středa 16. května 2012

Trojan.Ransomlock.N

Trojan.Ransomlock.N je trojský kůň, který uzamkne na plochu dělat počítač nepoužitelný. To pak vyzve uživatele platit si to odemknout. 
Při spuštění Trojan, zkopíruje se do následujícího umístění: 
% USERPROFILE% \ Application Data \ itunes_service01.exe Dále Trojan vytvoří následující položky registru tak, že spustí vždy, když se spustí systém Windows: 


  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "[náhodné znaky]" = "% USERPROFILE% \ Application Data \ itunes_service01.exe"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ {Bj9oGoDo-wn3q-TS4w-kuRv-OWYzmoDRGxZa} \ "[náhodné znaky]" = "\"% USERPROFILE% \ Data aplikací \ itunes_service01.exe \ "/ ActiveX"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Userinit" = "% USERPROFILE% \ Application Data \ itunes_service01.exe C: \ WINDOWS \ System32 \ Userinit.exe,"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Shell" = "% USERPROFILE% \ Application Data \ itunes_service01.exe"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "[náhodné znaky]" = "% USERPROFILE% \ Application Data \ itunes_service01.exe"

Mění také následující položky registru tak, že spustí vždy, když se spustí systém Windows:
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Userinit" = "% USERPROFILE% \ Application Data \ itunes_service01.exe C: \ WINDOWS \ System32 \ Userinit.exe,"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Shell" = "% USERPROFILE% \ Application Data \ itunes_service01.exe"

Dále Trojan vytváří následující položky registru s cílem zakázat Správce úloh systému Windows, Windows Registry Editor a ploše:
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableTaskMgr" = "1"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableRegistryTools" = "1"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoDesktop" = "1"

Trojský kůň poté upraví následující položku registru skrytí ikon:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ "HideIcons" = "1" Mění také následující položky registru:


  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 3 \ "1400" = "0"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 1 \ "1400" = "0"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 0 \ "1400" = "0"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Connections \ "DefaultConnectionSettings"

Další, Trojan kontakty následující URL a soubory ke stažení HTML stránka, která obsahuje informace o výkupné:
  • [Http://] joonwalker.com/unser1/redirector/redirec [ODSTRANIT]
  • [Http://] joonwalker.com/unser1/universalpanel/gate [ODSTRANIT]

Stránka se zobrazí podrobnosti o výkupné a nabízí cestu k uživateli zadat odblokovací kód, který lze získat po zaplacení výkupného.
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)