10 августа 2011 г.

Trojan-Ransom.Win32.PornoAsset.hg




Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 15360 КБ. Написана на С++.

Инсталляция

Создает копии своего оригинального файла под следующими именами:
%AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
%AllUsersAppData%\.exe
Где - последовательность из 11 букв латинского алфавита и цифр, например "U9pFUapFVaq".
В зависимости от версии операционной системы может создавать копию своего файла с именами:
%WinDir%\explorer.exe
%System%\dllcache\explorer.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"Shell" = "%AllUsersAppData%\22cc6c32.exe"

Деструктивная активность

Для перезаписи системных файлов при создании копий своего файла вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию с целью временного отключения WFP (Windows File Protection).
Также троянец создает копии системных файлов:
  1. файл
    %System%\userinit.exe
    сохраняет с именем:
    %System%\03014D3F.exe
  2. файл
    %WinDir%\explorer.exe
    сохраняет с именем:
    %WinDir%\7C3B2A7D.exe
Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:
BFFF5675-ADC0-4740-81FF-7540597A0DC5
При этом номер телефона выбирается случайным образом из следующих:
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-99-**
8-981-753-99-**
8-981-753-99-**
8-981-757-48-**
8-981-759-87-**

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  1. Поскольку данный троянец не имеет кодов разблокировки, загрузить Windows с Live CD или подключить жесткий диск к другому компьютеру и выполнить нижеуказанные действия.
  2. Удалить файлы:
    %AllUsersAppData%\22cc6c32.exe  
%System%\taskmgr.exe  
%System%\dllcache\taskmgr.exe  
%System%\userinit.exe  
%System%\dllcache\userinit.exe  
%AllUsersAppData%\<rnd>.exe
  3. Переименовать:
    Файл
    %System%\03014D3F.exe
    переименовать в файл:
    %System%\userinit.exe
    Файл %WinDir%\7C3B2A7D.exe
    переименовать в файл:
    %WinDir%\explorer.exe
    4. 

  4. Восстановить файл:
    %System%\taskmgr.exe
    5. 

  5. Установить следующее значение для параметра ключа системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\  CurrentVersion\Winlogon]  
"Shell" = "explorer.exe" 
    6. 










на























Ярлыки:
,
,

















Комментариев нет:















Отправить комментарий






















        

      









Подписаться на:
Комментарии к сообщению (Atom)