Trojan-Ransom.Win32.Hexzone.aer

Главная / Описания / Trojan-Ransom.Win32.Hexzone.aer

Печать

Закладки

Время детектирования	13 янв 2009 22:44 MSK
Время выпуска обновления	14 янв 2009 05:31 MSK
Описание опубликовано	02 июн 2009 17:55 MSK

Технические детали

Деструктивная активность

Рекомендации по удалению

Технические детали

Данная троянская библиотека представляет собой Internet Explorer Browser Helper Object (BHO), стартующий при запуске Internet Explorer, который следит за активностью пользователя в интернете. Имеет размер 315904 байта.

Инсталляция

При регистрации создает в системе OLE объект с именем "ConnectionServices".

При этом в системном реестре создаются следующие ключи:

[HKCR\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKCR\elonnmdsturdsqm.Melonnmdsturd]

[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKLM\SOFTWARE\Classes\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

Троянец отображается в диалоге надстроек Internet Explorer:

Деструктивная активность

При открытии любой веб-страницы в Internet Explorer, в нижней части экрана отображается баннер порнографического содержания, предлагающий отключить себя, послав СМС на короткий платный номер:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Отключить в опциях надстроек Internet Explorer надстройку "AAC-SLS Media Codec".
Закрыть все окна программы Internet Explorer.
Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить созданные трояном ключи системного реестра:
[HKCR\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]

[HKCR\elonnmdsturdsqm.Melonnmdsturd]

[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{630CBBEB-17E4
-47B4-B74B-BCAAC7EF52AB}]

[HKCR\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{630CBBEB-17E4
-47B4-B74B-BCAAC7EF52AB}]

[HKLM\SOFTWARE\Classes\CLSID\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{630CBBEB-17E4-47B4-B74B-BCAAC7EF52AB}]
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Вредоносные программы

Троянские программы

Trojan-Ransom

Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.

Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Другие названия

Trojan-Ransom.Win32.Hexzone.aer («Лаборатория Касперского») также известен как:

Troj/Ransom-Gen (Sophos)
Trj/Downloader.MDW (Panda)
W32/Hexzone.B.gen!Eldorado (FPROT)
Trojan:Win32/Procesemes.A.dll (MS(OneCare))
Trojan.Blackmailer.884 (DrWeb)
Trojan.Generic.1382279 (BitDef7)
Win32:Trojan-gen {Other} (AVAST)
Trojan-Ransom.Win32.Hexzone (Ikarus)
Adload_r.FF (AVG)
TR/BHO.Gen (AVIRA)
Trojan.Dropper (NAV)
W32/Hexzone.AEG (Norman)