Při spuštění Trojan, zkopíruje se do následujícího umístění:
% USERPROFILE% \ Application Data \ itunes_service01.exe Dále Trojan vytvoří následující položky registru tak, že spustí vždy, když se spustí systém Windows:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "[náhodné znaky]" = "% USERPROFILE% \ Application Data \ itunes_service01.exe"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ {Bj9oGoDo-wn3q-TS4w-kuRv-OWYzmoDRGxZa} \ "[náhodné znaky]" = "\"% USERPROFILE% \ Data aplikací \ itunes_service01.exe \ "/ ActiveX"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Userinit" = "% USERPROFILE% \ Application Data \ itunes_service01.exe C: \ WINDOWS \ System32 \ Userinit.exe,"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Shell" = "% USERPROFILE% \ Application Data \ itunes_service01.exe"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "[náhodné znaky]" = "% USERPROFILE% \ Application Data \ itunes_service01.exe"
Mění také následující položky registru tak, že spustí vždy, když se spustí systém Windows:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Userinit" = "% USERPROFILE% \ Application Data \ itunes_service01.exe C: \ WINDOWS \ System32 \ Userinit.exe,"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Shell" = "% USERPROFILE% \ Application Data \ itunes_service01.exe"
Dále Trojan vytváří následující položky registru s cílem zakázat Správce úloh systému Windows, Windows Registry Editor a ploše:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableTaskMgr" = "1"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableRegistryTools" = "1"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoDesktop" = "1"
Trojský kůň poté upraví následující položku registru skrytí ikon:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ "HideIcons" = "1" Mění také následující položky registru:
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 3 \ "1400" = "0"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 1 \ "1400" = "0"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 0 \ "1400" = "0"
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Connections \ "DefaultConnectionSettings"
Další, Trojan kontakty následující URL a soubory ke stažení HTML stránka, která obsahuje informace o výkupné:
- [Http://] joonwalker.com/unser1/redirector/redirec [ODSTRANIT]
- [Http://] joonwalker.com/unser1/universalpanel/gate [ODSTRANIT]
Stránka se zobrazí podrobnosti o výkupné a nabízí cestu k uživateli zadat odblokovací kód, který lze získat po zaplacení výkupného.
Žádné komentáře:
Okomentovat