TROJ_SCAR.SSC
Trojan:Win32/Simda (Microsoft),Trojan Horse (Symantec), Mal/Bredavi-B (Sophos), Win32/Spy.Shiz.NAF (Eset),
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type: Trojan
Destructiveness: No
Encrypted: Yes
In the wild: Yes
OVERVIEW
This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
TECHNICAL DETAILS
Arrival Details
This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
This Trojan drops the following copies of itself into the affected system:
- %System%\{random}.exe
(Note: %System% is the Windows system folder, which is usually C:\Windows\System32.)
It drops the following files:
- %Program Files%\Common Files\wm\keys
(Note: %Program Files% is the default Program Files folder, usually C:\Program Files in Windows 2000, Server 2003, and XP (32-bit), Vista (32-bit), and 7 (32-bit), or C:\Program Files (x86) in Windows XP (64-bit), Vista (64-bit), and 7 (64-bit).)
It creates the following folders:
- %Program Files%\Common Files\wm
(Note: %Program Files% is the default Program Files folder, usually C:\Program Files in Windows 2000, Server 2003, and XP (32-bit), Vista (32-bit), and 7 (32-bit), or C:\Program Files (x86) in Windows XP (64-bit), Vista (64-bit), and 7 (64-bit).)
Autostart Technique
This Trojan modifies the following registry entries to ensure it automatic execution at every system startup:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,\?\globalroot\systemroot\system32\{random}.exe,C:\WINDOWS\system32\services.exe,"
(Note: The default value data of the said registry entry is "%System%\userinit.exe,".)
HOSTS File Modification
This Trojan overwrites the system's HOSTS files to prevent users from accessing the following websites:
- #
- 127.0.0.1 localhost
- #
- # Some shit to block
- #
- 0.0.0.0 cainternetsecurity.net
- 0.0.0.0 um00.eset.com
- 0.0.0.0 um01.eset.com
- 0.0.0.0 um02.eset.com
- 0.0.0.0 um03.eset.com
- 0.0.0.0 um04.eset.com
- 0.0.0.0 um05.eset.com
- 0.0.0.0 um06.eset.com
- 0.0.0.0 um07.eset.com
- 0.0.0.0 um08.eset.com
- 0.0.0.0 um09.eset.com
- 0.0.0.0 um10.eset.com
- 0.0.0.0 um11.eset.com
- 0.0.0.0 um12.eset.com
- 0.0.0.0 um13.eset.com
- 0.0.0.0 um14.eset.com
- 0.0.0.0 um15.eset.com
- 0.0.0.0 um16.eset.com
- 0.0.0.0 um17.eset.com
- 0.0.0.0 um18.eset.com
- 0.0.0.0 um19.eset.com
- 0.0.0.0 um20.eset.com
- 0.0.0.0 um21.eset.com
- 0.0.0.0 um22.eset.com
- 0.0.0.0 um23.eset.com
- 0.0.0.0 um24.eset.com
- 0.0.0.0 um25.eset.com
- 0.0.0.0 um26.eset.com
- 0.0.0.0 um27.eset.com
- 0.0.0.0 um28.eset.com
- 0.0.0.0 um29.eset.com
- 0.0.0.0 um30.eset.com
- 0.0.0.0 um31.eset.com
- 0.0.0.0 um32.eset.com
- 0.0.0.0 um33.eset.com
- 0.0.0.0 um34.eset.com
- 0.0.0.0 um35.eset.com
- 0.0.0.0 um36.eset.com
- 0.0.0.0 um37.eset.com
- 0.0.0.0 um38.eset.com
- 0.0.0.0 um39.eset.com
- 0.0.0.0 um40.eset.com
- 0.0.0.0 um41.eset.com
- 0.0.0.0 um42.eset.com
- 0.0.0.0 um43.eset.com
- 0.0.0.0 um44.eset.com
- 0.0.0.0 um45.eset.com
- 0.0.0.0 um46.eset.com
- 0.0.0.0 um47.eset.com
- 0.0.0.0 um48.eset.com
- 0.0.0.0 um49.eset.com
- 0.0.0.0 um50.eset.com
- 0.0.0.0 um51.eset.com
- 0.0.0.0 um52.eset.com
- 0.0.0.0 um53.eset.com
- 0.0.0.0 um54.eset.com
- 0.0.0.0 um55.eset.com
