čtvrtek 24. května 2012

Trojan.Ransomlock.P

Trojan.Ransomlock.P je trojský kůň, který uzamkne na plochu dělat počítač nepoužitelný. To pak vyzve uživatele platit si to odemknout.
 Při spuštění Trojan, vytvoří následující soubory: 
  • % System% \ [20 HEXADECIMA L ČÍSLO]. Exe
  • % TEMP% \ [10 náhodné znaky]. Předem
  • % TEMP% \ [10 náhodné znaky]. Předem
  • % USERPROFILE% \ Application Data \ [10 náhodné znaky] \ [20 HEXADECIMA L ČÍSLO]. Exe

Dále Trojan vytvoří následující položku registru tak, že spustí vždy, když startu Windows: 
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ "[] náhodné znaky" = "% USERPROFILE% \ Data aplikací \ [10 ​​náhodné znaky] \ [20 HEXADECIMA L ČÍSLO] exe ". Dále Trojan vytváří následující položky registru s cílem zakázat Správce úloh systému Windows Editor registru a systémové konfigurace: 


  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image Options File Execution \ msconfig.exe \ "Debugger" = "P9KDMF.EXE"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image Options File Execution \ regedit.exe \ "Debugger" = "P9KDMF.EXE"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image Options File Execution \ taskmgr.exe \ "Debugger" = "P9KDMF.EXE"

To pak upravuje tyto položky registru s cílem zakázat Správce úloh systému Windows a program Editor registru: 
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableRegedit" = "1"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableRegedit" = "1"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableRegistryTools" = "1"
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableTaskMgr" = "1"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableTaskMgr" = "1" 

To pak se odstraní následující položky registru s cílem zakázat nouzovém režimu: 
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ "alternateshell" = "cmd.exe"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ AppMgmt \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Base \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Boot Bus Extender \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Boot souborový systém \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ cryptsvc \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ DcomLaunch \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ EventLog \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ File system \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Filter \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ helpsvc \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Netlogon \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PCI Configuration \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PNP filtr \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PlugPlay \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ primární disk \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ RpcSs \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ SCSI Class \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ SRService \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ System Bus Extender \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WinMgmt \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmadmin \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmboot.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmio.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmload.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmserver \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ sermouse.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ sr.sys \ "(Výchozí)" = "FSFilter System Recovery"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Vga.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ vgasave.sys \ "(Výchozí)" = "Driver"
  • = "Řadiče sběrnice USB"
  • = "CD-ROM"
  • = "DiskDrive"
  • = "Standard floppy disk controller"
  • = "Hdc"
  • = "Klávesnice"
  • = "Myš"
  • = "PCMCIA adaptéry"
  • = "SCSIAdapter"
  • = "Systém"
  • = "FDD"
  • = "Volume"
  • = "Human Interface Devices"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ AFD \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ AppMgmt \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Base \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Boot Bus Extender \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Boot souborový systém \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Browser \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ cryptsvc \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ DcomLaunch \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Dhcp \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Dnscache \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ EventLog \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ File system \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Filter \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ helpsvc \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ LanmanServer \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ LanmanWorkstation \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Lmhosts \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Messenger \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NDIS Wrapper \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NDIS \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Ndisuio \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NetBIOSGroup \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NetBIOS \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NetBT \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NetDDEGroup \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NetMan \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Netlogon \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NetworkProvider \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Network \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ NtLmSsp \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ PCI Configuration \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ PNP filtr \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ PNP_TDI \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ PlugPlay \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ primární disk \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ RpcSs \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ SCSI Class \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ SRService \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ SharedAccess \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Streams Drivers \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ System Bus Extender \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ TDI \ "(Výchozí)" = "Driver skupina"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Tcpip \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ wzcsvc \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ WinMgmt \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ dmadmin \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ dmboot.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ dmio.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ dmload.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ dmserver \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ ip6fw.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Ipnat.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ rdpcdd.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ rdpdd.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Rdpwd.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ rdsessmgr \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ sermouse.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ sr.sys \ "(Výchozí)" = "FSFilter System Recovery"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ tdpipe.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ tdtcp.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ TermService \ "(Výchozí)" = "Služba"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Vga.sys \ "(Výchozí)" = "Driver"
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ vgasave.sys \ "(Výchozí)" = "Driver"
  • = "Řadiče sběrnice USB"
  • = "CD-ROM"
  • = "DiskDrive"
  • = "Standard floppy disk controller"
  • = "Hdc"
  • = "Klávesnice"
  • = "Myš"
  • = "Net"
  • = "NetClient"
  • = "Netservice"
  • = "NetTrans"
  • = "PCMCIA adaptéry"
  • = "SCSIAdapter"
  • = "Systém"
  • = "FDD"
  • = "Volume"
  • = "Human Interface Devices"

Další, Trojan kontakty následující URL a soubory ke stažení HTML stránka, která obsahuje informace o výkupné: 
[http://] ogutors-free.com / [ODSTRANIT] stránka se zobrazí podrobnosti o výkupné a nabízí způsob, jak pro uživatele k zadání odemknout kód, který lze získat po zaplacení výkupného. 



Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)