<L####NET>.0.168':445
  • '<L####NET>.0.171':445
  • '<L####NET>.0.172':445
  • '<L####NET>.0.169':445
  • '<L####NET>.0.170':445
  • '<L####NET>.0.147':445
  • '<L####NET>.0.125':445
  • '<L####NET>.0.125':139
  • '<L####NET>.0.123':139
  • '<L####NET>.0.124':445
  • '<L####NET>.0.126':445
  • '<L####NET>.0.129':445
  • '<L####NET>.0.130':445
  • '<L####NET>.0.127':445
  • '<L####NET>.0.128':445
  • '<L####NET>.0.123':445
  • '<L####NET>.0.118':445
  • '<L####NET>.0.118':139
  • '<L####NET>.0.116':445
  • '<L####NET>.0.117':445
  • '<L####NET>.0.119':445
  • '<L####NET>.0.121':445
  • '<L####NET>.0.122':445
  • '<L####NET>.0.119':139
  • '<L####NET>.0.120':445
  • '<L####NET>.0.131':445
  • '<L####NET>.0.141':139
  • '<L####NET>.0.142':445
  • '<L####NET>.0.140':445
  • '<L####NET>.0.141':445
  • '<L####NET>.0.143':445
  • '<L####NET>.0.144':139
  • '<L####NET>.0.145':445
  • '<L####NET>.0.143':139
  • '<L####NET>.0.144':445
  • '<L####NET>.0.139':445
  • '<L####NET>.0.133':445
  • '<L####NET>.0.133':139
  • '<L####NET>.0.132':445
  • '<L####NET>.0.132':139
  • '<L####NET>.0.134':445
  • '<L####NET>.0.137':445
  • '<L####NET>.0.138':445
  • '<L####NET>.0.135':445
  • '<L####NET>.0.136':445
  • '<L####NET>.0.232':445
  • '<L####NET>.0.233':445
  • '<L####NET>.0.230':445
  • '<L####NET>.0.231':445
  • '<L####NET>.0.234':445
  • '<L####NET>.0.237':445
  • '<L####NET>.0.238':445
  • '<L####NET>.0.235':445
  • '<L####NET>.0.236':445
  • '<L####NET>.0.229':445
  • '<L####NET>.0.222':445
  • '<L####NET>.0.223':445
  • '<L####NET>.0.220':445
  • '<L####NET>.0.221':445
  • '<L####NET>.0.224':445
  • '<L####NET>.0.227':445
  • '<L####NET>.0.228':445
  • '<L####NET>.0.225':445
  • '<L####NET>.0.226':445
  • '<L####NET>.0.239':445
  • '<L####NET>.0.249':445
  • '<L####NET>.0.250':445
  • '<L####NET>.0.248':445
  • '<L####NET>.0.248':139
  • '<L####NET>.0.250':139
  • '<L####NET>.0.253':445
  • '<L####NET>.0.254':445
  • '<L####NET>.0.251':445
  • '<L####NET>.0.252':445
  • '<L####NET>.0.247':139
  • '<L####NET>.0.242':445
  • '<L####NET>.0.243':445
  • '<L####NET>.0.240':445
  • '<L####NET>.0.241':445
  • '<L####NET>.0.244':445
  • '<L####NET>.0.246':445
  • '<L####NET>.0.247':445
  • '<L####NET>.0.245':445
  • '<L####NET>.0.245':139
  • '<L####NET>.0.219':445
  • '<L####NET>.0.192':445
  • '<L####NET>.0.193':445
  • '<L####NET>.0.190':445
  • '<L####NET>.0.191':445
  • '<L####NET>.0.194':445
  • '<L####NET>.0.197':445
  • '<L####NET>.0.198':445
  • '<L####NET>.0.195':445
