Вирусная лаборатория Avira

TR/Downloader.A.19222

  • Имя
    TR/Downloader.A.19222
  • Date discovered
    03 янв. 2016 г.
  • Тип
    Malware
  • Воздействие
    Средний 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.11.95.92 (2013-08-06 09:24)

Относительно 'TR' речь идет о троянском коне, который в состоянии заполучит ваши данные, нарушить вашу частную сферу и производить нежелательные изменения системы.

  • VDF
    7.11.95.92 (2013-08-06 09:24)
  • Alias
    Microsoft: SoftwareBundler:Win32/Fourthrem
    Kaspersky Lab: HEUR:Trojan-Downloader.Win32.Generic
  • Файлы
    Следующие файлы удалены:
    • %TEMPDIR%\nsb80.tmp
    • %TEMPDIR%\nsg82.tmp
    • %TEMPDIR%\nsg82.tmp\inetc.dll
    Следующие файлы созданы:
    • %TEMPDIR%\nsb80.tmp
    • %TEMPDIR%\nsr81.tmp
    • %TEMPDIR%\nsg82.tmp
    • %TEMPDIR%\nsg82.tmp\inetc.dll
    • %temporary internet files%\Content.IE5\QH9ZEEV0\310714_mb[1]
    • %TEMPDIR%\lVDdO5SwcwdQCdwIRs2EJoXcjlSm\lVDdO5SwcwdQCdwIRs2EJoXcjlSm_has.exe
    • %temporary internet files%\Content.IE5\LV2JIAKP\310714_a10[1]
    • %TEMPDIR%\lVDdO5SwcwdQCdwIRs2EJoXcjlSm\lVDdO5SwcwdQCdwIRs2EJoXcjlSmlVDdO5SwcwdQCdwIRs2EJoXcjlSm_a10.exe
    • %temporary internet files%\Content.IE5\A9SFWXZG\310714_br[1].exe
    • %TEMPDIR%\lVDdO5SwcwdQCdwIRs2EJoXcjlSm\lVDdO5SwcwdQCdwIRs2EJoXcjlSmlVDdO5SwcwdQCdwIRs2EJoXcjlSmlVDdO5SwcwdQCdwIRs2EJoXcjlSm_br.exe
    • %temporary internet files%\Content.IE5\QH9ZEEV0\291014_nj[1].exe
    • %TEMPDIR%\lVDdO5SwcwdQCdwIRs2EJoXcjlSm\lVDdO5SwcwdQCdwIRs2EJoXcjlSmlVDdO5SwcwdQCdwIRs2EJoXcjlSmlVDdO5SwcwdQCdwIRs2EJoXcjlSm_nj.exe
    • %temporary internet files%\Content.IE5\5KMEPSXE\280815_cr[1]
    • %TEMPDIR%\lVDdO5SwcwdQCdwIRs2EJoXcjlSm\lVDdO5SwcwdQCdwIRs2EJoXcjlSm_cr.exe
    Следующие файлы изменены:
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %WINDIR%\Debug\UserMode\userenv.log
  • Реестр
    Добавляются следующие ключи реестра:
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WNet ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000001; "ImagePath": "%PROGRAM FILES%\WNet\WNet.exe"; "DisplayName": "WNet"; "ObjectName": "LocalSystem")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WNet\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WNET ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WNET\0000 ("Service": "WNet"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "WNet")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WNET\0000\Control ("*NewlyCreated*": dword:00000000)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WNet\Enum ("0": "Root\LEGACY_WNET\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000011)
  • Запросы HTTP
    • ticketdown.*****0714d/310714_mb.exe?jsessid=lVDdO5SwcwdQCdwIRs2EJoXcjlSm$TMPIDrnd
    • winipoly.*****0714d/310714_a10.exe?jsessid=lVDdO5SwcwdQCdwIRs2EJoXcjlSm$TMPIDrnd
    • myredir.*****net/K_lVDdO5SwcwdQCdwIRs2EJoXcjlSm
    • myredir.*****net/TR_7NyL0dkdsSSUhLneFo5pdIxl
    • www.*****pixl.com/prot_link/pr3.php
    • pixelcloudhit.*****ixel_cpa.php?i=1
    • ticketdown.*****0714d/310714_br.exe?jsessid=lVDdO5SwcwdQCdwIRs2EJoXcjlSmlVDdO5SwcwdQCdwIRs2EJoXcjlSm
    • ticketdown.*****0714d/291014_nj.exe?jsessid=lVDdO5SwcwdQCdwIRs2EJoXcjlSmlVDdO5SwcwdQCdwIRs2EJoXcjlSm
    • ticketdown.*****0714d/280815_cr.exe?jsessid=lVDdO5SwcwdQCdwIRs2EJoXcjlSm
    • www.*****pixl.com/prot_link/pr.php
    • www.*****pixl.com/prot_link/top.png
    • www.*****pixl.com/prot_link/middle.png
    • www.*****pixl.com/favicon.ico
    • www.*****pixl.com/prot_link/botao.png
    • t1.*****me-dm.com/i.gif
    • api.*****cloudhit.com/pixel_pcm.php?check=1&id_campaign=1
    • e0.*****me-dm.com/s9.g?login=pcoffern&jv=y&j=y&srw=1024&srb=24&l=
    • g.*****.com/
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?update0=version,20151222154748&update1=sys,Microsoft.Windows.XP&update2=language,0x409&update3=nation,0x409&update4=ref,pmr&update5=mode,&update6=sys0,Microsoft&update7=sys1,Windows&update8=sys2,XP&update9=sys3,&update10=sys4,
    • xa.*****arches.com/v4/ggggggsite/594A48D82B50FE348843593718FA9484?update0=version,20151222154748&update1=sys,Microsoft.Windows.XP&update2=language,0x409&update3=nation,0x409&update4=ref,pmr&update5=mode,&update6=sys0,Microsoft&update7=sys1,Windows&update8=sys2,XP&update9=sys3,&update10=sys4,
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?update0=onlineupdate,0
    • xa.*****arches.com/v4/ggggggsite/594A48D82B50FE348843593718FA9484?update0=onlineupdate,0
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?update0=oscpu,x32
    • xa.*****arches.com/v4/ggggggsite/594A48D82B50FE348843593718FA9484?update0=oscpu,x32
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.winmain.prestart3
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?update0=ffversion,9.0.1
    • xa.*****arches.com/v4/ggggggsite/594A48D82B50FE348843593718FA9484?update0=ffversion,9.0.1
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.winmain.chrome
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.winmain.start
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.getfile.start
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.getfile.decode.ok
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.winmain.getfile
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.winmain.getconfig
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.start
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.start.executer.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.start.ffprefexec.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.start.server.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.ok.server.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.ok.task.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.ok.shortcutboost.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.ok.uninstall.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.start.wtsapi32\bfcinstaller.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.ok.wtsapi32\bfcinstaller.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.winmain.execute
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.ok.executer.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.ok.ffprefexec.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.start.task.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.start.shortcutboost.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.start.uninstall.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.start.creport.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.soft.ok.creport.exe
    • xa.*****arches.com/v4/gggggg2/594A48D82B50FE348843593718FA9484?action=visit.dl.execute.allok

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.