Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Trojan-Ransom.Win32.DigiPog.rm

Trojan-Ransom.Win32.DigiPog.rm

Время детектирования	02 фев 2010 12:23 MSK
Время выпуска обновления	16 июн 2010 17:51 MSK
Описание опубликовано	31 май 2010 12:59 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Рекомендации по удалению

Технические детали

Данная программа упакована утилитой, используемой вирусописателями для уменьшения размера программы и сокрытия её функционала.

Резюме

Выполняет потенциально-опасные действия

Технические детали

Имеет размер 88064 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\uchcqdbs.exe

Создает следующие файлы на зараженном компьютере:

Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\uchcqdbs.ddr

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] "PC Health Status" = " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\uchcqdbs.exe"

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "PC Health Status" = " Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\uchcqdbs.exe"

Вредоносная активность

Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"

Global\fldrvqdbsqkdk
Global\fldrvoagmEGEM

Прочие действия

Производит запуск следующих файлов (команд):

\" Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\uchcqdbs.exe\" EGEM

Изменяет следующие ключи системного реестра:

[ Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform ] "0X29A" = ""

Удаляет следующие файлы на зараженном компьютере:

Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\12875031499
Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\uchcqdbs.exe12875013419
Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Start Menu\Programs\Startup\fldriver.lnk

Печать

Закладки

Вредоносные программы

Троянские программы

Trojan-Ransom

Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.

Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Другие модификации

Trojan-Ransom.Win32.DigiPog.l

Trojan-Ransom.Win32.DigiPog.m

Trojan-Ransom.Win32.DigiPog.v

Trojan-Ransom.Win32.DigiPog.xp

Другие названия

Trojan-Ransom.Win32.DigiPog.rm («Лаборатория Касперского») также известен как:

Trojan-Ransom.Win32.PornoBlocker.wy («Лаборатория Касперского»)
Trojan.Win32.Hrup.brp («Лаборатория Касперского»)
Packed.Win32.Krap.ao («Лаборатория Касперского»)
Trojan: Generic Dropper.tj (McAfee)
Troj/FakeAV-ARF (Sophos)
Mal/FakeAV-AX (Sophos)
Trj/Krap.Y (Panda)
VirTool:Win32/Obfuscator.FI (MS(OneCare))
Trojan:Win32/FakeSpypro (MS(OneCare))
Trojan.Fakealert.10518 (DrWeb)
Win32/Kryptik.BXJ trojan (Nod32)
Win32/Kryptik.BCA trojan (Nod32)
Gen:Heur.Krypt.22 (BitDef7)
Trojan.Generic.3081892 (BitDef7)
Trojan.Kryptik.IMY (VirusBuster)
Trojan.Kryptik.GUM (VirusBuster)
Win32:Malware-gen (AVAST)
Win32:Rootkit-gen [Rtk] (AVAST)
Packed.Win32.Krap (Ikarus)
Win32/Cryptor (AVG)
TR/Crypt.ZPACK.Gen (AVIRA)
TR/Crypt.XPACK.Gen (AVIRA)
Packed.Generic.264 (NAV)
Trojan.Gen (NAV)
W32/Crypt.ACME (Norman)
W32/Suspicious_Gen.JLIJ (Norman)
W32/Suspicious_Gen.JBUO (Norman)
Packer.Win32.Agent.GEN [Suspicious] (Rising)
Trojan.Win32.Generic.51F91944 (Rising)
Packed.Win32.Krap.ao [AVP] (FSecure)
Mal_Xed-24 (TrendMicro)
VirTool.Win32.Obfuscator (Sunbelt)
Trojan-Spy.Win32.Zbot.gen (v) (Sunbelt)
Trojan.Kryptik.GUM (VirusBusterBeta)
Trojan.Kryptik.IMY (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com