  • '<L####NET>.0.196':445
  • '<L####NET>.0.189':445
  • '<L####NET>.0.182':445
  • '<L####NET>.0.183':445
  • '<L####NET>.0.180':445
  • '<L####NET>.0.181':445
  • '<L####NET>.0.184':445
  • '<L####NET>.0.187':445
  • '<L####NET>.0.188':445
  • '<L####NET>.0.185':445
  • '<L####NET>.0.186':445
  • '<L####NET>.0.199':445
  • '<L####NET>.0.212':445
  • '<L####NET>.0.213':445
  • '<L####NET>.0.210':445
  • '<L####NET>.0.211':445
  • '<L####NET>.0.214':445
  • '<L####NET>.0.217':445
  • '<L####NET>.0.218':445
  • '<L####NET>.0.215':445
  • '<L####NET>.0.216':445
  • '<L####NET>.0.209':445
  • '<L####NET>.0.202':445
  • '<L####NET>.0.203':445
  • '<L####NET>.0.200':445
  • '<L####NET>.0.201':445
  • '<L####NET>.0.204':445
  • '<L####NET>.0.207':445
  • '<L####NET>.0.208':445
  • '<L####NET>.0.205':445
  • '<L####NET>.0.206':445
  • '<L####NET>.0.115':445
  • '<L###LNET>.0.38':139
  • '<L###LNET>.0.37':445
  • '<L###LNET>.0.33':445
  • '<L###LNET>.0.22':139
  • '<L###LNET>.0.36':445
  • '<L###LNET>.0.40':445
  • '<L###LNET>.0.40':139
  • '<L###LNET>.0.41':445
  • '<L###LNET>.0.39':445
  • '<L###LNET>.0.31':445
  • '<L###LNET>.0.26':445
  • '<L###LNET>.0.23':139
  • '<L###LNET>.0.32':139
  • '<L###LNET>.0.28':445
  • '<L###LNET>.0.34':139
  • '<L###LNET>.0.28':139
  • '<L###LNET>.0.26':139
  • '<L###LNET>.0.30':139
  • '<L###LNET>.0.38':445
  • '<L###LNET>.0.43':445
  • '<L###LNET>.0.50':445
  • '<L###LNET>.0.50':139
  • '<L###LNET>.0.42':139
  • '<L###LNET>.0.3':139
  • '<L###LNET>.0.52':445
  • '<L###LNET>.0.51':139
  • '<L###LNET>.0.53':445
  • '<L###LNET>.0.52':139
  • '<L###LNET>.0.51':445
  • '<L###LNET>.0.42':445
  • '<L###LNET>.0.47':445
  • '<L###LNET>.0.48':445
  • '<L###LNET>.0.43':139
  • '<L###LNET>.0.45':445
  • '<L###LNET>.0.48':139
  • '<L###LNET>.0.44':139
  • '<L###LNET>.0.46':139
  • '<L###LNET>.0.44':445
  • '<L###LNET>.0.46':445
  • '<L###LNET>.0.30':445
  • '<L###LNET>.0.14':445
  • '<L###LNET>.0.10':445
  • '<L###LNET>.0.11':445
  • '<L###LNET>.0.9':445
  • '<L###LNET>.0.9':139
  • '<L###LNET>.0.10':139
  • '<L###LNET>.0.12':139
  • '<L###LNET>.0.12':445
  • '<L###LNET>.0.14':139
  • '<L###LNET>.0.13':445
  • '<L###LNET>.0.5':445
  • '<L###LNET>.0.6':445
  • '<L####NET_GATEWAY>':445
  • '<L###LNET>.0.3':445
  • '<L###LNET>.0.6':139
  • '<L###LNET>.0.4':139
  • '<L###LNET>.0.8':445
  • '<L###LNET>.0.4':445
  • '<L###LNET>.0.7':445
  • '<L###LNET>.0.15':445
  • '<L###LNET>.0.25':139
  • '<L###LNET>.0.35':445
  • '<L###LNET>.0.23':445
  • '<L###LNET>.0.21':445
  • '<L###LNET>.0.32':445
  • '<L###LNET>.0.34':445
  • '<L###LNET>.0.22':445
  • '<L###LNET>.0.24':139
  • '<L###LNET>.0.27':445
  • '<L###LNET>.0.25':445
  • '<L###LNET>.0.19':445
  • '<L###LNET>.0.19':139
  • '<L###LNET>.0.16':445
  • '<L###LNET>.0.17':445
  • '<L###LNET>.0.16':139
  • '<L###LNET>.0.29':445
  • '<L###LNET>.0.24':445
  • '<L###LNET>.0.18':445
  • '<L###LNET>.0.20':445
  • '<L###LNET>.0.88':445
  • '<L###LNET>.0.89':445
  • '<L###LNET>.0.87':445
  • '<L###LNET>.0.87':139
  • '<L###LNET>.0.90':445
  • '<L###LNET>.0.93':445
  • '<L###LNET>.0.94':445
  • '<L###LNET>.0.91':445
  • '<L###LNET>.0.92':445
  • '<L###LNET>.0.86':445
  • '<L###LNET>.0.81':445
  • '<L###LNET>.0.82':445
  • '<L###LNET>.0.79':445
  • '<L###LNET>.0.80':445
  • '<L###LNET>.0.82':139
  • '<L###LNET>.0.84':139
  • '<L###LNET>.0.85':445
  • '<L###LNET>.0.83':445
  • '<L###LNET>.0.84':445
  • '<L###LNET>.0.96':445
  • '<L####NET>.0.108':445
  • '<L####NET>.0.109':445
  • '<L####NET>.0.106':445
  • '<L####NET>.0.107':445
  • '<L####NET>.0.110':445
  • '<L####NET>.0.113':445
  • '<L####NET>.0.114':445
  • '<L####NET>.0.111':445
  • '<L####NET>.0.112':445
  • '<L####NET>.0.105':445
  • '<L###LNET>.0.98':445
  • '<L###LNET>.0.99':445
  • '<L###LNET>.0.97':445
  • '<L###LNET>.0.95':445
  • '<L####NET>.0.100':445
  • '<L####NET>.0.103':445
  • '<L####NET>.0.104':445
  • '<L####NET>.0.101':445
  • '<L####NET>.0.102':445
  • '<L###LNET>.0.78':445
  • '<L###LNET>.0.64':139
  • '<L###LNET>.0.60':445
  • '<L###LNET>.0.61':139
  • '<L###LNET>.0.64':445
  • '<L###LNET>.0.65':445
  • '<L###LNET>.0.65':139
  • '<L###LNET>.0.57':139
  • '<L###LNET>.0.58':445
  • '<L###LNET>.0.57':445
  • '<L###LNET>.0.61':445
  • '<L###LNET>.0.56':139
  • '<L###LNET>.0.55':445
  • '<L###LNET>.0.54':445
  • '<L###LNET>.0.56':445
  • '<L###LNET>.0.55':139
  • '<L###LNET>.0.59':445
  • '<L###LNET>.0.59':139
  • '<L###LNET>.0.49':445
  • '<L###LNET>.0.49':139
  • '<L###LNET>.0.58':139
  • '<L###LNET>.0.73':445
  • '<L###LNET>.0.73':139
  • '<L###LNET>.0.71':445
  • '<L###LNET>.0.72':445
  • '<L###LNET>.0.13':139
  • '<L###LNET>.0.76':445
  • '<L###LNET>.0.77':445
  • '<L###LNET>.0.74':445
  • '<L###LNET>.0.75':445
  • '<L###LNET>.0.70':445
  • '<L###LNET>.0.62':445
  • '<L###LNET>.0.67':445
  • '<L###LNET>.0.60':139
  • '<L###LNET>.0.63':445
  • '<L###LNET>.0.66':445
  • '<L###LNET>.0.68':139
  • '<L###LNET>.0.69':445
  • '<L###LNET>.0.66':139
  • '<L###LNET>.0.68':445

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play