Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Ransom.Win32.DigiPog.m

Trojan-Ransom.Win32.DigiPog.m

Время детектирования	28 янв 2010 15:14 MSK
Время выпуска обновления	28 янв 2010 19:56 MSK
Описание опубликовано	27 фев 2010 15:29 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Программа является приложением Windows (PE EXE-файл). Имеет размер 104273 байта. Упакована неизвестным упаковщиком. Распакованный размер – около 670 КБ. Написана на С++.

Инсталляция

Троянец распространяется под видом проигрывателя медиа – контента. После активации троянец копирует свое тело во временный каталог текущего пользователя Windows под именем "userwgkg.exe":

%Temp%userwgkg.exe

Далее для автоматического запуска при следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Update Service"="<Путь к оригинальному файлу троянца>"

Деструктивная активность

Троянец показывает лицензионное соглашение, в котором пользователя предупреждают, что программа платная и через некоторое время компьютер будет заблокирован, до тех пор, пока не будет произведена оплата:

Если пользователь нажмет на кнопку "Не принимаю", то троянец завершает свою работу.

В случае согласия троянец соединяется с сервером злоумышленника для оповещения о заражении:

94.102.51.148

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:

Global\xusrwgkgcycm

Извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под именем "usrcycm.dll":

%Temp%\usrcycm.dll

Данный файл имеет размер 57334 байта и детектируется Антивирусом Касперского, как Trojan-Ransom.Win32.Agent.jt.

Далее библиотека подгружается во все запущенные процессы в системе. При помощи данной библиотеки троянец регенерирует ключ автозапуска, блокирует доступ к диспетчеру задач Windows, следит за наличием своего процесса в системе.

Троянская программа выводит на передний план свое окно, которое перекрывает все запущенные пользователем окна:

После завершения своей работы троянец во временном каталоге текущего пользователя Windows создает файл командного интерпретатора под именем "tmpcycm.bat":

%Temp%\tmpcycm.bat

В данный файл троянец записывает код для удаления своего оригинального тела, библиотеки "%Temp%\usrcycm.dll" и самого файла командного интерпретатора.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Воспользоваться сервисом деактивации вымогателей-блокеров:
```
http://support.kaspersky.ru/viruses/deblocker
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Ransom

Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.

Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Другие модификации

Trojan-Ransom.Win32.DigiPog.l

Trojan-Ransom.Win32.DigiPog.rm

Trojan-Ransom.Win32.DigiPog.v

Trojan-Ransom.Win32.DigiPog.xp

Другие названия

Trojan-Ransom.Win32.DigiPog.m («Лаборатория Касперского») также известен как:

Trojan-Ransom.Win32.PogBlock.xg («Лаборатория Касперского»)
Trojan: Ransom!bw (McAfee)
Mal/Generic-A (Sophos)
Trojan.Winlock.983 (DrWeb)
Win32/Kryptik.CCH trojan (Nod32)
Gen:Trojan.Heur.gi0@r99OEEaaz (BitDef7)
Trojan.PogBlock.OZ (VirusBuster)
Win32:Malware-gen (AVAST)
Trojan-Ransom.Win32.PogBlock (Ikarus)
Injector.HY (AVG)
TR/Crypt.XPACK.Gen (AVIRA)
Trojan Horse (NAV)
Packer.Win32.UnkPacker.b [Suspicious] (Rising)
Trojan-Ransom.Win32.PogBlock.xg [AVP] (FSecure)
Trojan.Win32.Generic!BT (Sunbelt)
Trojan.PogBlock.OZ (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей