Trojan.PWS.Steam.36523

Technical Information

To ensure autorun and distribution

Modifies the following registry keys

[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'NetworkNotifyer' = '<Full path to file>'

Malicious functions

Searches for registry branches where third party applications store passwords

[HKCU\SOFTWARE\Microsoft\Windows Mail]
[HKLM\Software\Wow6432Node\BPFTP]
[HKCU\Software\BPFTP]
[HKLM\Software\Wow6432Node\FlashFXP]
[HKCU\Software\FlashFXP]
[HKLM\Software\Wow6432Node\SimonTatham\PuTTY\Sessions]
[HKCU\Software\SimonTatham\PuTTY\Sessions]
[HKCU\Software\Cryer\WebSitePublisher]
[HKCU\Software\LinasFTP\Site Manager]
[HKLM\Software\Wow6432Node\NCH Software\Fling\Accounts]
[HKCU\Software\NCH Software\Fling\Accounts]
[HKLM\Software\Wow6432Node\NCH Software\ClassicFTP\FTPAccounts]
[HKCU\Software\NCH Software\ClassicFTP\FTPAccounts]
[HKLM\SOFTWARE\Wow6432Node\Robo-FTP 3.7\FTPServers]
[HKCU\SOFTWARE\Robo-FTP 3.7\FTPServers]
[HKLM\Software\Wow6432Node\FlashPeak\BlazeFtp\Settings]
[HKCU\Software\FlashPeak\BlazeFtp\Settings]
[HKLM\Software\Wow6432Node\Ghisler\Total Commander]
[HKLM\Software\Wow6432Node\Ghisler\Windows Commander]
[HKCU\Software\Ghisler\Total Commander]
[HKCU\Software\Ghisler\Windows Commander]
[HKCU\SOFTWARE\Far2\SavedDialogHistory\FTPHost]
[HKCU\SOFTWARE\Far\SavedDialogHistory\FTPHost]
[HKCU\SOFTWARE\Far2\Plugins\FTP\Hosts]
[HKCU\SOFTWARE\Far\Plugins\FTP\Hosts]
[HKCU\Software\FTPWare\COREFTP\Sites]
[HKLM\Software\Wow6432Node\Martin Prikryl]
[HKCU\Software\Martin Prikryl]
[HKCU\Software\TurboFTP]
[HKLM\Software\Wow6432Node\TurboFTP]

Reads files which store third party applications passwords

%LOCALAPPDATA%\google\chrome\user data\default\web data
%LOCALAPPDATA%\google\chrome\user data\default\login data

Modifies file system

Sets the 'hidden' attribute to the following files

<Full path to file>

Network activity

Connects to

'5.##.39.135':80
'89.##9.116.81':80
'10#.#85.14.85':80
'10#.#08.232.85':80
'18#.#5.24.88':80
'17#.#58.181.88':80
'95.##.208.91':80
'46.##2.125.93':80
'37.##9.39.94':80
'93.#8.79.67':80
'46.##8.249.68':80
'31.##0.146.70':80
'17#.#51.181.97':80
'95.##.228.97':80
'10#.#62.10.103':80
'27.##7.161.155':80
'10#.#00.234.103':80
'5.##.42.104':80
'5.###.63.108':80
'11#.#32.173.108':80
'21#.#3.114.112':80
'77.##6.166.113':80
'37.##.228.113':80
'19#.#14.150.114':80
'17#.#.252.121':80
'94.##3.87.122':80
'20#.#22.7.123':80
'95.##.198.123':80
'81.##8.1.124':80
'11#.#43.173.80':80
'93.##.28.100':80
'17#.#36.130.80':80
'10#.#54.100.148':80
'91.##4.73.135':80
'81.##.136.135':80
'46.##8.55.138':80
'18#.#5.102.139':80
'18#.#.141.139':80
'58.##6.185.139':80
'93.##.233.140':80
'46.##1.237.142':80
'46.##8.90.144':80
'18#.#30.14.145':80
'93.#7.7.146':80
'46.##9.142.146':80
'10#.#62.72.148':80
'21#.#0.202.148':80
'77.##2.77.79':80
'17#.#37.11.149':80
'5.###.244.152':80
'61.##.164.154':80
'17#.#6.25.155':80
'localhost':49205
'12#.#.251.72':80
'77.##3.33.73':80
'37.##5.52.73':80
'37.##5.184.76':80
'21#.#11.216.77':80
'78.##9.40.78':80
'46.##8.184.78':80
'37.##2.232.78':80
'17#.#05.21.80':80
'77.##2.70.156':80

TCP

Other

'localhost':49205
'81.##.136.135':80

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android