RSS-каналы
Уровень опасности: 1
Trojan-Ransom.Win32.Winac.a
| Время детектирования | 16 май 2010 02:56 MSK |
| Время выпуска обновления | 16 май 2010 08:31 MSK |
Резюме
- Trojan-Banker. Похищает конфиденциальную информацию от банков, финансовых учреждений, платежных систем
Технические детали
Имеет размер 409697 байт.
Инсталляция
После запуска создает свои копии под следующими именами:
- Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\y1wnx282.exe
- Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\y1wnx282tmp.exe
Создает следующие файлы на зараженном компьютере:
- Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\mtl.dll
Вредоносная активность
Следит за действиями пользователя, устанавливая системные перехватчики, выполняющие:
- Перехват нажатых клавиш клавиатуры
Похищает конфиденциальную информацию пользователя от
Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных платежей и пластиковых карт. Найденная информация передается злоумышленнику при помощи электронной почты, ftp, web и других способов.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007628следующих банков, финансовых учреждений, платежных систем:
- MasterCard
- Diners Club
Изменяет (или удаляет) ключи системного реестра с целью ограничения функциональности ОС Windows:
[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ] "DisableTaskMgr" = "1"
Описание:
Запрещает вызов "Диспетчера Задач"
Создает соединение со следующими адресами в Интернете:
- ***588ssn.com:20480
Пытается найти файлы на компьютере пользователя по следующим маскам:
- *.*
Прочие действия
Производит запуск следующих файлов (команд):
- Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\y1wnx282.exe -auto
| Заголовок: | Microsoft Windows Activation |
Изменяет следующие ключи системного реестра:
[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "<файл исходной программы>" = "" Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\y1wnx282.exe" -auto"
Описание:
Используется для автозапуска файлов при загрузке ОС Windows
Удаляет следующие файлы на зараженном компьютере:
- Каталог текущего пользователя (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>)%UserDir%\Application Data\y1wnx282tmp.exe
Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа.
Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.
Trojan-Ransom.
- Trojan.
Win32. Scar. cfki («Лаборатория Касперского»)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей