Вирусная лаборатория Avira

TR/Dldr.Agent.166799.1

  • Имя
    TR/Dldr.Agent.166799.1
  • Date discovered
    12 нояб. 2015 г.
  • Тип
    Malware
  • Воздействие
    Средний 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.12.26.154 (2015-11-09 19:09)

Термин 'TR' обозначает троян, который в состоянии заполучить ваши данные, нарушить вашу частную жизнь и произвести нежелательные изменения системы.

Термин 'Dldr' обозначает часть образца вредоносного ПО, которое загружает другой вредоносный файл из Интернета.

  • VDF
    7.12.26.154 (2015-11-09 19:09)
  • Alias
    Dr. Web: Adware.Downware.13208
    Kaspersky Lab: Trojan-Downloader.Win32.Genome.wliw
    ESET: NSIS/TrojanDownloader.Agent.NTZ trojan
  • Файлы
    Следующие файлы удалены:
    • %TEMPDIR%\nsh2.tmp
    • %TEMPDIR%\nsh3.tmp
    Следующие файлы созданы:
    • %TEMPDIR%\nsh2.tmp
    • %TEMPDIR%\nsh3.tmp
    • %TEMPDIR%\nsh3.tmp\NSISdl.dll
    • %TEMPDIR%\nsh3.tmp\installer.exe
  • Реестр
    Удаляются значения следующих ключей реестра:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_PTIMINIPORT\0000\LogConf (BootConfigVector: -; AllocConfigVector: -; ForcedConfigVector: -; BasicConfig: -; FilteredConfig: -; OverrideConfig: -)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_NDISWANIP\0000\LogConf (BootConfigVector: -; AllocConfigVector: -; ForcedConfigVector: -; BasicConfig: -; FilteredConfig: -; OverrideConfig: -)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_PSCHEDMP\0001\LogConf (BootConfigVector: -; AllocConfigVector: -; ForcedConfigVector: -; BasicConfig: -; FilteredConfig: -; OverrideConfig: -)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_PSCHEDMP\0000\LogConf (BootConfigVector: -; AllocConfigVector: -; ForcedConfigVector: -; BasicConfig: -; FilteredConfig: -; OverrideConfig: -)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_L2TPMINIPORT\0000\LogConf (BootConfigVector: -; AllocConfigVector: -; ForcedConfigVector: -; BasicConfig: -; FilteredConfig: -; OverrideConfig: -)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_PPTPMINIPORT\0000\LogConf (BootConfigVector: -; AllocConfigVector: -; ForcedConfigVector: -; BasicConfig: -; FilteredConfig: -; OverrideConfig: -)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\MS_PPPOEMINIPORT\0000\LogConf (BootConfigVector: -; AllocConfigVector: -; ForcedConfigVector: -; BasicConfig: -; FilteredConfig: -; OverrideConfig: -)
    Изменяются следующие ключи реестра:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\PCI\VEN_1022&DEV_2000&SUBSYS_20001022&REV_10\4&47b7341&0&0088\LogConf (BootConfigVector: -; AllocConfigVector: -; ForcedConfigVector: -; BasicConfig: -; FilteredConfig: -; OverrideConfig: -)
    Добавляются следующие ключи реестра:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000001; "ImagePath": ""%WINDIR%\Updatesvc.exe""; "DisplayName": "UpdateSvc"; "ObjectName": "LocalSystem"; "Description": "Update Control service")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC\0000 ("Service": "UpdateSvc"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "UpdateSvc")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "UpdateSvc")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc\Enum ("0": "Root\LEGACY_UPDATESVC\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000010)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WdsManPro ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000001; "ImagePath": "%DISKDRIVE%\Documents and Settings\All Users\Application Data\iWMiniProi\WMiniPro.exe -service"; "DisplayName": "WdsManPro Service"; "Group": "SVC_Group"; "ObjectName": "LocalSystem"; "Description": "WdsManPro Service")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WdsManPro\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WDSMANPRO ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WDSMANPRO\0000 ("Service": "WdsManPro"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "WdsManPro Service")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WDSMANPRO\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "WdsManPro")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WdsManPro\Enum ("0": "Root\LEGACY_WDSMANPRO\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
  • Запросы HTTP
    • www.*****rinstallbox.com/downloadnotracking.php
    • www.*****rinstallbox.com/innoiss/files/installers/RO/InstallManager.exe
    • www.*****rinstallbox.com/files/custom/dustappspop/uninstno/dustapps.exe
    • www.*****rinstallbox.com/offercompleted.php?offer=DustApps
    • www.*****iuxiaowei.com/home/bpr_istartsurf.exe
    • xa.*****loud.com/v4/sof-installer/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action1=xa.geoip&action2=visit&action3=bpr.visit.istartsurf&update1=ref,bpr&update2=identifier,installer&update3=version,7.0.1.13&update4=nation,us&update5=language,en
    • xa.*****loud.com/v4/sof-installer/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action=bpr.dlzip1.istartsurf.finish,1
    • www.*****tsurf.com/logic/z.php
    • xa.*****loud.com/v4/sof-installer/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action=bpr.installer.istartsurf.hp
    • xa.*****loud.com/v4/sof-installer/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action=bpr.installer.istartsurf.regok
    • log.*****11.com/install.gif?bundle=istartsurf&ptid=bpr&uid=VMwareXVirtualXIDEXHardXDrive_00000000000000000001
    • g.*****.com/
    • xa.*****loud.com/v4/sof-installer/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action=bpr.installer.istartsurf.nt.ff.tab
    • xa.*****loud.com/v4/sof-installer/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action=bpr.installer.istartsurf.finish
    • xa.*****loud.com/v4/sof-installer/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action=bpr.installer.istartsurf.wpm
    • www.*****rinstallbox.com/offercompleted.php?offer=iStartSurf
    • www.*****dlfast.com/download.php?lX6CeA==
    • secured.*****bwest.us/Free_Music_Downloader_6558.exe
    • www.*****eim.us/FCL_Co_Unq_remote_v5.php
    • www.*****setwest.com/DSS_Unq_IMapplication_mon_remote_dcmd.php
    • secured.*****bwest.us/os/rm/OfferScreen_12_HD.zip
    • secured.*****bwest.us/os/rm/OfferScreen_679.zip

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.