Показать сообщение отдельно

Re: Вирусы,их описания и способы борьбы с ними.
Старый 02.09.2011, 20:22   #3
I don't care if everything goes to ruin!
 
Аватар для Markiza

 
Регистрация: 18.02.2008
Адрес: КрК
Сообщений: 65 728

Markiza вне форума

Вирусы, их описания и способы борьбы с ними.


Trojan-Ransom.Win32.PornoAsset.hg

Технические детали

Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 15360 КБ. Написана на С++.
Инсталляция

Создает копии своего оригинального файла под следующими именами:

%AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
%AllUsersAppData%\.exe


Где - последовательность из 11 букв латинского алфавита и цифр, например "U9pFUapFVaq".

В зависимости от версии операционной системы может создавать копию своего файла с именами:

%WinDir%\explorer.exe
%System%\dllcache\explorer.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "%AllUsersAppData%\22cc6c32.exe"



Деструктивная активность

Для перезаписи системных файлов при создании копий своего файла вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию с целью временного отключения WFP (Windows File Protection).

Также троянец создает копии системных файлов:
1.файл

%System%\userinit.exe

сохраняет с именем:

%System%\03014D3F.exe
2. файл

%WinDir%\explorer.exe

сохраняет с именем:

%WinDir%\7C3B2A7D.exe

Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

BFFF5675-ADC0-4740-81FF-7540597A0DC5

При этом номер телефона выбирается случайным образом из следующих:

8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-98-**
8-981-753-99-**
8-981-753-99-**
8-981-753-99-**
8-981-757-48-**
8-981-759-87-**
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1.Поскольку данный троянец не имеет кодов разблокировки, загрузить Windows с Live CD или подключить жесткий диск к другому компьютеру и выполнить нижеуказанные действия.
2.Удалить файлы:
%AllUsersAppData%\22cc6c32.exe
%System%\taskmgr.exe
%System%\dllcache\taskmgr.exe
%System%\userinit.exe
%System%\dllcache\userinit.exe
%AllUsersAppData%\<rnd>.exe

3.Переименовать:
Файл
%System%\03014D3F.exe

переименовать в файл:

%System%\userinit.exe

Файл %WinDir%\7C3B2A7D.exe

переименовать в файл:

%WinDir%\explorer.exe

4.Восстановить файл:

%System%\taskmgr.exe
5.Установить следующее значение для параметра ключа системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon]
"Shell" = "explorer.exe"
__________________
http://avfor.ru/images/help.gif
  Ответить с цитированием
 
Яндекс.Метрика