středa 23. května 2012

Trojan:Win32/Ransom.EJ


Encyklopedický vstup
Aktualizováno: 27.února 2012  |  Publikováno: Srpen 12, 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace:
Definice: 1.127.470.0
Vydáno: 23.května 2012
Detekce původně vytvořeny:
Definice: 1.109.1725.0
Vydáno: 12.08.2011


Na této stránce



 

Shrnutí

Trojan:Win32/Ransom.EJ je členem Trojan:Win32/Ransomrodina - rodina trojských koní, které chytí kontrolu nad počítačem, ve kterém je instalován.Tento trojský kůň brání přístupu uživatelů k webovým stránkám zakrytím webový prohlížeč s určitou image. Obrázek se vztahuje na webové stránky obsahuje návod pro uživatele k odesláníSMS na prémiové číslo, aby se odstranily obraz a odemknout webový prohlížeč.


 

Příznaky

Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
  • Přítomnost těchto souborů:

    %AppData%\google\chrome\chrome.exe
    %AppData%\identities\<náhodný CLSID>\svghost.exe
    %AppData%\microsoft\dllhsts.exe
    %AppData%\mozilla\firefox\firefox.exe
    %Temp%\clean.bat
    %Temp%\r.bat 
    %Temp%\unlnk.bat
  • Přítomnost těchto úprav registru:

    V podklíč: HKCU\Software\Microsoft\Windows\Currentversion\Run
    Nastaví hodnotu: "Firefox helper"
    Vzhledem k objemu dat:%AppData%\mozilla\firefox\firefox.exe

    Nastaví hodnotu: "Chrome"
    Vzhledem k objemu dat:%AppData%\google\chrome\chrome.exe

    Nastavuje hodnotu: <náhodnéCLSID>
    Vzhledem k objemu dat:%AppData%\identities\<random CLSID>\svghost.exe
    Nastavuje hodnotu: <náhodnéCLSID
    Vzhledem k objemu dat:%AppData%\microsoft\dllhsts.exe


 

Technické informace (analýza)

Trojan:Win32/Ransom.EJ je členem Trojan:Win32/Ransomrodina - rodina trojských koní, které chytí kontrolu nad počítačem, ve kterém je instalován.Tento trojský kůň brání přístupu uživatelů k webovým stránkám zakrytím webový prohlížeč s určitou image. Obrázek se vztahuje na webové stránky obsahuje návod pro uživatele k odesláníSMS na prémiové číslo, aby se odstranily obraz a odemknout webový prohlížeč.
Instalace
Po provedení, Trojan:Win32/Ransom.EJ může klesnout kopii sebe sama jako následující:
  • %AppData%\mozilla\firefox\firefox.exe
  • %AppData%\google\chrome\chrome.exe
  • %AppData%\microsoft\dllhsts.exe
  • %AppData%\identities\<náhodný CLSID>\svghost.exe
Vytváří také následující položky registru tak, aby jeho kopie provádí na každém Windows start:
V podklíč: HKCU\Software\Microsoft\Windows\Currentversion\Run
Nastaví hodnotu: "Firefox helper"
Vzhledem k objemu dat:%AppData%\mozilla\firefox\firefox.exe
 
Nastaví hodnotu: "Chrome"
Vzhledem k objemu dat:%AppData%\google\chrome\chrome.exe
 
Nastavuje hodnotu: <náhodnéCLSID>
Vzhledem k objemu dat:%AppData%\identities\<random CLSID>\svghost.exe
Nastavuje hodnotu: <náhodnéCLSID
Vzhledem k objemu dat:%AppData%\microsoft\dllhsts.exe
V rámci své clean-up běžné, že vytvoří následující soubory odstranit / vymazat jeho kopie po jeho spuštění:
  • %Temp%\unlnk.bat
  • %Temp%\r.bat 
  • %Temp%\clean.bat
Užitečná
Kontakty vzdáleným strojům
Trojan:Win32/Ransom.EJ  kontakty následující vzdáleným strojům, které nemají vazbu na Microsoft:
  • security0301-microsoft<dot>com/index.php
  • security-3761-microsoft<dot>com/index.php
  • security-9976-microsoft<dot>com/index.php
  • security-3405-microsoft<dot>com/index.php
  • security-2374-microsoft<dot>com/index.php
  • security-4809-microsoft<dot>com/index.php
  • feyana.jino.ru
Trojan obdrží informace od výše uvedených webových stránkách o tom, co výkupné zpráva se zobrazí postiženým uživatelům.
Další informace
Trojan:Win32/Ransom.EJ  vytvoří následující mutexy, aby zajistily, že pouze jedna kopie malware běží na infikovaném počítači v nějaké jedné době:
  • CHROME-HLP-< Osm náhodně alfanumerických znaků >
  • SAF_{< náhodný CLSID >}
  • msInternetExplorer-< šest náhodných alfanumerických znaků >

Žádné komentáře:

Okomentovat