Downloader.Lunii

Downloader.Lunii – программа-троян, которая пытается загрузить удаленные файлы и отключить adware программы.

Downloader.Lunii – программа-троян, которая пытается загрузить удаленные файлы и отключить adware программы.

При запуске программа выполняет следующие действия:

1. Загружает и выполняет следующие файлы

 •	%Windir%\toolbar.exe 
 •	%Windir%\mstasks1.exe 
 •	%system%\dktime.exe 
 •	%system%\dk.exe 
 •	%system%\dk32.exe 
 •	%system%\sexxx.exe
 
2. Завершает следующие процессы, которые могут принадлежать adware программам:
 •	lpt.exe 
 •	ir.exe 
 •	intron.exe 
 •	intronet.exe 
 •	twink64.exe 
 •	usb.exe 
 •	teur.exe 
 •	host32.exe 
 •	sidefind.exe 
 •	alchem.exe 
 •	powerscan.exe 
 •	bdl74125.exe 
 •	Installer2.exe 
 •	ttgkirnl.exe 
 •	bargains.exe 
 •	WinClt.exe 
 •	Winad.exe 
 •	istsvc.exe 
 •	actalert.exe 
 •	optimize.exe 
 •	iinstall.exe 
 •	fnnmqi.exe 
 •	exdl.exe 
 •	printer.exe 
 •	printer32.exe 
 •	ykyrtws.exe 
 •	loadclean.exe 
 •	telnet.exe
 
3. Удаляет следующие файлы:
 •	%Temp%\bdl74125.exe 
 •	%Temp%\Installer2.exe 
 •	%Temp%\msbb.exe 
 •	%System%\host32.exe 
 •	%System%\telnet.exe.tmp 
 •	%System%\mouse.exe 
 •	%System%\com.exe 
 •	%System%\fnnmqi.exe 
 •	%System%\exdl.exe 
 •	%System%\exe2bin.exe 
 •	%System%\exul.exe 
 •	%System%\fastopen.exe 
 •	%System%\mscdexnt.exe 
 •	%System%\printer.exe 
 •	%System%\printer32.exe 
 •	%System%\ykyrtws.exe 
 •	%System%\lpt.exe 
 •	%System%\ir.exe 
 •	%System%\intron.exe 
 •	%System%\intronet.exe 
 •	%System%\twink64.exe 
 •	%System%\usb.exe 
 •	%Windir%\alchem.exe 
 •	%Windir%\adp8027_ISEARCHTECH5.exe 
 •	%Windir%\preInsTT.exe 
 •	%Windir%\preInsln.exe 
 •	%Windir%\preInMPP.exe 
 •	%Windir%\loadclean.exe
 
4. Удаляет следующие значения:
 •	"Ukbybc" 
 •	"ControlPanel" 
 •	"alchem" 
 •	"BullsEye Network" 
 •	"dmesewxqtj" 
 •	"Internet Optimizer" 
 •	"IST Service" 
 •	"Power Scan" 
 •	"Winad Client"
 
из ключа реестра:
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 
5. Удаляет все записи в следующем ключе реестра:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
 
6. Перезаписывает host файл:
 127.0.0.3 allforadult.com
 127.0.0.3 www.allforadult.com
 127.0.0.3 www.iframe.biz
 127.0.0.3 iframe.biz
 127.0.0.3 www.newiframe.biz
 127.0.0.3 newiframe.biz
 127.0.0.3 www.vesbiz.biz
 127.0.0.3 vesbiz.biz
 127.0.0.3 www.pizdato.biz
 127.0.0.3 pizdato.biz
 127.0.0.3 www.aaasexypics.com
 127.0.0.3 aaasexypics.com
 127.0.0.3 www.virgin-tgp.net
 127.0.0.3 virgin-tgp.net
 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.