Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы.
Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является приложением Windows (PE-EXE файл). Имеет размер 67584 байта. Программа упакована неизвестным упаковщиком. Распакованный размер – около 40 КБ Написана на C++.
Перемещает свой оригинальный файл в каталог "Application Data" текущего пользователя Windows со следующим именем:
%AppData%\{<идентификатор>}\.exeГде <идентификатор> - цифро-буквенная последовательность, например, "C6D3BC0E-F70C-A35F-FCF3-ED7E6D83CCA7" или "641CA5E6-9E2F-9EDF-B417-33FEDEA5C0FC", которую троянец получает преобразуя значение следующего параметра ключа системного реестра:
[HKLM\SYSTEM\Setup]Для автоматического запуска при каждом следующем старте системы добавляет информацию в ключ системного реестра:
"Pid"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]Где <параметр> - шестнадцатеричное число, троянец выполняет различные действия в зависимости от значения данного параметра.
"AD Network" = "<путь к оригинальному телу троянца> <параметр>"
Троянец проверяет наличие следующего файла:
%WinDir%\tmp\bot.logПри наличии использует его в качестве лог-файла своей работы. Создает файл во временном каталоге текущего пользователя Windows, не являющегося вредоносным:
%Temp%\{217F200B-97B8-468d-AC3B-8577E112EEC1}.tlbДанный файл имеет размер 3432 байта и используется троянцем для дальнейшей работы. Проверяет наличие файла:
%AppData%\{<идентификатор>}\.cfgданный файл является файлом-конфигурации и содержит сценарий языка JavaScript, который троянец запускает на исполнение. В файле-конфигурации содержатся URL по которым троянец может загружать свою обновленную версию, обновленную версию файла-конфигурации или файлы с командами. Получая команду, троянец может открывать различные ресурсы в браузере пользователя или загружать файлы с последующим запуском их на исполнение. Загружаемые файлы сохраняются во временном каталоге текущего пользователя Windows c расширением ".tmp":
%Temp%\<имя файла>.tmpВ зависимости от параметра с которым был запущен, троянец может выполнять следующие действия:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{<идентификатор>}]
"DisplayIcon" = "<путь к оригинальному телу троянца>"
"NoModify" = "1"
"NoRepair" = "1"
"DisplayName" = "AD Network"
"Publisher" = "uCoz"
"URLInfoAbout" = "http://www.ucoz.ru/"
"UninstallString" = "<путь к оригинальному телу троянца>"
Лечим цифровую неграмотность без побочных эффектов