RSS-каналы
Уровень опасности: 1
Trojan-Ransom.Win32.DigiPog.v
| Время детектирования | 28 янв 2010 15:15 MSK |
| Время выпуска обновления | 28 янв 2010 19:56 MSK |
| Описание опубликовано | 27 фев 2010 15:40 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Программа является приложением Windows (PE EXE-файл). Имеет размер 104276 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 670 КБ. Написана на С++.
Инсталляция
Троянец распространяется под видом проигрывателя медиа – контента. Для автоматического запуска при следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:
"Windows Update Service"="<Путь к оригинальному файлу троянца>"
Деструктивная активность
После запуска троянец показывает лицензионное соглашение, в котором пользователя предупреждают, что программа платная и через некоторое время компьютер будет заблокирован, до тех пор, пока не будет произведена оплата:
Если пользователь нажмет на кнопку "Не принимаю" соглашение, то троянец завершает свою работу.
В случае согласия троянец соединяется с сервером злоумышленника для оповещения о заражении:
94.***.148Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
Global\xusrwgkgcycmИзвлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под именем "usrcycm.dll":
%Temp%\usrcycm.dllДанный файл имеет размер 57334 байта и детектируется Антивирусом Касперского, как Trojan-Ransom.Win32.Agent.jt.
Далее библиотека подгружается во все запущенные процессы в системе. При помощи данной библиотеки троянец регенерирует ключ автозапуска, блокирует доступ к диспетчеру задач Windows, следит за наличием своего процесса в системе.
Троянская программа выводит на передний план свое окно, которое перекрывает все запущенные пользователем окна:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Воспользоваться сервисом деактивации вымогателей-блокеров:
http://support.kaspersky.ru/viruses/deblocker
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.
Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.
Trojan-Ransom.
- Trojan-Ransom.
Win32. PogBlock. xh («Лаборатория Касперского») - Trojan:
Generic. dx!mih (McAfee) - Sus/UnkPack-C (Sophos)
- Trojan.
Winlock. 983 (DrWeb) - Win32/Kryptik.
CCH trojan (Nod32) - Gen:
Trojan. Heur. gi0@rn8KY3baz (BitDef7) - Trojan.
PogBlock. OY (VirusBuster) - Win32:
Malware-gen (AVAST) - Trojan-Ransom.
Win32. PogBlock (Ikarus) - Injector.
HY (AVG) - TR/Crypt.
XPACK. Gen (AVIRA) - Packer.
Win32. UnkPacker. b [Suspicious] (Rising) - Trojan-Ransom.
Win32. PogBlock. xh [AVP] (FSecure) - Trojan.
Win32. Generic!BT (Sunbelt)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей