Virus Messenger - Черви шантажируют пользователей
Червь Randsom.A парализует зараженные компьютеры, шифруя файлы, хранящиеся на них, а затем пытается заработать деньги.
Symantec и Isidor Security Center сообщили, что другой червь-шантажист начал свое завоевательное путешествие. THE Рэндсом.А После создания некоторых файлов и изменения реестра указанная вредоносная программа начнет сбор конфиденциальной информации. Он загружает полученную информацию на заранее определенный удаленный сервер через Интернет. Затем червь шифрует файлы в Windows, Program Files и других каталогах, которые важны для работы Windows. Затем попробуйте убедить пользователя купить программное обеспечение, необходимое для расшифровки файлов. Randsom.A стремится получить доступ к как можно большему количеству компьютеров, в первую очередь через съемные диски и сетевые ресурсы.
При запуске червь Randsom.A выполняет следующие действия:
- Создайте следующие файлы:
% Windir% \ lsass.exe
% Windir% \ NeroDigit16.inf
% Windir% \ services.exe
% Windir% \ UNINSTLV16.exe
% Windir% \ NeroDigit32.inf
% Temp% \ errir.exe - Отображает окно сообщения с надписью «Приложение Win32 - Не отвечает» в строке заголовка.
- Создайте следующий файл:
% Windir% \ ulodb3.ini - Добавьте следующие записи в базу данных регистрации:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
"StubPath" = "% Windir% \ UNINSTLV16.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
"StubPath" = "% Windir% \ UNINSTLV16.exe" - Он копирует следующие три файла на каждый съемный и сетевой диск:
% DriveLetter% \ tg_root \ Skype.exe
% DriveLetter% \ tg_root \ Uninstall.exe
% DriveLetter% \ autorun.inf - Создайте следующий файл:
% UserProfile% \ feedback.html - Он собирает конфиденциальные данные и передает их на заранее определенный удаленный сервер.
- Он шифрует следующие каталоги и файлы в них:
% Windir%
% Профиль пользователя%
%Программные файлы%
% SystemDrive% \ Boot
% SystemDrive% \ ProgramData \ Microsoft
% SystemDrive% \ users \ All Users \ Microsoft
Предоставляет зашифрованные файлы с расширением .XNC.
Червь не шифрует файлы со следующими расширениями:
. COM
.cab
. COM
. Dll
INI-
.LNK
.LOG
.ДАВНЫМ-ДАВНО
.SYS
.XNC - Создайте следующие файлы:
% SystemDrive% \ [путь] \ ПРОЧИТАЙТЕ ЭТОТ.txt
% SystemDrive% \ [путь] \ !!!! ПРОЧИТАЙТЕ ЭТО !!!!. Txt