http://www.virustotal.com/file-scan/report.html?id=3733d8726241687b683750746be75e68390948717b26c54cf1be3a00c1fa9642-1323755210
89879724708
код: 804529355106311
89879724708
код: 804529355106311
среда, 14 декабря 2011 г.
вторник, 13 декабря 2011 г.
Trojan.MbrLock.13 на номер 41001874166873
или Trojan.MBRlock.12
хз
http://virusscan.jotti.org/ru/scanresult/bdbf327ed598aeb13941c786d7b773edcd7c3894
41001874166873
код: Dfktynby1
Но не сработало. Используем fixmbr
Ну или Alkid
Trojan.WinLock.2430 на номер 89653772047
http://virusscan.jotti.org/ru/scanresult/db5a061e84f5147f18960a188d444bcf1b3ce4ec
89653772047
89636615054
89653777724
89629708745
89032383965
89032383994
код: 8863314
89653772047
89636615054
89653777724
89629708745
89032383965
89032383994
код: 8863314
Trojan.Winlock.2741 на номер 89859786444
md5:0D4296BE0B70B68089226E122D575EAB
89859786444
89153661398
89150697406
код:16342131
89859786444
89153661398
89150697406
код:16342131
воскресенье, 11 декабря 2011 г.
суббота, 10 декабря 2011 г.
Trojan.Winlock.4127 на номер 79874364424
http://www.virustotal.com/file-scan/report.html?id=e6fc3c2be8c30af805b22ba579018d33fe1443f86b87561300311a642218754c-1323544140
+79874364424
нет кода разблокировки.
Читаем инструкцию http://rghost.ru/20156591
+79874364424
нет кода разблокировки.
Читаем инструкцию http://rghost.ru/20156591
Новый сервис разблокировки от Dr.Web
Читали?
http://news.drweb.com/?i=2044&c=5&lng=ru&p=0
Теперь будем разбирать на примере Trojan.WinLock.3523
У меня их всего 1091 ...это те которые ручками отсортированы... Их больше...значительно больше...
Алгоритм работы у всех 1091 семплов один и тот же. Кому интересно-смотрим ютуб
-----------------------------------------------------------------------------
Возвращаемся к унлокеру
По изображениям наблюдаем
Trojan.Winlock.3523
Trojan.Winlock.3481
Trojan.Winlock.3647
Trojan.Winlock.4108
Trojan.Winlock.4005
Trojan.Winlock.4080
Trojan.Winlock.4180
Trojan.Winlock.4046
.....
Почему не сделано одно изображение и набор кодов к нему? По-моему это логично.
Меня пугает унлокер с 1091 изображением одного и того же винлока.
Все то же самое можно увидеть на старых скриншотах этого же винлока.
Если кто не знал, то это тот же винлок
Пойду выпью йаду ;)
http://news.drweb.com/?i=2044&c=5&lng=ru&p=0
Теперь будем разбирать на примере Trojan.WinLock.3523
У меня их всего 1091 ...это те которые ручками отсортированы... Их больше...значительно больше...
Алгоритм работы у всех 1091 семплов один и тот же. Кому интересно-смотрим ютуб
-----------------------------------------------------------------------------
Возвращаемся к унлокеру
По изображениям наблюдаем
Trojan.Winlock.3523
Trojan.Winlock.3481
Trojan.Winlock.3647
Trojan.Winlock.4108
Trojan.Winlock.4005
Trojan.Winlock.4080
Trojan.Winlock.4180
Trojan.Winlock.4046
.....
Почему не сделано одно изображение и набор кодов к нему? По-моему это логично.
Меня пугает унлокер с 1091 изображением одного и того же винлока.
Все то же самое можно увидеть на старых скриншотах этого же винлока.
Если кто не знал, то это тот же винлок
Пойду выпью йаду ;)
Trojan.Winlock.3020 на номер U229954067868
http://anubis.iseclab.org/?action=result&task_id=1971bdd1945cca61495ffb697be5bc81e&format=html
http://www.virustotal.com/file-scan/report.html?id=f73ba70c45a5ca4729a595027820b7fbf7e62f73a1b41fed776d6c26a5c54362-1323365665
https://valkyrie.comodo.com/Result.html?sha1=9a2d0ed706eabff46b1d3b96d9563a2eaa9a66b3&&query=0&&filename=virussign.com_5f9a84517759174a73aa335176990bed.exe
U229954067868
U252932946253
U372890413487
код =-09
Криворукая поделка....лучше мочить из под лайфсд.
После ввода кода-самоудаляется.
Тот же Trojan.WinLock.2741, но с другим скрином.
Под дебагером видна похожесть.
Бобруйск
При слове "Бобруйск" собрание болезненно застонало. Все соглашались ехать в Бобруйск хоть сейчас. Бобруйск считался прекрасным, высококультурным местом. Вот тут я сейчас живу..;)
пятница, 9 декабря 2011 г.
Trojan.Winlock.2430 на номер 89636352857
http://www.virustotal.com/file-scan/report.html?id=333f2e70049a357c4040012730d5e68dd5c35c7ec456c047a3508f667632cc12-1323465929
что-то из старенького...
89636352857
код: 8863314
что-то из старенького...
89636352857
код: 8863314
среда, 7 декабря 2011 г.
Dr.Web. Как разблокировать систему от Trojan.Winlock.3300?
http://support.drweb.com/show_faq?qid=53679318&lng=ru
Ну нет же...снова нет.
Отправляя в архив 2 файла userinit.exe и explorer.exe это мелочь.
Если возможно найти эти файлы, то почему нельзя собрать в лог имена системных файлов и md5 к ним?
Почему не учитывается с:\Documents and Settings\имя_юзверя\Start Menu\Programs\Startup ?
Вот почему не доделать основательно?
Скрипт автоматически соберет все нужные данные и сохранит их в архив с именем вида bugreport_e896cd7c3c073cc68d6922c9e74fc277_1315567503.tar.gz в папке /tmp/.
Ну нет же...снова нет.
Отправляя в архив 2 файла userinit.exe и explorer.exe это мелочь.
Если возможно найти эти файлы, то почему нельзя собрать в лог имена системных файлов и md5 к ним?
Почему не учитывается с:\Documents and Settings\имя_юзверя\Start Menu\Programs\Startup ?
Вот почему не доделать основательно?
вторник, 6 декабря 2011 г.
Trojan.WinLock.3020 на номер U298879281113
http://www.virustotal.com/file-scan/report.html?id=75611374f45ba0278c3969a8b6054030954729198129b1a86f5dda78fe54e5d9-1322933096
U298879281113
U131406853435
U306144462937
U391621621529
код: yayaya1
+ еще коды
loshara
489489
lambovaz
U298879281113
U131406853435
U306144462937
U391621621529
код: yayaya1
+ еще коды
loshara
489489
lambovaz
понедельник, 5 декабря 2011 г.
Trojan.WinLock.3333 на номер 89156411525
http://www.virustotal.com/file-scan/report.html?id=d5ba92248835f4971fc9a0edcc85fea6cd212a8a819f67461950b839f0ba506b-1315054756
89156411525
код: 7300
9199943353
код: 773585325427589
89156411525
код: 7300
9199943353
код: 773585325427589
Trojan.WinLock.2741 на номер 79171577352
http://www.virustotal.com/file-scan/report.html?id=96386cd42dccc7898b98b18b1a6450a4e611469c4f271ee32b350311501a33ff-1323085183
79171577352
код: 444433303
или
код: 99885522
------------------
89897142203
код: 070707
79171577352
код: 444433303
или
код: 99885522
------------------
89897142203
код: 070707
Trojan.Packed.21756 на номер 9670696439
http://www.virustotal.com/file-scan/report.html?id=2d53f7ef7f874dca607f3b53821e314a2ceae7f3aa2230a3b381d266a6ba6d5d-1309400005
9670696439
код: LAND
Еще коды к такому баннеру
9670233638====>код:IDES OF MARCH
9670850268====>код:IDES OF MARCH
9645972905====>код:IDDQD
89096236911====>код TDTHP
9653251183====>код:11-22
89653987655====>код:11-22
9653251183====>код:11-22
9671275984====>код:11-22
9645221264====>код:11-22
9653251178====>код:11-22
9637873236====>код: SHOW ME THE MONEY
9670850574====>код:DTLP
9670850269====>код:DTLP
9636391082====>код:DTLP
9057065521====>код:DTLP
9651655506====>код:GAME OVER MAN
9652665827====>код:GAME OVER MAN
9653253908====>код:GAME OVER MAN
9645221024====>код:11-22
9099561205====>код:IDSPISPOPD
9037527851====>код:IDSPISPOPD
9099561380====>код:IDSPISPOPD или 11-22
9645223223====>код:11-22
9652112510====>код:IDSPISPOPD
9099561196====>код:IDSPISPOPD
9645221024====>код:IDSPISPOPD
9099561205====>код:IDSPISPOPD
9037527851====>код:IDSPISPOPD
9099561380====>код:IDSPISPOPD
9645223223====>код:IDSPISPOPD
9652112510====>код:IDSPISPOPD
9099561196====>код:IDSPISPOPD
9099561150====>код:IDSPISPOPD
89154751007====>код:IDSPISPOPD
9672655824====>код:IDSPISPOPD
9636724892====>код:OPERATION CWAL
9651027784====>код:OPERATION CWAL
9639250458====>код:OPERATION CWAL
9039636359====>код:OPERATION CWAL
9636724892====>код:OPERATION CWAL
9035324662====>код:OPERATION CWAL
9639250458====>код:CORWIN OF AMBER
9636724892====>код:CORWIN OF AMBER
9039636376====>код:BLACK SHEEP WALL
9636256259====>код:BLACK SHEEP WALL
9645971701====>код:BLACK SHEEP WALL
9057446349====>код:BLACK SHEEP WALL
9055255286====>код:BLACK SHEEP WALL
9032445925====>код:BLACK SHEEP WALL
9653694347====>код:BLACK SHEEP WALL
9652452363====>код:EYE OF NEWT
9645972345====>код:EYE OF NEWT
9645972905====>код:EYE OF NEWT
9645972331====>код:EYE OF NEWT
9645972390====>код:EYE OF NEWT
9645972340====>код:EYE OF NEWT
9646287343====>код:EYE OF NEWT
9653694352====>Код:IDKFA или IDCLIP
9037527437====>Код:IDKFA или IDCLIP
9653249983====>Код:IDKFA или IDCLIP
9037527351====>Код:IDKFA или IDCLIP
9653694352====>Код:IDKFA или IDCLIP
9672942996====>Код:IDKFA или IDCLIP
9653694347====>Код:IDKFA или IDCLIP
9060469003====>код:IRON FORGE
9060469104====>код:IRON FORGE
9060469003====>код:IRON FORGE
90605877493====>код:IRON FORGE
9037527847====>код:IRON FORGE
9036614154====>код:IRON FORGE
9652112558====>код:IRON FORGE
9060468857====>код:IDCHOPPERS
9653251208====>код:IDCHOPPERS
89060468935====>код:IDCHOPPERS
9653251459====>код:IDCHOPPERS
9652665581====>код:RADIO FREE ZERG
9647731346====>код:RADIO FREE ZERG
9653491447====>код:SALLY SHEARS
9652417085====>код:SALLY SHEARS
9670537232====>код:SALLY SHEARS
9652665573====>код:SALLY SHEARS
9652417077====>код:SALLY SHEARS
9653491448====>код:SALLY SHEARS
9652417086====>код:SALLY SHEARS
9639777024====>код:SALLY SHEARS
9652417086====>код:SALLY SHEARS
9652112514====>код: HURRY UP GUYS
89037527591====>код: HURRY UP GUYS
9652112513====>код: HURRY UP GUYS
9645221024====>код: HURRY UP GUYS
9653253898====>код: HURRY UP GUYS
9651211805====>код:THERE IS NO COW LEVEL
9672547908====>код:THERE IS NO COW LEVEL
9096876514====>код:THERE IS NO COW LEVEL
9672547909====>код:THERE IS NO COW LEVEL
9672614480====>код:THERE IS NO COW LEVEL
9672942993====>код:POT OF GOLD
9637873247====>код:POT OF GOLD
9637873234====>код:POT OF GOLD
9645972955====>код:POT OF GOLD
9652520436====>код: BREATHE DEEP
8965252043637====>код: BREATHE DEEP
9652417250====>код: BREATHE DEEP
9651633035====>код:WHATS MINE IS MINE
9647631557====>код:DNITEMS
9647628277====>код:DNITEMS
9670735360====>код:DNITEMS
89670735778====>код:DNITEMS
9637619361====>код:DNITEMS
9670734440====>код:SHAZAM
9647628380====>код:SHAZAM
9030086741====>код:SHAZAM
9647631536====>код:DNRATE
9629456907====>код: DNKEYS
9645213490====>код: DNKEYS
9099010810====>код: DNKEYS
9099010759====>код: DNKEYS
9629463283====>код: DNKEYS
9099010809====>код:VALDEZ
9653919160====>код:NOGLUES
9653909089====>код: WE ROCK
9653909535====>код: WE ROCK
9653985797====>код: WE ROCK
9645214599====>код: WE ROCK
9652750705====>код: WE ROCK
9653919227====>код: FEED MY HEAD
9645211891====>код: FEED MY HEAD
9646287477====>код: PLANET HELL
9652857355====>код: PLANET HELL
9652750711====>код: PLANET HELL
9652857296====>код: PLANET HELL
9671979528====>код: PLANET HELL
9671979549====>код: PLANET HELL
9652869510====>код: ELVENPATH
9645211826====>код: ELVENPATH
9645215166====>код: ELVENPATH
9645212294====>код: ELVENPATH
9645211482====>код: ELVENPATH
9652869510====>код: ELVENPATH
9645211826====>код: ELVENPATH
9652867322====>код: ELVENPATH
9652869504====>код: ELVENPATH
9645215166====>код: ELVENPATH
9645212294====>код: ELVENPATH
9652867455====>код:RAMMSTEIN
9652867450====>код:RAMMSTEIN
9652869479====>код:RAMMSTEIN
9652750720====>код:RAMMSTEIN
9652750722====>код:RAMMSTEIN
9629459542====>код: FRANK HERBERT
9653919221====>код:NOGLUES
9099561196====>код:IDSPISPOPD
9652750720====>код:RAMMSTEIN
9633240014====>код:PROTOSS
9670696982====>код:PROTOSS
9670999434====>код:PROTOSS
9652523916====>код:THE TROOPER
9637734686====>код:THE TROOPER
9652537545====>код:THE TROOPER
9670955653====>код:THE TROOPER
9652537359====>код:THE TROOPER
9637733439====>код:THERION
9688919806====>код:MUSTGO
9688919810====>код:MUSTDIE
9688919810====>код:MUSTDIE
9688919834====>код:MUSTDIE
9670958242====>код:MUSTDIE
9637734657====>код:MUSTDIE
9637734662====>код:MUSTDIE
9670964990====>код:MUSTDIE
9688920521====>код:MUSTDIE
9670696367====>код:MUSTDIE
9688919817====>код:MUSTDIE
9671979590====>код:VALDEZ
9670696439
код: LAND
Еще коды к такому баннеру
9670233638====>код:IDES OF MARCH
9670850268====>код:IDES OF MARCH
9645972905====>код:IDDQD
89096236911====>код TDTHP
9653251183====>код:11-22
89653987655====>код:11-22
9653251183====>код:11-22
9671275984====>код:11-22
9645221264====>код:11-22
9653251178====>код:11-22
9637873236====>код: SHOW ME THE MONEY
9670850574====>код:DTLP
9670850269====>код:DTLP
9636391082====>код:DTLP
9057065521====>код:DTLP
9651655506====>код:GAME OVER MAN
9652665827====>код:GAME OVER MAN
9653253908====>код:GAME OVER MAN
9645221024====>код:11-22
9099561205====>код:IDSPISPOPD
9037527851====>код:IDSPISPOPD
9099561380====>код:IDSPISPOPD или 11-22
9645223223====>код:11-22
9652112510====>код:IDSPISPOPD
9099561196====>код:IDSPISPOPD
9645221024====>код:IDSPISPOPD
9099561205====>код:IDSPISPOPD
9037527851====>код:IDSPISPOPD
9099561380====>код:IDSPISPOPD
9645223223====>код:IDSPISPOPD
9652112510====>код:IDSPISPOPD
9099561196====>код:IDSPISPOPD
9099561150====>код:IDSPISPOPD
89154751007====>код:IDSPISPOPD
9672655824====>код:IDSPISPOPD
9636724892====>код:OPERATION CWAL
9651027784====>код:OPERATION CWAL
9639250458====>код:OPERATION CWAL
9039636359====>код:OPERATION CWAL
9636724892====>код:OPERATION CWAL
9035324662====>код:OPERATION CWAL
9639250458====>код:CORWIN OF AMBER
9636724892====>код:CORWIN OF AMBER
9039636376====>код:BLACK SHEEP WALL
9636256259====>код:BLACK SHEEP WALL
9645971701====>код:BLACK SHEEP WALL
9057446349====>код:BLACK SHEEP WALL
9055255286====>код:BLACK SHEEP WALL
9032445925====>код:BLACK SHEEP WALL
9653694347====>код:BLACK SHEEP WALL
9652452363====>код:EYE OF NEWT
9645972345====>код:EYE OF NEWT
9645972905====>код:EYE OF NEWT
9645972331====>код:EYE OF NEWT
9645972390====>код:EYE OF NEWT
9645972340====>код:EYE OF NEWT
9646287343====>код:EYE OF NEWT
9653694352====>Код:IDKFA или IDCLIP
9037527437====>Код:IDKFA или IDCLIP
9653249983====>Код:IDKFA или IDCLIP
9037527351====>Код:IDKFA или IDCLIP
9653694352====>Код:IDKFA или IDCLIP
9672942996====>Код:IDKFA или IDCLIP
9653694347====>Код:IDKFA или IDCLIP
9060469003====>код:IRON FORGE
9060469104====>код:IRON FORGE
9060469003====>код:IRON FORGE
90605877493====>код:IRON FORGE
9037527847====>код:IRON FORGE
9036614154====>код:IRON FORGE
9652112558====>код:IRON FORGE
9060468857====>код:IDCHOPPERS
9653251208====>код:IDCHOPPERS
89060468935====>код:IDCHOPPERS
9653251459====>код:IDCHOPPERS
9652665581====>код:RADIO FREE ZERG
9647731346====>код:RADIO FREE ZERG
9653491447====>код:SALLY SHEARS
9652417085====>код:SALLY SHEARS
9670537232====>код:SALLY SHEARS
9652665573====>код:SALLY SHEARS
9652417077====>код:SALLY SHEARS
9653491448====>код:SALLY SHEARS
9652417086====>код:SALLY SHEARS
9639777024====>код:SALLY SHEARS
9652417086====>код:SALLY SHEARS
9652112514====>код: HURRY UP GUYS
89037527591====>код: HURRY UP GUYS
9652112513====>код: HURRY UP GUYS
9645221024====>код: HURRY UP GUYS
9653253898====>код: HURRY UP GUYS
9651211805====>код:THERE IS NO COW LEVEL
9672547908====>код:THERE IS NO COW LEVEL
9096876514====>код:THERE IS NO COW LEVEL
9672547909====>код:THERE IS NO COW LEVEL
9672614480====>код:THERE IS NO COW LEVEL
9672942993====>код:POT OF GOLD
9637873247====>код:POT OF GOLD
9637873234====>код:POT OF GOLD
9645972955====>код:POT OF GOLD
9652520436====>код: BREATHE DEEP
8965252043637====>код: BREATHE DEEP
9652417250====>код: BREATHE DEEP
9651633035====>код:WHATS MINE IS MINE
9647631557====>код:DNITEMS
9647628277====>код:DNITEMS
9670735360====>код:DNITEMS
89670735778====>код:DNITEMS
9637619361====>код:DNITEMS
9670734440====>код:SHAZAM
9647628380====>код:SHAZAM
9030086741====>код:SHAZAM
9647631536====>код:DNRATE
9629456907====>код: DNKEYS
9645213490====>код: DNKEYS
9099010810====>код: DNKEYS
9099010759====>код: DNKEYS
9629463283====>код: DNKEYS
9099010809====>код:VALDEZ
9653919160====>код:NOGLUES
9653909089====>код: WE ROCK
9653909535====>код: WE ROCK
9653985797====>код: WE ROCK
9645214599====>код: WE ROCK
9652750705====>код: WE ROCK
9653919227====>код: FEED MY HEAD
9645211891====>код: FEED MY HEAD
9646287477====>код: PLANET HELL
9652857355====>код: PLANET HELL
9652750711====>код: PLANET HELL
9652857296====>код: PLANET HELL
9671979528====>код: PLANET HELL
9671979549====>код: PLANET HELL
9652869510====>код: ELVENPATH
9645211826====>код: ELVENPATH
9645215166====>код: ELVENPATH
9645212294====>код: ELVENPATH
9645211482====>код: ELVENPATH
9652869510====>код: ELVENPATH
9645211826====>код: ELVENPATH
9652867322====>код: ELVENPATH
9652869504====>код: ELVENPATH
9645215166====>код: ELVENPATH
9645212294====>код: ELVENPATH
9652867455====>код:RAMMSTEIN
9652867450====>код:RAMMSTEIN
9652869479====>код:RAMMSTEIN
9652750720====>код:RAMMSTEIN
9652750722====>код:RAMMSTEIN
9629459542====>код: FRANK HERBERT
9653919221====>код:NOGLUES
9099561196====>код:IDSPISPOPD
9652750720====>код:RAMMSTEIN
9633240014====>код:PROTOSS
9670696982====>код:PROTOSS
9670999434====>код:PROTOSS
9652523916====>код:THE TROOPER
9637734686====>код:THE TROOPER
9652537545====>код:THE TROOPER
9670955653====>код:THE TROOPER
9652537359====>код:THE TROOPER
9637733439====>код:THERION
9688919806====>код:MUSTGO
9688919810====>код:MUSTDIE
9688919810====>код:MUSTDIE
9688919834====>код:MUSTDIE
9670958242====>код:MUSTDIE
9637734657====>код:MUSTDIE
9637734662====>код:MUSTDIE
9670964990====>код:MUSTDIE
9688920521====>код:MUSTDIE
9670696367====>код:MUSTDIE
9688919817====>код:MUSTDIE
9671979590====>код:VALDEZ
Trojan.WinLock.2741 на номер 89179525609
http://www.virustotal.com/file-scan/report.html?id=63492c7262dfbc8a528b388af578adc4c4e4b7f44968c058286513646e2f44a0-1306124602
89179525609
89179525547
89179525264
89879476221
89179517981
код:935318445
или
код:99885522
89179525609
89179525547
89179525264
89879476221
89179517981
код:935318445
или
код:99885522
Trojan.WinLock.2741 на номер 89816885547
http://www.virustotal.com/file-scan/report.html?id=d60cc8b61f870980464f819780901c9e4d02f3275c69edd70ab51a503c14b637-1316677002
89816885547
89816885571
89816885575
89816885537
89816885539
код: abcdefgh
89816885547
89816885571
89816885575
89816885537
89816885539
код: abcdefgh
суббота, 3 декабря 2011 г.
Trojan.WinLock.3300 или Trojan.WinLock.3278
Как-то забыл сюда добавить описание этого винлока.
Инструкция как его удалить уже давно есть в сети http://rghost.ru/9324771
-Код разблокировки отсутствует. Автор его просто не делал. Так что отправлять мошенникам деньги безсмысленно.
-Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины).
А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
-Также троян подменяет файлы
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
-Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
-В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
-Очень часто идет на пару с Backdoor.Butirat
C:\Documents and Settings\All Users\Application Data\netprotocol.exe
-Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"
-Файл C:\Windows\System32\userinit.exe как правило не заменяется,т.к. не хватает прав
-Копирует себя сюда C:\ProgramData\22CC6C32.exe
-Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\ProgramData\22CC6C32.exe "
Инструкция как его удалить уже давно есть в сети http://rghost.ru/9324771
Особенности
заражения этим видом Винлока.
XP
-Код разблокировки отсутствует. Автор его просто не делал. Так что отправлять мошенникам деньги безсмысленно.
-Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины).
А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
-Также троян подменяет файлы
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
-Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
-В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
-Очень часто идет на пару с Backdoor.Butirat
C:\Documents and Settings\All Users\Application Data\netprotocol.exe
-Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"
Windows 7/Vista
-Файл C:\Windows\System32\userinit.exe как правило не заменяется,т.к. не хватает прав
-Копирует себя сюда C:\ProgramData\22CC6C32.exe
-Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\ProgramData\22CC6C32.exe "
Trojan.MBRlock.12 на номер 079637566972
http://www.virustotal.com/file-scan/report.html?id=4898aba90f0eab70a292287b0936f2ed0bb0d9d6595d7d00724008fc2b040cfb-1322810570
079637566972
код:12865490410
Внимание! Ваш ПК заблокирован за просмотр и распространение порнографии сучастием несовершеннолетних, элементами насилия, педофилии. Все данныезашифровны и не подлежат к использованию без разблокировки. Для дальнейшейработы Вам необходимо оплатить штраф в размере 500 рублей в любом терминалеоплаты. Выберите на экране терминала категорию "Электронные деньги","Webmoney" и т.д. Найдите эмблему платежной системы WebMoney.Введите номер R кошелька (12 цифр) - 079637566972Внесите сумму 500 рублей. Внимание: учитывайте комиссию терминала.По завершению оплаты на выданном терминалом чеке оплаты Вы найдетеперсональный код, после ввода которого Ваш ПК будет автоматическиразблокирован. Любые попытки разблокировки без оплаты и ввода персональногокода, приведут к уничтожению операционной системы и всех хранящихся файлов.
079637566972
код:12865490410
пятница, 2 декабря 2011 г.
четверг, 1 декабря 2011 г.
Подписаться на:
Сообщения (Atom)