- 0.0.0.0 um56.eset.com
- 0.0.0.0 um57.eset.com
- 0.0.0.0 um58.eset.com
- 0.0.0.0 um59.eset.com
- 0.0.0.0 um60.eset.com
- 0.0.0.0 um61.eset.com
- 0.0.0.0 um62.eset.com
- 0.0.0.0 um63.eset.com
- 0.0.0.0 um64.eset.com
- 0.0.0.0 um65.eset.com
- 0.0.0.0 um66.eset.com
- 0.0.0.0 um67.eset.com
- 0.0.0.0 um68.eset.com
- 0.0.0.0 um69.eset.com
- 0.0.0.0 um70.eset.com
- 0.0.0.0 um71.eset.com
- 0.0.0.0 um72.eset.com
- 0.0.0.0 um73.eset.com
- 0.0.0.0 um74.eset.com
- 0.0.0.0 um75.eset.com
- 0.0.0.0 um76.eset.com
- 0.0.0.0 um77.eset.com
- 0.0.0.0 um78.eset.com
- 0.0.0.0 um79.eset.com
- 0.0.0.0 um80.eset.com
- 0.0.0.0 um81.eset.com
- 0.0.0.0 um82.eset.com
- 0.0.0.0 um83.eset.com
- 0.0.0.0 um84.eset.com
- 0.0.0.0 um85.eset.com
- 0.0.0.0 um86.eset.com
- 0.0.0.0 um87.eset.com
- 0.0.0.0 um88.eset.com
- 0.0.0.0 um89.eset.com
- 0.0.0.0 um90.eset.com
- 0.0.0.0 um91.eset.com
- 0.0.0.0 um92.eset.com
- 0.0.0.0 um93.eset.com
- 0.0.0.0 um94.eset.com
- 0.0.0.0 um95.eset.com
- 0.0.0.0 um96.eset.com
- 0.0.0.0 um97.eset.com
- 0.0.0.0 um98.eset.com
- 0.0.0.0 um99.eset.com
- 0.0.0.0 u00.eset.com
- 0.0.0.0 u01.eset.com
- 0.0.0.0 u02.eset.com
- 0.0.0.0 u03.eset.com
- 0.0.0.0 u04.eset.com
- 0.0.0.0 u05.eset.com
- 0.0.0.0 u06.eset.com
- 0.0.0.0 u07.eset.com
- 0.0.0.0 u08.eset.com
- 0.0.0.0 u09.eset.com
- 0.0.0.0 u10.eset.com
- 0.0.0.0 u11.eset.com
- 0.0.0.0 u12.eset.com
- 0.0.0.0 u13.eset.com
- 0.0.0.0 u14.eset.com
- 0.0.0.0 u15.eset.com
- 0.0.0.0 u16.eset.com
- 0.0.0.0 u17.eset.com
- 0.0.0.0 u18.eset.com
- 0.0.0.0 u19.eset.com
- 0.0.0.0 u20.eset.com
- 0.0.0.0 u21.eset.com
- 0.0.0.0 u22.eset.com
- 0.0.0.0 u23.eset.com
- 0.0.0.0 u24.eset.com
- 0.0.0.0 u25.eset.com
- 0.0.0.0 u26.eset.com
- 0.0.0.0 u27.eset.com
- 0.0.0.0 u28.eset.com
- 0.0.0.0 u29.eset.com
- 0.0.0.0 u30.eset.com
- 0.0.0.0 u31.eset.com
- 0.0.0.0 u32.eset.com
- 0.0.0.0 u33.eset.com
- 0.0.0.0 u34.eset.com
- 0.0.0.0 u35.eset.com
- 0.0.0.0 u36.eset.com
- 0.0.0.0 u37.eset.com
- 0.0.0.0 u38.eset.com
- 0.0.0.0 u39.eset.com
- 0.0.0.0 u40.eset.com
- 0.0.0.0 u41.eset.com
- 0.0.0.0 u42.eset.com
- 0.0.0.0 u43.eset.com
- 0.0.0.0 u44.eset.com
- 0.0.0.0 u45.eset.com
- 0.0.0.0 u46.eset.com
- 0.0.0.0 u47.eset.com
- 0.0.0.0 u48.eset.com
- 0.0.0.0 u49.eset.com
- 0.0.0.0 u50.eset.com
- 0.0.0.0 u51.eset.com
- 0.0.0.0 u52.eset.com
- 0.0.0.0 u53.eset.com
- 0.0.0.0 u54.eset.com
- 0.0.0.0 u55.eset.com
- 0.0.0.0 u56.eset.com
- 0.0.0.0 u57.eset.com
- 0.0.0.0 u58.eset.com
- 0.0.0.0 u59.eset.com
- 0.0.0.0 u60.eset.com
- 0.0.0.0 u61.eset.com
- 0.0.0.0 u62.eset.com
- 0.0.0.0 u63.eset.com
- 0.0.0.0 u64.eset.com
- 0.0.0.0 u65.eset.com
- 0.0.0.0 u66.eset.com
- 0.0.0.0 u67.eset.com
- 0.0.0.0 u68.eset.com
- 0.0.0.0 u69.eset.com
- 0.0.0.0 u70.eset.com
- 0.0.0.0 u71.eset.com
- 0.0.0.0 u72.eset.com
- 0.0.0.0 u73.eset.com
- 0.0.0.0 u74.eset.com
- 0.0.0.0 u75.eset.com
- 0.0.0.0 u76.eset.com
- 0.0.0.0 u77.eset.com
- 0.0.0.0 u78.eset.com
- 0.0.0.0 u79.eset.com
- 0.0.0.0 u80.eset.com
- 0.0.0.0 u81.eset.com
- 0.0.0.0 u82.eset.com
- 0.0.0.0 u83.eset.com
- 0.0.0.0 u84.eset.com
- 0.0.0.0 u85.eset.com
- 0.0.0.0 u86.eset.com
- 0.0.0.0 u87.eset.com
- 0.0.0.0 u88.eset.com
- 0.0.0.0 u89.eset.com
- 0.0.0.0 u90.eset.com
- 0.0.0.0 u91.eset.com
- 0.0.0.0 u92.eset.com
- 0.0.0.0 u93.eset.com
- 0.0.0.0 u94.eset.com
- 0.0.0.0 u95.eset.com
- 0.0.0.0 u96.eset.com
- 0.0.0.0 u97.eset.com
- 0.0.0.0 u98.eset.com
- 0.0.0.0 u99.eset.com
- 0.0.0.0 dnl-00.geo.kaspersky.com
- 0.0.0.0 virusinfo.info
- 0.0.0.0 www.virusinfo.info
- 0.0.0.0 projecthoneypot.org
- 0.0.0.0 www.projecthoneypot.org
- 0.0.0.0 novirus.ru
- 0.0.0.0 www.novirus.ru
- 0.0.0.0 anti-malware.com
- 0.0.0.0 www.anti-malware.com
- 0.0.0.0 offensivecomputing.net
- 0.0.0.0 www.offensivecomputing.net
- 0.0.0.0 zeustracker.abuse.ch
- 0.0.0.0 www.zeustracker.abuse.ch
- 0.0.0.0 www.malekal.com
- 0.0.0.0 www3.malekal.com
- 0.0.0.0 forum.malekal.com
- 0.0.0.0 www.threatexpert.com
- 0.0.0.0 threatexpert.com
- 0.0.0.0 www.microsoft.com
- 0.0.0.0 update.microsoft.com
- 0.0.0.0 www.virustotal.com
- 0.0.0.0 virusscan.jotti.org
- 0.0.0.0 www.av-comparatives.org
- 0.0.0.0 av-comparatives.org
- 0.0.0.0 av-test.org
- 0.0.0.0 www.av-test.org
- 0.0.0.0 www.scanwith.com
- 0.0.0.0 www.virusbtn.com
- 0.0.0.0 adwarereport.com
- 0.0.0.0 www.adwarereport.com
- 0.0.0.0 malwarebytes.org
- 0.0.0.0 www.malwarebytes.org
- 0.0.0.0 dw.com.com
- 0.0.0.0 spywarewarrior.com
- 0.0.0.0 www.spywarewarrior.com
- 0.0.0.0 avsoft.ru
- 0.0.0.0 www.avsoft.ru
- 0.0.0.0 onecare.live.com
- 0.0.0.0 anubis.iseclab.org
- 0.0.0.0 wepawet.iseclab.org
- 0.0.0.0 iseclab.org
- 0.0.0.0 www.iseclab.org
- 0.0.0.0 www.freespaceinternetsecurity.com
- 0.0.0.0 freespaceinternetsecurity.com
- 0.0.0.0 sunbelt-software.com
- 0.0.0.0 www.sunbelt-software.com
- 0.0.0.0 www.prevx.com
- 0.0.0.0 prevx.com
- 0.0.0.0 analysis.seclab.tuwien.ac.at
- 0.0.0.0 www.joebox.org
- 0.0.0.0 joebox.org
- 0.0.0.0 gmer.net
- 0.0.0.0 www.gmer.net
- 0.0.0.0 antirootkit.com
- 0.0.0.0 www.antirootkit.com
- 0.0.0.0 sectools.org
- 0.0.0.0 www.sandboxie.com
- 0.0.0.0 sandboxie.com
- 0.0.0.0 nepenthes.mwcollect.org
- 0.0.0.0 mwcollect.org
- 0.0.0.0 www.amtso.org
- 0.0.0.0 amtso.org
- 0.0.0.0 www.nsslabs.com
- 0.0.0.0 nsslabs.com
- 0.0.0.0 www.icsalabs.com
- 0.0.0.0 icsalabs.com
- 0.0.0.0 www.checkvir.com
- 0.0.0.0 checkvir.com
- 0.0.0.0 www.check-mark.com
- 0.0.0.0 check-mark.com
- 0.0.0.0 www.protectstar-testlab.org
- 0.0.0.0 protectstar-testlab.org
- 0.0.0.0 www.anti-malware-test.com
- 0.0.0.0 anti-malware-test.com
- 0.0.0.0 av-test.de
- 0.0.0.0 www.av-test.de
- 0.0.0.0 www.wildlist.org
- 0.0.0.0 wildlist.org
- 0.0.0.0 www.aavar.org
- 0.0.0.0 aavar.org
- 0.0.0.0 centralops.net
- 0.0.0.0 www.staysafeonline.info
- 0.0.0.0 staysafeonline.info
- 0.0.0.0 www.rokop-security.de
- 0.0.0.0 rokop-security.de
- 0.0.0.0 www.wilderssecurity.com
- 0.0.0.0 wilderssecurity.com
- 0.0.0.0 www.superantispyware.com
- 0.0.0.0 superantispyware.com
- 0.0.0.0 update.microsoft.com
- #
- # Karl Spermsky
- #
- 0.0.0.0 www.kaspersky.com
- 0.0.0.0 www.kaspersky.ru
- 0.0.0.0 kaspersky.ru
- 0.0.0.0 www.avp.ru
- 0.0.0.0 avp.ru
- 0.0.0.0 www.viruslist.com
- 0.0.0.0 viruslist.com
- 0.0.0.0 www.viruslist.ru
- 0.0.0.0 www.kaspersky-antivirus.ru
- 0.0.0.0 kaspersky-antivirus.ru
- 0.0.0.0 downloads1.kaspersky-labs.com
- 0.0.0.0 downloads2.kaspersky-labs.com
- 0.0.0.0 downloads3.kaspersky-labs.com
- 0.0.0.0 downloads4.kaspersky-labs.com
- 0.0.0.0 downloads5.kaspersky-labs.com
- 0.0.0.0 downloads-us1.kaspersky-labs.com
- 0.0.0.0 downloads-us2.kaspersky-labs.com
- 0.0.0.0 downloads-us3.kaspersky-labs.com
- 0.0.0.0 downloads-eu1.kaspersky-labs.com
- 0.0.0.0 downloads-eu2.kaspersky-labs.com
- 0.0.0.0 kavdumps.kaspersky.com
- 0.0.0.0 www.kasperskyclub.com
- 0.0.0.0 forum.kasperskyclub.com
- 0.0.0.0 forum.kasperskyclub.ru
- 0.0.0.0 kasperskyclub.ru
- 0.0.0.0 kasperskyclub.com
- 0.0.0.0 ftp.kasperskylab.ru
- 0.0.0.0 ftp.kaspersky.ru
- 0.0.0.0 ftp.kaspersky-labs.com
- 0.0.0.0 data.kaspersky.ru
- 0.0.0.0 z-oleg.com
- 0.0.0.0 dnl-01.geo.kaspersky.com
- 0.0.0.0 dnl-02.geo.kaspersky.com
- 0.0.0.0 dnl-03.geo.kaspersky.com
- 0.0.0.0 dnl-04.geo.kaspersky.com
- 0.0.0.0 dnl-05.geo.kaspersky.com
- 0.0.0.0 dnl-06.geo.kaspersky.com
- 0.0.0.0 dnl-07.geo.kaspersky.com
- 0.0.0.0 dnl-08.geo.kaspersky.com
- 0.0.0.0 dnl-09.geo.kaspersky.com
- 0.0.0.0 dnl-10.geo.kaspersky.com
- 0.0.0.0 dnl-11.geo.kaspersky.com
- 0.0.0.0 dnl-12.geo.kaspersky.com
- 0.0.0.0 dnl-13.geo.kaspersky.com
- 0.0.0.0 dnl-14.geo.kaspersky.com
- 0.0.0.0 dnl-15.geo.kaspersky.com
- 0.0.0.0 dnl-16.geo.kaspersky.com
- 0.0.0.0 dnl-17.geo.kaspersky.com
- 0.0.0.0 dnl-18.geo.kaspersky.com
- 0.0.0.0 dnl-19.geo.kaspersky.com
- 0.0.0.0 dnl-21.geo.kaspersky.com
- 0.0.0.0 dnl-22.geo.kaspersky.com
- 0.0.0.0 dnl-23.geo.kaspersky.com
- 0.0.0.0 dnl-24.geo.kaspersky.com
- 0.0.0.0 dnl-25.geo.kaspersky.com
- 0.0.0.0 dnl-26.geo.kaspersky.com
- 0.0.0.0 dnl-27.geo.kaspersky.com
- 0.0.0.0 dnl-28.geo.kaspersky.com
- 0.0.0.0 dnl-29.geo.kaspersky.com
- 0.0.0.0 dnl-30.geo.kaspersky.com
- 0.0.0.0 dnl-31.geo.kaspersky.com
- 0.0.0.0 dnl-32.geo.kaspersky.com
- 0.0.0.0 dnl-33.geo.kaspersky.com
- 0.0.0.0 dnl-34.geo.kaspersky.com
- 0.0.0.0 dnl-35.geo.kaspersky.com
- 0.0.0.0 dnl-36.geo.kaspersky.com
- 0.0.0.0 dnl-37.geo.kaspersky.com
- 0.0.0.0 dnl-38.geo.kaspersky.com
- 0.0.0.0 dnl-39.geo.kaspersky.com
- 0.0.0.0 dnl-40.geo.kaspersky.com
- 0.0.0.0 dnl-41.geo.kaspersky.com
- 0.0.0.0 dnl-42.geo.kaspersky.com
- 0.0.0.0 dnl-43.geo.kaspersky.com
- 0.0.0.0 dnl-44.geo.kaspersky.com
- 0.0.0.0 dnl-45.geo.kaspersky.com
- 0.0.0.0 dnl-46.geo.kaspersky.com
- 0.0.0.0 dnl-47.geo.kaspersky.com
- 0.0.0.0 dnl-48.geo.kaspersky.com
- 0.0.0.0 dnl-49.geo.kaspersky.com
- 0.0.0.0 dnl-50.geo.kaspersky.com
- 0.0.0.0 dnl-51.geo.kaspersky.com
- 0.0.0.0 dnl-52.geo.kaspersky.com
- 0.0.0.0 dnl-53.geo.kaspersky.com
- 0.0.0.0 dnl-54.geo.kaspersky.com
- 0.0.0.0 dnl-55.geo.kaspersky.com
- 0.0.0.0 dnl-56.geo.kaspersky.com
- 0.0.0.0 dnl-57.geo.kaspersky.com
- 0.0.0.0 dnl-58.geo.kaspersky.com
- 0.0.0.0 dnl-59.geo.kaspersky.com
- 0.0.0.0 dnl-60.geo.kaspersky.com
- 0.0.0.0 dnl-61.geo.kaspersky.com
- 0.0.0.0 dnl-62.geo.kaspersky.com
- 0.0.0.0 dnl-63.geo.kaspersky.com
- 0.0.0.0 dnl-64.geo.kaspersky.com
- 0.0.0.0 dnl-65.geo.kaspersky.com
- 0.0.0.0 dnl-66.geo.kaspersky.com
- 0.0.0.0 dnl-67.geo.kaspersky.com
- 0.0.0.0 dnl-68.geo.kaspersky.com
- 0.0.0.0 dnl-69.geo.kaspersky.com
- 0.0.0.0 dnl-70.geo.kaspersky.com
- 0.0.0.0 dnl-71.geo.kaspersky.com
- 0.0.0.0 dnl-72.geo.kaspersky.com
- 0.0.0.0 dnl-73.geo.kaspersky.com
- 0.0.0.0 dnl-74.geo.kaspersky.com
- 0.0.0.0 dnl-75.geo.kaspersky.com
- 0.0.0.0 dnl-76.geo.kaspersky.com
- 0.0.0.0 dnl-77.geo.kaspersky.com
- 0.0.0.0 dnl-78.geo.kaspersky.com
- 0.0.0.0 dnl-79.geo.kaspersky.com
- 0.0.0.0 dnl-80.geo.kaspersky.com
- 0.0.0.0 dnl-81.geo.kaspersky.com
- 0.0.0.0 dnl-82.geo.kaspersky.com
- 0.0.0.0 dnl-83.geo.kaspersky.com
- 0.0.0.0 dnl-84.geo.kaspersky.com
- 0.0.0.0 dnl-85.geo.kaspersky.com
- 0.0.0.0 dnl-86.geo.kaspersky.com
- 0.0.0.0 dnl-87.geo.kaspersky.com
- 0.0.0.0 dnl-88.geo.kaspersky.com
- 0.0.0.0 dnl-89.geo.kaspersky.com
- 0.0.0.0 dnl-90.geo.kaspersky.com
- 0.0.0.0 dnl-91.geo.kaspersky.com
- 0.0.0.0 dnl-92.geo.kaspersky.com
- 0.0.0.0 dnl-93.geo.kaspersky.com
- 0.0.0.0 dnl-94.geo.kaspersky.com
- 0.0.0.0 dnl-95.geo.kaspersky.com
- 0.0.0.0 dnl-96.geo.kaspersky.com
- 0.0.0.0 dnl-97.geo.kaspersky.com
- 0.0.0.0 dnl-98.geo.kaspersky.com
- 0.0.0.0 dnl-99.geo.kaspersky.com
- 0.0.0.0 www.z-oleg.com
- #
- # danilOFF
- #
- 0.0.0.0 drweb.com
- 0.0.0.0 www.drweb.com
- 0.0.0.0 freedrweb.com
- 0.0.0.0 www.freedrweb.com
- 0.0.0.0 windowsupdate.microsoft.com
- 0.0.0.0 lavasoftusa.com
- 0.0.0.0 www.lavasoftusa.com
- 0.0.0.0 lavasoftusa.de
- 0.0.0.0 www.lavasoftusa.de
- 0.0.0.0 diamondcs.com.au
- 0.0.0.0 shop.ca.com
- 0.0.0.0 downloads.my-etrust.com
- 0.0.0.0 v4.windowsupdate.microsoft.com
- 0.0.0.0 v5.windowsupdate.microsoft.com
- 0.0.0.0 noadware.net
- 0.0.0.0 www.noadware.net
- 0.0.0.0 zonelabs.com
- 0.0.0.0 www.zonelabs.com
- 0.0.0.0 moosoft.com
- 0.0.0.0 www.moosoft.com
- 0.0.0.0 secuser.model-fx.com
- 0.0.0.0 pccreg.antivirus.com
- 0.0.0.0 k-otik.com
- 0.0.0.0 vupen.com
- 0.0.0.0 www.vupen.com
- 0.0.0.0 housecall.trendmicro.com
- 0.0.0.0 trendmicro.com
- 0.0.0.0 www.trendmicro.com
- 0.0.0.0 us.trendmicro.com
- 0.0.0.0 uk.trendmicro.com
- 0.0.0.0 de.trendmicro.com
- 0.0.0.0 fr.trendmicro.com
- 0.0.0.0 es.trendmicro.com
- 0.0.0.0 it.trendmicro.com
- 0.0.0.0 br.trendmicro.com
- 0.0.0.0 antivirus.cai.com
- 0.0.0.0 sophos.com
- 0.0.0.0 www.sophos.com
- 0.0.0.0 securitoo.com
- 0.0.0.0 nordnet.com
- 0.0.0.0 www.nordnet.com
- 0.0.0.0 avgfrance.com
- 0.0.0.0 www.avgfrance.com
- 0.0.0.0 antivirus-online.de
- 0.0.0.0 www.antivirus-online.de
- 0.0.0.0 ftp.esafe.com
- 0.0.0.0 ftp.microworldsystems.com
- 0.0.0.0 ftp.ca.co
- 0.0.0.0 files.trendmicro-europe.com
- 0.0.0.0 inline-software.de
- 0.0.0.0 ravantivirus.com
- 0.0.0.0 www.ravantivirus.com
- 0.0.0.0 f-prot.com
- 0.0.0.0 www.f-prot.com
- 0.0.0.0 files.f-prot.com
- 0.0.0.0 secure.f-prot.com
- 0.0.0.0 vsantivirus.com
- 0.0.0.0 www.vsantivirus.com
- 0.0.0.0 openantivirus.org
- 0.0.0.0 www.openantivirus.org
- 0.0.0.0 www3.ca.com
- 0.0.0.0 dialognauka.ru
- 0.0.0.0 www.dialognauka.ru
- 0.0.0.0 anti-virus-software-review.com
- 0.0.0.0 www.anti-virus-software-review.com
- 0.0.0.0 www.vet.com.au
- 0.0.0.0 antiviraldp.com
- 0.0.0.0 www.antiviraldp.com
- 0.0.0.0 www.proantivirus.com
- 0.0.0.0 pestpatrol.com
- 0.0.0.0 www.pestpatrol.com
- 0.0.0.0 simplysup.com
- 0.0.0.0 www.simplysup.com
- 0.0.0.0 misec.net
- 0.0.0.0 www.misec.net
- 0.0.0.0 www1.my-etrust.com
- 0.0.0.0 authentium.com
- 0.0.0.0 www.authentium.com
- 0.0.0.0 finjan.com
- 0.0.0.0 www.finjan.com
- 0.0.0.0 www.ikarus-software.at
- 0.0.0.0 www.ika-rus.com
- 0.0.0.0 ika-rus.com
- 0.0.0.0 tinysoftware.com
- 0.0.0.0 www.tinysoftware.com
- 0.0.0.0 visualizesoftware.com
- 0.0.0.0 www.visualizesoftware.com
- 0.0.0.0 kerio.com
- 0.0.0.0 www.kerio.com
- 0.0.0.0 www.kerio.eu
- 0.0.0.0 www.zonelabs.com
- 0.0.0.0 zonelog.co.uk
- 0.0.0.0 www.zonelog.co.uk
- 0.0.0.0 webroot.com
- 0.0.0.0 www.webroot.com
- 0.0.0.0 www.lavasoft.nu
- 0.0.0.0 spywareguide.com
- 0.0.0.0 www.spywareguide.com
- 0.0.0.0 spyblocker-software.com
- 0.0.0.0 www.spyblocker-software.com
- #
- 0.0.0.0 www.spamhaus.org
- 0.0.0.0 spamcop.net
- 0.0.0.0 www.spamcop.net
- 0.0.0.0 bobbear.co.uk
- 0.0.0.0 www.bobbear.co.uk
- 0.0.0.0 domaintools.com
- 0.0.0.0 www.domaintools.com
- 0.0.0.0 centralops.net
- 0.0.0.0 www.centralops.net
- 0.0.0.0 www.robtex.com
- 0.0.0.0 dnsstuff.com
- 0.0.0.0 www.dnsstuff.com
- 0.0.0.0 ripe.net
- 0.0.0.0 www.ripe.net
- 0.0.0.0 www.met.police.uk
- 0.0.0.0 nbi.gov.ph
- 0.0.0.0 www.nbi.gov.ph
- 0.0.0.0 www.police.gov.hk
- 0.0.0.0 treasury.gov
- 0.0.0.0 www.treasury.gov
- 0.0.0.0 cybercrime.gov
- 0.0.0.0 www.cybercrime.gov
- 0.0.0.0 www.cybercrime.ch
- 0.0.0.0 enisa.europa.eu
- 0.0.0.0 www.enisa.europa.eu
- 0.0.0.0 www.interpol.int
- 0.0.0.0 www.fsa.gov.uk
- 0.0.0.0 www.companies-house.gov.uk
- 0.0.0.0 fraudaid.com
- 0.0.0.0 www.fraudaid.com
- 0.0.0.0 scambusters.org
- 0.0.0.0 www.scambusters.org
- 0.0.0.0 spamtrackers.eu
- 0.0.0.0 www.spamtrackers.eu
- 0.0.0.0 89.202.149.36
- 0.0.0.0 89.202.157.227
- #
- 0.0.0.0 drweb.com.ua
- 0.0.0.0 www.drweb.com.ua
- 0.0.0.0 drweb.ru
- 0.0.0.0 www.drweb.ru
- 0.0.0.0 av-desk.com
- 0.0.0.0 www.av-desk.com
- 0.0.0.0 drweb.net
- 0.0.0.0 www.drweb.net
- 0.0.0.0 ftp.drweb.com
- 0.0.0.0 dr-web.ru
- 0.0.0.0 www.dr-web.ru
- 0.0.0.0 download.drweb.com
- 0.0.0.0 support.drweb.com
- 0.0.0.0 updates.sald.com
- 0.0.0.0 sald.com
- 0.0.0.0 www.sald.com
- 0.0.0.0 drweb.imshop.de
- #
- # Symantec
- #
- 0.0.0.0 safeweb.norton.com
- 0.0.0.0 www.safeweb.norton.com
- 0.0.0.0 www.symantec.com
- 0.0.0.0 shop.symantecstore.com
- 0.0.0.0 liveupdate.symantec.com
- 0.0.0.0 liveupdate.symantecliveupdate.com
- 0.0.0.0 service1.symantec.com
- 0.0.0.0 www.service1.symantec.com
- 0.0.0.0 security.symantec.com
- 0.0.0.0 liveupdate.symantec.d4p.net
- 0.0.0.0 securityresponse.symantec.com
- 0.0.0.0 sygate.com
- 0.0.0.0 www.sygate.com
- #
- # Eset NOD32
- #
- 0.0.0.0 esetnod32.ru
- 0.0.0.0 www.esetnod32.ru
- 0.0.0.0 eset.com
- 0.0.0.0 www.eset.com
- 0.0.0.0 eset.com.ua
- 0.0.0.0 www.eset.com.ua
- 0.0.0.0 nod32.com.ua
- 0.0.0.0 www.nod32.com.ua
- 0.0.0.0 download.eset.com
- 0.0.0.0 update.eset.com
- 0.0.0.0 eset.eu
- 0.0.0.0 www.eset.eu
- 0.0.0.0 nod32.it
- 0.0.0.0 www.nod32.it
- 0.0.0.0 nod32.su
- 0.0.0.0 www.nod32.su
- 0.0.0.0 nod-32.ru
- 0.0.0.0 www.nod-32.ru
- 0.0.0.0 allnod.com
- 0.0.0.0 www.allnod.com
- 0.0.0.0 allnod.info
- 0.0.0.0 www.allnod.info
- 0.0.0.0 virusall.ru
- 0.0.0.0 www.virusall.ru
- 0.0.0.0 nod32eset.org
- 0.0.0.0 www.nod32eset.org
- 0.0.0.0 eset.sk
- 0.0.0.0 www.eset.sk
- 0.0.0.0 nod32.nl
- 0.0.0.0 www.nod32.nl
- #
- # antivir
- #
- 0.0.0.0 dl1.antivir.de
- 0.0.0.0 dl2.antivir.de
- 0.0.0.0 dl3.antivir.de
- 0.0.0.0 dl4.antivir.de
- 0.0.0.0 free-av.com
- 0.0.0.0 www.free-av.com
- 0.0.0.0 free-av.de
- 0.0.0.0 www.free-av.de
- 0.0.0.0 avira.com
- 0.0.0.0 www.avira.com
- 0.0.0.0 avira.de
- 0.0.0.0 www.avira.de
- 0.0.0.0 www1.avira.com
- 0.0.0.0 dlpro.antivir.com
- 0.0.0.0 forum.avira.com
- 0.0.0.0 www.forum.avira.com
- 0.0.0.0 avirus.ru
- 0.0.0.0 www.avirus.ru
- 0.0.0.0 avira-antivir.ru
- 0.0.0.0 www.avira-antivir.ru
- 0.0.0.0 avirus.com.ua
- 0.0.0.0 www.avirus.com.ua
- #
- # mcafee
- #
- 0.0.0.0 mcafee.com
- 0.0.0.0 www.mcafee.com
- 0.0.0.0 home.mcafee.com
- 0.0.0.0 us.mcafee.com
- 0.0.0.0 ru.mcafee.com
- 0.0.0.0 de.mcafee.com
- 0.0.0.0 ca.mcafee.com
- 0.0.0.0 fr.mcafee.com
- 0.0.0.0 es.mcafee.com
- 0.0.0.0 it.mcafee.com
- 0.0.0.0 uk.mcafee.com
- 0.0.0.0 mx.mcafee.com
- 0.0.0.0 ru.mcafee.com
- 0.0.0.0 mcafee-online.com
- 0.0.0.0 www.mcafee-online.com
- 0.0.0.0 mcafeesecurity.com
- 0.0.0.0 www.mcafeesecurity.com
- 0.0.0.0 mcafeesecure.com
- 0.0.0.0 www.mcafeesecure.com
- 0.0.0.0 avertlabs.com
- 0.0.0.0 www.avertlabs.com
- 0.0.0.0 download.nai.com
- 0.0.0.0 nai.com
- 0.0.0.0 www.nai.com
- 0.0.0.0 secure.nai.com
- 0.0.0.0 eu.shopmcafee.com
- 0.0.0.0 shop.mcafee.com
- 0.0.0.0 siblog.mcafee.com
- 0.0.0.0 mcafeestore.com
- 0.0.0.0 www.mcafeestore.com
- 0.0.0.0 service.mcafee.com
- 0.0.0.0 siteadvisor.com
- 0.0.0.0 www.siteadvisor.com
- 0.0.0.0 scanalert.com
- 0.0.0.0 www.drsolomon.com
- 0.0.0.0 mcafee-at-home.com
- 0.0.0.0 wwww.mcafee-at-home.com
- 0.0.0.0 networkassociates.com
- 0.0.0.0 www.networkassociates.com
- #
- # Avast
- #
- 0.0.0.0 avast.ru
- 0.0.0.0 www.avast.ru
- 0.0.0.0 avast.com
- 0.0.0.0 www.avast.com
- 0.0.0.0 onlinescan.avast.com
- 0.0.0.0 download1.avast.com
- 0.0.0.0 download2.avast.com
- 0.0.0.0 download3.avast.com
- 0.0.0.0 download4.avast.com
- 0.0.0.0 download5.avast.com
- 0.0.0.0 download6.avast.com
- 0.0.0.0 download7.avast.com
- #
- # AVG
- #
- 0.0.0.0 free.avg.com
- 0.0.0.0 avg.com
- 0.0.0.0 www.avg.com
- 0.0.0.0 sshop.avg.com
- 0.0.0.0 www.grisoft.cz
- 0.0.0.0 www.grisoft.com
- 0.0.0.0 free.grisoft.com
- #
- # Bitdefender
- #
- 0.0.0.0 bitdefender.com
- 0.0.0.0 www.bitdefender.com
- 0.0.0.0 bitdefender.de
- 0.0.0.0 www.bitdefender.de
- 0.0.0.0 bitdefender.com.ua
- 0.0.0.0 www.bitdefender.com.ua
- 0.0.0.0 bitdefender.ru
- 0.0.0.0 www.bitdefender.ru
- 0.0.0.0 myaccount.bitdefender.com
- 0.0.0.0 download.bitdefender.com
- 0.0.0.0 ftp.bitdefender.com
- 0.0.0.0 forum.bitdefender.com
- 0.0.0.0 upgrade.bitdefender.com
- #
- # Agnitum
- #
- 0.0.0.0 agnitum.ru
- 0.0.0.0 www.agnitum.ru
- 0.0.0.0 agnitum.com
- 0.0.0.0 www.agnitum.com
- 0.0.0.0 agnitum.de
- 0.0.0.0 www.agnitum.de
- 0.0.0.0 outpostfirewall.com
- 0.0.0.0 www.outpostfirewall.com
- 0.0.0.0 dl1.agnitum.com
- 0.0.0.0 dl2.agnitum.com
- #
- # Comodo
- #
- 0.0.0.0 antivirus.comodo.com
- 0.0.0.0 comodo.com
- 0.0.0.0 www.comodo.com
- 0.0.0.0 forums.comodo.com
- 0.0.0.0 comodogroup.com
- 0.0.0.0 www.comodogroup.com
- 0.0.0.0 personalfirewall.comodo.com
- 0.0.0.0 www.personalfirewall.comodo.com
- 0.0.0.0 hackerguardian.com
- 0.0.0.0 www.hackerguardian.com
- 0.0.0.0 www.nsclean.com
- 0.0.0.0 nsclean.com
- #
- # ClamAv
- #
- 0.0.0.0 clamav.net
- 0.0.0.0 www.clamav.net
- 0.0.0.0 db.local.clamav.net
- 0.0.0.0 clamsupport.sourcefire.com
- 0.0.0.0 lurker.clamav.net
- 0.0.0.0 wiki.clamav.net
- 0.0.0.0 w32.clamav.net
- 0.0.0.0 lists.clamav.net
- 0.0.0.0 clamwin.com
- 0.0.0.0 www.clamwin.com
- 0.0.0.0 ru.clamwin.com
- 0.0.0.0 gietl.com
- 0.0.0.0 www.gietl.com
- 0.0.0.0 clamav.dyndns.org
- #
- # F-Secure
- #
- 0.0.0.0 f-secure.com
- 0.0.0.0 www.f-secure.com
- 0.0.0.0 support.f-secure.com
- 0.0.0.0 f-secure.ru
- 0.0.0.0 www.f-secure.ru
- 0.0.0.0 ftp.f-secure.com
- 0.0.0.0 europe.f-secure.com
- 0.0.0.0 www.europe.f-secure.com
- 0.0.0.0 f-secure.de
- 0.0.0.0 www.f-secure.de
- 0.0.0.0 support.f-secure.de
- 0.0.0.0 ftp.f-secure.de
- 0.0.0.0 f-secure.co.uk
- 0.0.0.0 www.f-secure.co.uk
- 0.0.0.0 retail.sp.f-secure.com
- 0.0.0.0 retail01.sp.f-secure.com
- 0.0.0.0 retail02.sp.f-secure.com
- 0.0.0.0 ftp.europe.f-secure.com
- #
- # Norman
- #
- 0.0.0.0 norman.com
- 0.0.0.0 www.norman.com
- 0.0.0.0 download.norman.no
- 0.0.0.0 sandbox.norman.no
- 0.0.0.0 norman.no
- 0.0.0.0 www.norman.no
- 0.0.0.0 niuone.norman.no
- #
- # Panda
- #
- 0.0.0.0 pandasecurity.com
- 0.0.0.0 www.pandasecurity.com
- 0.0.0.0 viruslab.ru
- 0.0.0.0 www.viruslab.ru
- 0.0.0.0 pandasoftware.com
- 0.0.0.0 www.pandasoftware.com
- 0.0.0.0 acs.pandasoftware.com
- 0.0.0.0 www.pandasoftware.es
- #
- # VBA32
- #
- 0.0.0.0 anti-virus.by
- 0.0.0.0 www.anti-virus.by
- 0.0.0.0 virusblokada.ru
- 0.0.0.0 www.virusblokada.ru
- 0.0.0.0 vba32.de
- 0.0.0.0 www.vba32.de
- #
- 0.0.0.0 ftp.nai.com
- 0.0.0.0 secuser.com
- 0.0.0.0 www.secuser.com
- 0.0.0.0 tds.diamondcs.com.au
SOLUTION
Step 1
Before doing any scans, Windows XP, Windows Vista, and Windows 7 users must disable System Restore to allow full scanning of their computers.
Step 2
Identify and delete files detected as TROJ_SCAR.SSC using either the Startup Disk or Recovery Console
Step 3
Restore these modified registry values
Important:Editing the Windows Registry incorrectly can lead to irreversible system malfunction. Please do this only if you know how to or you can seek your system administrator's help. You may also check out this Microsoft article first before modifying your computer's registry.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Userinit = "%System%\userinit.exe,\\?\globalroot\systemroot\system32\{random}.exe,C:\WINDOWS\system32\services.exe,"
To: Userinit = "%System%\userinit.exe,"
- From: Userinit = "%System%\userinit.exe,\\?\globalroot\systemroot\system32\{random}.exe,C:\WINDOWS\system32\services.exe,"
Step 4
Remove these strings added by the malware/grayware/spyware in the HOSTS file
Step 5
Search and delete these folders
Step 6
Scan your computer with your Trend Micro product to delete files detected as TROJ_SCAR.SSC. If the detected files have already been cleaned, deleted, or quarantined by your Trend Micro product, no further step is required. You may opt to simply delete the quarantined files. Please check this Knowledge Base page for more information.
Did this description help? Tell us how we did.