Trojan:Win32/Ransom.EJ

Encyklopedický vstup
Aktualizováno: 27.února 2012  |  Publikováno: Srpen 12, 2011 Přezdívky Není k dispozici Úroveň pohotovosti (?) Těžká 







Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.

Detekce poslední aktualizace: Definice: 1.127.470.0 Vydáno: 23.května 2012

Detekce původně vytvořeny: Definice: 1.109.1725.0 Vydáno: 12.08.2011

---

Na této stránce

Shrnutí záložky | Příznaky | Technické informace | Prevence | zotavení

---

 

Shrnutí

Trojan:Win32/Ransom.EJ je členem Trojan:Win32/Ransomrodina - rodina trojských koní, které chytí kontrolu nad počítačem, ve kterém je instalován.Tento trojský kůň brání přístupu uživatelů k webovým stránkám zakrytím webový prohlížeč s určitou image. Obrázek se vztahuje na webové stránky obsahuje návod pro uživatele k odesláníSMS na prémiové číslo, aby se odstranily obraz a odemknout webový prohlížeč.

Top

---

 

Příznaky

Systémové změny

Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:

• Přítomnost těchto souborů:
  
  %AppData%\google\chrome\chrome.exe
  %AppData%\identities\<náhodný CLSID>\svghost.exe
  %AppData%\microsoft\dllhsts.exe
  %AppData%\mozilla\firefox\firefox.exe
  %Temp%\clean.bat
  %Temp%\r.bat 
  %Temp%\unlnk.bat
  
• Přítomnost těchto úprav registru:
  
  
  V podklíč: HKCU\Software\Microsoft\Windows\Currentversion\Run
  Nastaví hodnotu: "Firefox helper"
  Vzhledem k objemu dat:%AppData%\mozilla\firefox\firefox.exe
  
  Nastaví hodnotu: "Chrome"
  Vzhledem k objemu dat:%AppData%\google\chrome\chrome.exe
  
  Nastavuje hodnotu: <náhodnéCLSID>
  Vzhledem k objemu dat:%AppData%\identities\<random CLSID>\svghost.exe
  Nastavuje hodnotu: <náhodnéCLSID> 
  Vzhledem k objemu dat:%AppData%\microsoft\dllhsts.exe

Top

---

 

Technické informace (analýza)

Trojan:Win32/Ransom.EJ je členem Trojan:Win32/Ransomrodina - rodina trojských koní, které chytí kontrolu nad počítačem, ve kterém je instalován.Tento trojský kůň brání přístupu uživatelů k webovým stránkám zakrytím webový prohlížeč s určitou image. Obrázek se vztahuje na webové stránky obsahuje návod pro uživatele k odesláníSMS na prémiové číslo, aby se odstranily obraz a odemknout webový prohlížeč.

Instalace

Po provedení, Trojan:Win32/Ransom.EJ může klesnout kopii sebe sama jako následující:

• %AppData%\mozilla\firefox\firefox.exe
• %AppData%\google\chrome\chrome.exe
• %AppData%\microsoft\dllhsts.exe
• %AppData%\identities\<náhodný CLSID>\svghost.exe

Vytváří také následující položky registru tak, aby jeho kopie provádí na každém Windows start:

V podklíč: HKCU\Software\Microsoft\Windows\Currentversion\Run
Nastaví hodnotu: "Firefox helper"
Vzhledem k objemu dat:%AppData%\mozilla\firefox\firefox.exe
 
Nastaví hodnotu: "Chrome"
Vzhledem k objemu dat:%AppData%\google\chrome\chrome.exe
 
Nastavuje hodnotu: <náhodnéCLSID>
Vzhledem k objemu dat:%AppData%\identities\<random CLSID>\svghost.exe

Nastavuje hodnotu: <náhodnéCLSID> 
Vzhledem k objemu dat:%AppData%\microsoft\dllhsts.exe

V rámci své clean-up běžné, že vytvoří následující soubory odstranit / vymazat jeho kopie po jeho spuštění:

• %Temp%\unlnk.bat
• %Temp%\r.bat 
• %Temp%\clean.bat

Užitečná

Kontakty vzdáleným strojům

Trojan:Win32/Ransom.EJ  kontakty následující vzdáleným strojům, které nemají vazbu na Microsoft:

• security0301-microsoft<dot>com/index.php
• security-3761-microsoft<dot>com/index.php
• security-9976-microsoft<dot>com/index.php
• security-3405-microsoft<dot>com/index.php
• security-2374-microsoft<dot>com/index.php
• security-4809-microsoft<dot>com/index.php
• feyana.jino.ru

Trojan obdrží informace od výše uvedených webových stránkách o tom, co výkupné zpráva se zobrazí postiženým uživatelům.

Další informace

Trojan:Win32/Ransom.EJ  vytvoří následující mutexy, aby zajistily, že pouze jedna kopie malware běží na infikovaném počítači v nějaké jedné době:

• CHROME-HLP-< Osm náhodně alfanumerických znaků >
• SAF_{< náhodný CLSID >}
• msInternetExplorer-< šest náhodných alfanumerických znaků >