Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Trojan-Ransom.Win32.PornoAsset.hg

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для x-sis
    x-sis
    x-sis вне форума

    Местный
    Регистрация
    11.07.2011
    Адрес
    Россия, Волгоград
    Сообщений
    185
    Поблагодарил(а)
    52
    Благодарностей
    124

    Восклицание Trojan-Ransom.Win32.PornoAsset.hg

    Данная вредоносная программа, не имеет кодов разблокироваки!

    Технические детали
    Троянец-вымогатель, который блокирует работу OC. Является приложением Windows (PE-EXE файл). Имеет размер 24576 байт. Упакована неизвестным упаковщиком. Распакованный размер – около 15360 КБ. Написана на С++.

    Инсталляция

    Создает копии своего оригинального файла под следующими именами:

    %AllUsersAppData%\22cc6c32.exe
    %System%\taskmgr.exe
    %System%\dllcache\taskmgr.exe

    %System%\userinit.exe
    %System%\dllcache\userinit.exe
    %AllUsersAppData%\.exe


    Где - последовательность из 11 букв латинского алфавита и цифр, например "U9pFUapFVaq".
    В зависимости от версии операционной системы может создавать копию своего файла с именами:

    %WinDir%\explorer.exe
    %System%\dllcache\explorer.exe


    Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell" = "%AllUsersAppData%\22cc6c32.exe"


    Деструктивная активность

    Для перезаписи системных файлов при создании копий своего файла вызывает из системной библиотеки "sfc_os.dll" недокументированную функцию с целью временного отключения WFP (Windows File Protection).

    Также троянец создает копии системных файлов:

    1. файл
    %System%\userinit.exe

    сохраняет с именем:
    %System%\03014D3F.exe

    2. файл
    %WinDir%\explorer.exe

    сохраняет с именем:
    %WinDir%\7C3B2A7D.exe

    Для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

    BFFF5675-ADC0-4740-81FF-7540597A0DC5

    После этого отображает окно по центру экрана:

    Trojan-Ransom.Win32.PornoAsset.hg
    Trojan-Ransom.Win32.PornoAsset.hg

    При этом номер телефона выбирается случайным образом из следующих:

    8-981-753-98-**
    8-981-753-98-**
    8-981-753-98-**
    8-981-753-98-**
    8-981-753-98-**
    8-981-753-99-**
    8-981-753-99-**
    8-981-753-99-**
    8-981-757-48-**
    8-981-759-87-**


    [b]Рекомендации по удалению[/img]

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. Поскольку данный троянец не имеет кодов разблокировки, загрузить Windows с Live CD или подключить жесткий диск к другому компьютеру и выполнить нижеуказанные действия.

    2. Удалить файлы:

    %AllUsersAppData%\22cc6c32.exe
    %System%\taskmgr.exe
    %System%\dllcache\taskmgr.exe
    %System%\userinit.exe
    %System%\dllcache\userinit.exe
    %AllUsersAppData%\<rnd>.exe


    Переименовать:

    Файл
    %System%\03014D3F.exe



    переименовать в файл:
    %System%\userinit.exe

    Файл %WinDir%\7C3B2A7D.exe переименовать в файл:
    %WinDir%\explorer.exe

    4. Восстановить файл:
    %System%\taskmgr.exe

    5. Установить следующее значение для параметра ключа системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\Winlogon]
    "Shell" = "explorer.exe"


    6. Произвести полную проверку компьютера Антивирусным ПО с обновленными базами.

    Источник: http://www.securelist.com/ru/descrip....PornoAsset.hg

    Не пытайтесь подобрать код или отправлять СМС, это не поможет, в данном случае спасёт только загрузочный диск.
    Последний раз редактировалось x-sis; 04.08.2011 в 00:58.
    http://ProvisionSecurity.ru - об информационных технологиях, о жизни, обо всём.

  2. 1 пользователь сказал cпасибо x-sis за это полезное сообщение:

    Aibolit (04.08.2011)

 

 

Похожие темы

  1. Пример лечения вируса Trojan-Ransom.Win32.PornoAsset при помощи AntiWinLockerLiveCD
    от Александр в разделе Боремся с баннерами на рабочем столе - Trojan.WinLock
    Ответов: 0
    Последнее сообщение: 12.10.2011, 05:16
  2. Как бороться с вредоносными программами семейства Trojan-Ransom.Win32.Digitala
    от Ксения в разделе Боремся с баннерами на рабочем столе - Trojan.WinLock
    Ответов: 0
    Последнее сообщение: 22.09.2011, 00:16
  3. Как бороться с вредоносной программой Trojan-Ransom.Win32.Rector
    от Aibolit в разделе Боремся с баннерами на рабочем столе - Trojan.WinLock
    Ответов: 2
    Последнее сообщение: 20.09.2011, 16:48

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •