úterý 8. května 2012

Porno-Tool.Win32.StripDance.d


Technické detaily

Tento malware se zobrazí obsah pro dospělé videoklipy. Je to Windows dynamická knihovna (PE soubor DLL). To je 1 959 592 bytů. Je napsán v C + +.

Užitečná

Tento škodlivý knihovna je načten do adresového prostoru určitého procesu. Malware je hlavní funkce se spustí, když se nazývá "StartProgram" funkce vyváženého knihovny. Následující klávesy systémového registru jsou pak vytvořeny:
[HKLM \ Software \ pchd]
"DataVolume" = "C: \"
"Lang" = "0"
"Date" = "<number>"
<number> kde je číslo, vytvořený pomocí speciálního algoritmu, který používá aktuální systémové datum.
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"PCHDPlayer" = "<number>"
kde <cesta> je úplná cesta k spustitelnému souboru procesu, ve kterém škodlivý knihovna adresový prostor byl načten. Tímto způsobem bude spustitelný soubor tohoto procesu se automaticky spustí při každém restartu systému. Následující klíčové hodnoty jsou také upravené:
[HKCU \ Software \ Microsoft \ Internet Explorer \ Main]
"Default_Page_URL" = "http://w *** lta.ru"
"Default_Search_URL" = "http://w *** lta.ru / Poisk"
"Hledat Bar" = "http://w *** lta.ru / Poisk"
"Vyhledávací stránka" = "http://w *** lta.ru / Poisk"

[HKCU \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant" = "http://w *** lta.ru / Poisk"

[HKLM \ Software \ Microsoft \ Internet Explorer \ Main]
"Start Page" = "http://w *** lta.ru"
"Default_Page_URL" = "http://w *** lta.ru"
"Default_Search_URL" = "http://w *** lta.ru / Poisk"
"Hledat Bar" = "http://w *** lta.ru / Poisk"
"Vyhledávací stránka" = "http://w *** lta.ru / Poisk"

[HKLM \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant" = "http://w *** lta.ru / Poisk"

[HKU \. Default \ Software \ Microsoft \ Internet Explorer \ Main]
"Start Page" = "http://w *** lta.ru"
"Default_Page_URL" = "http://w *** lta.ru"
"Default_Search_URL" = "http://w *** lta.ru / Poisk"
"Hledat Bar" = "http://w *** lta.ru / Poisk"
"Vyhledávací stránka" = "http://w *** lta.ru / Poisk"

[HKU \. Default \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant" = "http://w *** lta.ru / Poisk"

[HKU \ S-1-5-19 \ Software \ Microsoft \ Internet Explorer \ Main]
"Start Page" = "http://w *** lta.ru"
"Default_Page_URL" = "http://w *** lta.ru"
"Default_Search_URL" = "http://w *** lta.ru / Poisk"
"Hledat Bar" = "http://w *** lta.ru / Poisk"
"Vyhledávací stránka" = "http://w *** lta.ru / Poisk"

[HKU \ S-1-5-19 \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant" = "http://w *** lta.ru / Poisk"

[HKU \ S-1-5-19_CLASSES \ Software \ Microsoft \ Internet Explorer \ Main]
"Start Page" = "http://w *** lta.ru"
"Default_Page_URL" = "http://w *** lta.ru"
"Default_Search_URL" = "http://w *** lta.ru / Poisk"
"Hledat Bar" = "http://w *** lta.ru / Poisk"
"Vyhledávací stránka" = "http://w *** lta.ru / Poisk"

[HKU \ S-1-5-19_CLASSES \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant" = "http://w *** lta.ru / Poisk"

[HKU \ S-1-5-20 \ Software \ Microsoft \ Internet Explorer \ Main]
"Start Page" = "http://w *** lta.ru"
"Default_Page_URL" = "http://w *** lta.ru"
"Default_Search_URL" = "http://w *** lta.ru / Poisk"
"Hledat Bar" = "http://w *** lta.ru / Poisk"
"Vyhledávací stránka" = "http://w *** lta.ru / Poisk"

[HKU \ S-1-5-20 \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant" = "http://w *** lta.ru / Poisk"

[HKU \ S-1-5-20_CLASSES \ Software \ Microsoft \ Internet Explorer \ Main]
"Start Page" = "http://w *** lta.ru"
"Default_Page_URL" = "http://w *** lta.ru"
"Default_Search_URL" = "http://w *** lta.ru / Poisk"
"Hledat Bar" = "http://w *** lta.ru / Poisk"
"Vyhledávací stránka" = "http://w *** lta.ru / Poisk"

[HKU \ S-1-5-20_CLASSES \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant" = "http://w *** lta.ru / Poisk"

[HKLM \ Software \ Classes \ Software \ Microsoft \ Internet Explorer \ Main]
"Start Page" = "http://w *** lta.ru"
"Default_Page_URL" = "http://w *** lta.ru"
"Default_Search_URL" = "http://w *** lta.ru / Poisk"
"Hledat Bar" = "http://w *** lta.ru / Poisk"
"Vyhledávací stránka" = "http://w *** lta.ru / Poisk"

[HKLM \ Software \ Classes \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant" = "http://w *** lta.ru / Poisk"
To upravuje nastavení aplikace Internet Explorer. Následující soubory jsou také vytvořeny:
% Appdata% \ defaults.cfg
C: \ pchd \ report.pcdat
Malware je operační protokoly jsou ukládány na tyto soubory:
C: \ pchd \ logs \. Log
Malware zobrazí následující zpráva:
Když uživatel klikne na tlačítko OK se zobrazí následující okna:
Následující klávesy systémového registru jsou vytvořeny:
[HKLM \ Software \ pchd]
"Přihlásit se" = "<number>"
"Chyba" = "<number>"
"Aktivní" = "1"
"ShowOptsTooltip" = "0"
<number> kde jsou sekvence hexadecimálních čísel.
Hlavní malware funkce je pak zahájen. Během svého působení malware zobrazí následující ikonu v oznamovací oblasti:
Malware zobrazuje obsah pro dospělé videoklipy na ploše, překrývající se všechna otevřená okna.Například:
Údaje, které se zobrazují v těchto klipů se stáhne z těchto zástupů:
94. *** .240.43
94. *** .240.44
ldst. *** o.ru
ks. *** o.ru
pix. *** o.ru
To je uložen v následujících adresářích:
C: \ pchd \ Download
C: \ pchd \ m <number>
Menu programu se nazývá pravým kliknutím myší na ikonu v oznamovací oblasti:
Kliknutím na mého kabinetu, všechny dívky, pomoc položky se otevře následující odkazy ve výchozím prohlížeči:
http:// *** o.ru / profile.php
http:// *** o.ru / all_girls.php
http:// *** o.ru / help.php
Kliknutím na položku Nabídka Nastavení programu se zobrazí následující konfigurační okno:
Je-li vybrána položka Exit, malware ukončí proces, který adresní prostor obsahuje tento malware knihovnu.

Odstranění návod

Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
  1. Ukončit proces, který adresní prostor obsahuje tento malware knihovnu.
  2. Odstranění původní škodlivý soubory umístění bude záviset na tom, jak program původně pronikl infikovaný počítač).
  3. Odstraňte následující klíče systémového registru (viz Co je to systémový registr a jak se používá? ):
    [HKLM \ Software \ pchd]
"DataVolume" = "C: \"
"Lang" = "0"
"Date" = "<number>"
"Přihlásit se" = "<number>"
"Chyba" = "<number>"
"Aktivní" = "1"
"ShowOptsTooltip" = "0"

[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
"PCHDPlayer" = "<cesta>"
  4. Obnovit původní systémové hodnoty klíčů registru v Co je to systémový registr a jak se používá? ):
    HKCU \ Software \ Microsoft \ Internet Explorer \ Main]
"Úvodní stránka" 
"Default_Page_URL" 
"Default_Search_URL"
"Hledat Bar" 
"Hledat stránka" 

[HKCU \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant"

[HKLM \ Software \ Microsoft \ Internet Explorer \ Main]
"Úvodní stránka" 
"Default_Page_URL" 
"Default_Search_URL"
"Hledat Bar" 
"Hledat stránka"

[HKLM \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant"

[HKU \. Default \ Software \ Microsoft \ Internet Explorer \ Main]
"Úvodní stránka" 
"Default_Page_URL" 
"Default_Search_URL"
"Hledat Bar" 
"Hledat stránka"

[HKU \. Default \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant"

[HKU \ S-1-5-19 \ Software \ Microsoft \ Internet Explorer \ Main]
"Úvodní stránka" 
"Default_Page_URL" 
"Default_Search_URL"
"Hledat Bar" 
"Hledat stránka"

[HKU \ S-1-5-19 \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant"

[HKU \ S-1-5-19_CLASSES \ Software \ Microsoft \ Internet Explorer \ Main]
"Úvodní stránka" 
"Default_Page_URL" 
"Default_Search_URL"
"Hledat Bar" 
"Hledat stránka"

[HKU \ S-1-5-19_CLASSES \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant"

[HKU \ S-1-5-20 \ Software \ Microsoft \ Internet Explorer \ Main]
"Úvodní stránka" 
"Default_Page_URL" 
"Default_Search_URL"
"Hledat Bar" 
"Hledat stránka"

[HKU \ S-1-5-20 \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant"

[HKU \ S-1-5-20_CLASSES \ Software \ Microsoft \ Internet Explorer \ Main]
"Úvodní stránka" 
"Default_Page_URL" 
"Default_Search_URL"
"Hledat Bar" 
"Hledat stránka"

[HKU \ S-1-5-20_CLASSES \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant"

[HKLM \ Software \ Classes \ Software \ Microsoft \ Internet Explorer \ Main]
"Úvodní stránka" 
"Default_Page_URL" 
"Default_Search_URL"
"Hledat Bar" 
"Hledat stránka"

[HKLM \ Software \ Classes \ Software \ Microsoft \ Internet Explorer \ Search]
"SearchAssistant"
  5. Odstraňte následující adresář a veškerý její obsah:
    C: \ pchd
  6. Odstraňte následující soubor:
    % Appdata% \ defaults.cfg
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)