úterý 6. března 2012

Trojan-Ransom.Win32.PornoBlocker.amq


Technické detaily

Tento trojský kůň zakáže stroj s cílem získat výkupné za znovu aktivovat. Je to aplikace Windows (PE EXE soubor). To je 179 200 bytů. To je zabalena pomocí UPX. Vybaleno souboru je přibližně 416 KB ve velikosti. To je psáno v Delphi.

Instalace

Aby bylo zajištěno, že jeho původní soubor se spustí automaticky při každém restartu systému, Trojan vytvoří následující klíč registru systému:
[HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"Shell" = "<complete cesta k původnímu Trojan <soubor_obsahující_index>"
Tímto způsobem Trojan bude zahájen procesu "winlogon.exe", i když počítač naběhne v nouzovém režimu.
Skryté a systémové atributy jsou přiřazeny k původnímu souboru Trojan.

Užitečná

Jakmile trh, Trojan provede následující akce:
  • Chcete-li nahlásit svou přítomnost v systému, vytvoří následující klíče systémového registru:
    [HKLM \ Software \ Microsoft \ Outlook Express]
"Pri" = "200"
"Galo" = "1079837778"
"Num" = "790 *** 34286"
  • Zastaví Správce úloh z zahajuje tím, že vytvoří následující klíč registru:
    [HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"DisableTaskMgr" = "1"
  • Odstraní se těchto odvětví systému registru:
    [HKLM \ System \ CurrentControlSet \ Control \ SafeBoot]
"Síť"
"Minimální"
    Následující pobočky jsou vytvořeny na jejich místě:
    [HKLM \ System \ CurrentControlSet \ Control \ SafeBoot]
"Network_"
"Minimal_"
    Obsahují vložené větve, které mají stejné názvy, ale mají prázdné výchozí hodnoty klíčové. Tímto způsobem Trojan brání systém před nastartoval v nouzovém režimu. BSoD se objeví, když se uživatel pokusí spustit počítač v nouzovém režimu.
  • To otevře následující stránky ve výchozím prohlížeči:
    http://po *** ogay.ru
  • Trvá snímek ploše uživatele se všemi okna otevřena v systému a uloží to do souboru:
    WorkDir%% \ Screen.jpg
  • To otevře okno přes vrchol všech ostatních oken a pokrývající celou plochu, z toho zobrazeny dříve vytvořený screenshot. Přes horní části tohoto okna se vytvoří okno se zprávou:
    Vstup se aktivuje do tohoto okna za sekundu. V důsledku toho se všechny uživatelské aktivity s výjimkou vstupu odblokování kódu blokováno na infikovaném počítači.
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)