Сайт створено у системі uCozЯндекс.Метрика
Реклама:


Сторінка 1 з 11
Форум » Безопасность в интернете » Вирус, который блокирует Windows » описание вируса, блокирующего Windows ((как действует вирус))
описание вируса, блокирующего Windows
adminДата: Понедельник, 11.04.2011, 17:45 | Сообщение # 1


Администраторы
Сообщений: 205
Репутация: 32767
Оффлайн
В последнее время наблюдается рост количества вредоносных программ-вымогателей, требующих отправить sms-сообщение для получения доступа к заблокированной системе или к пользовательским файлам.
8 апреля 2009 г. компания «Доктор Веб» сообщила о появлении нового образца подобной троянской программы, которая при запуске Windows предлагает ввести «регистрационный код» – якобы для регистрации нелицензионной копии Windows. Для разблокировки доступа к системе (якобы для получения регистрационного кода) требуется отправить платное sms-сообщение – с указанным текстом (последовательность случайных цифр) на указанный номер.
Примерный текст сообщения: «Windows заблокирован. Для разблокировки необходимо отправить смс с текстом ********* на номер ****. Попытка переустановить систему может привести к потере важной информации и нарушениям работы компьютера».
В окне доступны текстовое поле Ввести полученный код и кнопка Активация.

Что представляет собой вирус, блокирующий запуск Windows

Данная вредоносная программа была добавлена в вирусную базу Dr.Web 08.04.2009 г., под названием Trojan.Winlock.19. Ее модификации автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin. Trojan.Winlock распространяется в виде поддельных кодеков.

Антивирус Касперского распознает вирус с 13.04.2009 г., как Trojan-Dropper.Win32.Blocker.a. Panda Security с 20.04.2009 г. идентифицирует вирус, как Trj/SMSlock.A.

Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.

Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.

Деструктивные действия вируса

После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\.tmp ( – случайная последовательность цифр и букв латинского алфавита).

Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как Trojan-Ransom.Win32.Agent.af.

После успешного сохранения файл запускается на выполнение, выполняя следующие действия:

– для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\.tmp;

– в зависимости от текущей даты вирус отправляет http-запрос: http://%3Crnd1%3E.com/regis***.php?guid={ }&wid=&u=&number=install=1,

где – url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты, – специально сформированный уникальный идентификатор, – случайное число, – серийный номер жесткого диска.

– после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;

– при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора. Затем файл a.bat запускается на выполнение (кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен).

 
Форум » Безопасность в интернете » Вирус, который блокирует Windows » описание вируса, блокирующего Windows ((как действует вирус))
Сторінка 1 з 11
Пошук:

Мини-чат


200
Rip by vkontakte1412.ucoz.ru | (c) Все права защищены! | 2010-2011 |
Полное или частичное использование материалов vkontakte1412.ucoz.ru только с разрешения администрации
.
Сайт оптимизирован под браузер Opera. Sitemap | Sitemap-forum | СП
Дизайн данного сайта полностью принадлежит администратору сайта.

Вся информация предоставленная на сайте vkontakte1412.ucoz.ru является собственностью авторов. Любую информацию размещенную на сайте запрещено копировать без размещения ссылки на источник.
Дизайн данного сайта принадлежит полностью администратору сайта. Категорически запрещается копировать и использовать без соглашения главного администратора. За использование дизайна без согласия главного администратора, полагается разбирательство с администрацией хостера (в данном случае системы uCoz) и блокировка аккаунта нарушителя.
Yandex | Google | Rambler | Yahoo | Mail


Мини-чат


200