Вредоносная программа, требующая выкуп за получение содержимого зашифрованного архива, который, по мнению пользователя, содержит необходимый ему файл.
Вредоносная программа, требующая выкуп за получение содержимого зашифрованного архива, который, по мнению пользователя, содержит необходимый ему файл. Является приложением Windows (PE-EXE файл). Имеет размер 1212425 байт. Написана на C++.
После запуска троянец выполняет следующие действия:
[HKLM\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.sm***xi.net"
"Start Page"="http://www.sm***xi.net"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.sm***xi.net"
"Start Page"="http://www.sm***xi.net"
%WorkDir%\xsendexe.tmpи записывает в него сроку:
estТроянец отображает следующее окно:
После подтверждения пункта "Я согласен(на) с правилами", выбора места распаковки, а также нажатия на кнопку "Распаковать" – вредонос имитирует процесс распаковки файлов. На определенном этапе данный процесс останавливается и пользователю предлагается заполнить поля формы, а потом отправить СМС:
Для других стран предлагается отправить СМС с текстом:
43***04Ниже приведены страна и номер, на который нужно отправить СМС:
Австрия 0930399999Для Украины, нужно отправить СМС с текстом:
Бельгия 7796
Болгария 1098
Чехия 9090199
Германия 80888
Дания 1945
Эстония 17013
Испания 5339
Финляндия 179479
Франция 83868
Венгрия 90645045
Киргизия 1171
Литва 1645
Латвия 1874
Нидерланды 7117
Норвегия 2322
Польша 7910
Португалия 68305
Швеция 72170
77***01на номер:
4161При отправке подтверждающего сообщения троянец осуществляет следующий HTTP запрос:
GET /pass_request/?guid=3de9581b497e3ea0b9c822735a719b00где <rnd1> - произвольная числовая последовательность длинною 5 символов; <rnd2> - произвольная последовательность цифр и букв латинского алфавита. В ответ сервер возвращает некоторое целое число, например "899".
&parid=0&xnum=
&xid=&nomer=+7<номер телефона>m=zb&fn=&xtime=
<rnd1>&lp=<rnd2> HTTP/1.1
Accept: */*
Cache-Control: no-cache
User-Agent: Opera 10
Host: wlnrar-auth4.net
Connection: Keep-Alive
Разбираем кейсы, делимся опытом, учимся на чужих ошибках