Technické detaily
Tento trojský kůň zastaví počítač z fungování s cílem získat výkupné pro jeho obnovení. Je to aplikace Windows (PE EXE soubor). To je 46 080 bytů. To je psáno v Delphi.
Instalace
Aby bylo zajištěno, že se spustí automaticky při každém restartování systému, Trojan přidá odkaz na své spustitelného souboru v klíči registru systému automatického spuštění:
[HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"Shell" = "<cesta k původní Trojan soubor <"
Užitečná
Tento Trojan přiřadí "skrytý" a "systém" atributy jeho spis. To pak provede následující akce:
- Dodává tyto údaje do klíče systémového registru:
[HKLM \ Software \ Microsoft \ Outlook Express] "Palo" = "<rnd1>" "Num" = "<rnd2>"<rnd1> kde je aktuální datum a čas v zašifrované podobě, která se skládá z 10 číslic, například: "1092554318"<rnd2> je číslo naplnit účet, zobrazí uživateli. To je náhodně vybrané ze seznamu:896 *** 29451 898 *** 36548 898 *** 36585 898 *** 32746 898 *** 36591 898 *** 36528 - To zakáže Správce úloh systému Windows tím, že vytvoří následující systémové klíče registru:
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] "DisableTaskMgr" = "1" - Trojan se zobrazí jeho okno a v nekonečném cyklu umístí vstupní fokus v tomto okně:
V nekonečném cyklu rovněž získá aktuální čas a odpovídá to proti klíče systémového registru hodnoty:
[HKLM \ Software \ Microsoft \ Outlook Express]
"Palo" = "<rnd1>"
Tímto způsobem Trojan přestane běží 48 hodin od jeho prvního uvedení na trh.Odstranění návod
Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
- Zadat následující kód odblokování:
BENOLIMA1 - Vyprázdněte Temporary Internet Files adresáře:
% Temporary Internet Files%
Žádné komentáře:
Okomentovat