RSS-каналы
Уровень опасности: 1
Trojan-Ransom.Win32.Hexzone.aer
| Время детектирования | 13 янв 2009 22:44 MSK |
| Время выпуска обновления | 14 янв 2009 05:31 MSK |
| Описание опубликовано | 02 июн 2009 17:55 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Данная троянская библиотека представляет собой Internet Explorer Browser Helper Object (BHO), стартующий при запуске Internet Explorer, который следит за активностью пользователя в интернете. Имеет размер 315904 байта.
Инсталляция
При регистрации создает в системе OLE объект с именем "ConnectionServices".
При этом в системном реестре создаются следующие ключи:
[HKCR\elonnmdsturdsqm.Melonnmdsturd]
[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKLM\SOFTWARE\Classes\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
Троянец отображается в диалоге надстроек Internet Explorer:
Деструктивная активность
При открытии любой веб-страницы в Internet Explorer, в нижней части экрана отображается баннер порнографического содержания, предлагающий отключить себя, послав СМС на короткий платный номер:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Отключить в опциях надстроек Internet Explorer надстройку "AAC-SLS Media Codec".
- Закрыть все окна программы Internet Explorer.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить созданные трояном ключи системного реестра:
[HKCR\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKCR\elonnmdsturdsqm.Melonnmdsturd]
[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{630CBBEB-17E4
-47B4-B74B-BCAAC7EF52AB}]
[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{630CBBEB-17E4
-47B4-B74B-BCAAC7EF52AB}]
[HKLM\SOFTWARE\Classes\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}] - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.
Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.
Trojan-Ransom.
- Troj/Ransom-Gen (Sophos)
- Trj/Downloader.
MDW (Panda) - W32/Hexzone.
B. gen!Eldorado (FPROT) - Trojan:
Win32/Procesemes. A. dll (MS(OneCare)) - Trojan.
Blackmailer. 884 (DrWeb) - Trojan.
Generic. 1382279 (BitDef7) - Win32:
Trojan-gen {Other} (AVAST) - Trojan-Ransom.
Win32. Hexzone (Ikarus) - Adload_r.
FF (AVG) - TR/BHO.
Gen (AVIRA) - Trojan.
Dropper (NAV) - W32/Hexzone.
AEG (Norman)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей