Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Программа упакована неизвестным упаковщиком. Распакованный размер – около 120 КБ. Написана на C++.

Деструктивная активность

Троянец выполняет деструктивный функционал непосредственно в контексте своего процесса или, если операционная система младше Windows Vista, внедряя вредоносный код в процесс:

Explorer.exe

Выполняет загрузку файлов со следующих URL адресов:

http://balegion.com/ghquuyypdd/wwnoefww.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/wwnoefww.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/jjwnnerv.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/jjwnnerv.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/efiwwna.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/efiwwna.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/nnaeivmzd.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/nnaeivmzd.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/ivvzmdqhiy.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/ivvzmdqhiy.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/jwnoesww.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/jwnoesww.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/fsfwxar.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/fsfwxar.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/fssswaa.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/fssswaa.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/kdhhu.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/kdhhu.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/ylzzdhhll.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/ylzzdhhll.php?adv=adv444&id=<SN>&c=<SN2>
http://balegion.com/ghquuyypdd/bbopsj.php?adv=adv444&id=<SN>&c=<SN2>
http://aaoutfit.com/ghquuyypdd/bbopsj.php?adv=adv444&id=<SN>&c=<SN2>

На момент создания описания ссылки не работали.

Сохраняет загруженные файлы во временном каталоге текущего пользователя под следующими именами и выполняет запуск загруженных файлов:

%Temp%\tmtwoc.exe
%Temp%\jfjhp.exe
%Temp%\mkpng.exe
%Temp%\aifxver.exe
%Temp%\tjyxdk.exe
%Temp%\lhetxn.exe
%Temp%\ognxmxv.exe
%Temp%\hkvjd.exe
%Temp%\jppwv.exe
%Temp%\ylee.exe
%Temp%\bwubkrt.exe

http://balegion.com/ghquuyypdd/hhuuypqu.php
http://aaoutfit.com/ghquuyypdd/hhuuypqu.php

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %Temp%\tmtwoc.exe
   %Temp%\jfjhp.exe
   %Temp%\mkpng.exe
   %Temp%\aifxver.exe
   %Temp%\tjyxdk.exe
   %Temp%\lhetxn.exe
   %Temp%\ognxmxv.exe
   %Temp%\hkvjd.exe
   %Temp%\jppwv.exe
   %Temp%\ylee.exe
   %Temp%\bwubkrt.exe
   

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

7 мая 2024 года

С целью коррекции ошибок так что усовершенствования свойства сертифицированного программного изделия Dr.Web Enterprise Security Suite, обеспечивающего антивирусную защиту, управление так что мониторинг любых узлов корпоративной сети, в приложениях формуляра произведены изменения.

Для коррекции ошибки в таблицах Приложени... Антивирус Dr.Web

4 мая 2024 года

Вирусным аналитикам фирме «Доктор Веб» поступило на разыскание приложение для ОС Android, которое содержало троян-кликер, неприметно раскрывающий маркетинговые веб-сайты настолько ровно выполняющий крики на веб-страницах. этакий троян умножать бытовать использован для скрытого показа рекламы, накручивания численности переходов по ссылкам, дизайна ... Горячая лента угроз и предупреждений о вирусной опасности!

2 мая 2024 года