Экспертное описаниеАвтоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.
Экспертное описаниеАвтоматическое описание
Описание сгенерировано автоматически на основании анализа действий сэмпла этого детектируемого объекта на тестовом компьютере и может содержать неточную информацию.
Технические детали Деструктивная активность Рекомендации по удалению
Технические детали
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является приложением Windows (PE-EXE файл). Имеет размер 3136 байт. Написана на C++.
Деструктивная активность
После запуска троянец устанавливает соединение со следующим IP адресом:
69.***.192.250
И получает данные в зашифрованном виде. Затем выполняет расшифровку полученных данных и сохраняет файлы во временном каталоге текущего пользователя под именами вида:
%Temp%\_<rnd>.tmp
Где <rnd> - произвольная последовательность из цифр и букв латинского алфавита.
Далее троянец запускает скачанные файлы и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
%Temp%\_<rnd>.tmp
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\shimg.dll
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\dll.dll
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\str.sys
Вредоносная активность
Создает следующие файлы:
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_2.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_3.tmp
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\cryptnet32.dll
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe
После чего обеспечивается
Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:
путем прописывания в ключах автозапуска системного реестра:
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe --SERVICE
Тип запуска:
автоматически
Следующие файлы запускаются на исполнение:
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_1.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_2.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\_3.tmp
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\DAT4.tmp.exe
Создает соединение со следующими адресами в Интернете:
***.50.192.250:16415
***.55.37.72:6400
***.55.37.88:6400
***.122.73.21:20480
Проверяет наличие Dial-UP соединений на зараженном компьютере
Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"
Global\{66C44A83-3E94-438b-8278-812E2D8D603F}
Пытается найти файлы на компьютере пользователя по следующим маскам:
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\crt.dat
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web