Вредоносная программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. возникает приложением Windows (PE-EXE файл). Имеет размеры 176640 байт. Упакована UPX. Распакованный размеры – около 245 КБ. написана на C++.
Инсталляция
После запуска вредонос копирует свое стан в каталог Автозагрузка текущего пользователя, обеспечивая для себя возможность механично запускаться при каждом следующем старте системы. фотоснимок создаётся со случайным именем:
%USERPROFILE%Start MenuProgramsStartup<rnd>.exe
где <rnd> – случайная последовательность цифр столь будто латинских букв, к примеру: "v6o3pl8nhq".
Затем вредонос запускает экземпляр системного процесса "EXPLORER.EXE" столь будто внедряет в его адресное пространство исполняемый код, реализующий полный деструктивный функционал.
Деструктивная активность
Подгруженный в процесс "EXPLORER.EXE" код в свою очередь запускает экземпляр системного процесса "SVCHOST.EXE" столь будто внедряет в его адресное пространство код, реализующий функционал бэкдора, столь будто выполняющий соответствующие действия:
удаляет своевольный файл вредоноса;
скрывает вперед созданную копию в каталоге Автозагрузка;
устанавливает соединение с серверами злодея для получения команд.
В зависимости от полученных команд, бэкдор может выполнять играть соответствующие действия:
обновлять общительный своевольный файл, загружая обновление с сервера злоумышленника;
загружать на зараженный индивидуальный личный индивидуальный комп другие файлы;
отслеживать сетевой трафик системы с целью похищения конфиденциальных данных пользователя;
собирать информацию о зараженной системе;
отслеживать клавиатурный ввод пользователя;
отсылать собранную информацию на сервер злоумышленника.
В ходе личной работы бэкдор подключается к следующим серверам:
me***i38.com
a***gh.in
На час создания описания вредонос загружал обновление своего исполняемого файла. Был загружен файл размером 106496 байт; MD5: 27DDD62D3F3C7DFA3498C9A077F3D93A, SHA1: D9E958FED91C1A78A82C26F8B1728CA532BEECD1; детектируется Антивирусом Касперского насколько "Trojan.Win32.Diple.vvd".
Рекомендации по удалению
Если ваш индивидуальный личный индивидуальный комп завершить был защищен антивирусом столь будто оказался заражен данной вредоносной программой, то для её удаления надо осуществить соответствующие действия:
Перезагрузить индивидуальный личный индивидуальный комп в «безопасном режиме» (в самом начале загрузки нажать столь будто сберегать клавишу «F8», вдогонку за для тех раскопать баста «Safe Mode» в меню загрузки Windows).
«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web
6 марта 2024 года
Компания «Доктор Веб» выпускает обновление Dr.Web Family Security. В приложении исправлен шеренга ошибок в ингридиентах Контроль приложений, Фильтр звонков так чисто СМС, URL фильтр.
Если вы желаете приобретать оповещения о новеньких версиях приложения, перейдите в Меню - О приложении - Обновление - подключите Уведомля... Антивирус Dr.Web
28 февраля 2024г.
Как так что всякий продукт фирмы «Доктор Веб», Dr.Web FixIt! постоянно совершенствуется. Мы наблюдаем за потребностями юзеров так что жаждем созидать решения, коие перестать навряд эффективны, однако так что благоприятны в использовании.
Чтобы наладить Dr.Web FixIt! версии 2.3 сызнова удобнее, мы: