Vælg side

Virus Messenger - Worms afpresning brugere

Skrevet af: | 2008. november 28 | | 0 |

The Randsom.A orm lammer inficerede computere ved at kryptere de filer, der er gemt på dem, og derefter forsøge at tjene penge.

Symantec og Isidor Security Center rapporterede, at en anden afpresningsorm havde startet sin erobringsrejse. DET Randsom.A Efter oprettelse af nogle filer og ændring af registreringsdatabasen begynder den navngivne malware at indsamle fortrolige oplysninger. Det uploader de erhvervede oplysninger til en foruddefineret ekstern server over Internettet. Ormen krypterer derefter filerne i Windows, Program Files og andre mapper, der er vigtige for driften af ​​Windows. Prøv derefter at overtale brugeren til at købe den nødvendige software til at dekryptere filerne. Randsom.A stræber efter at komme på så mange computere som muligt, primært gennem flytbare drev og netværksshares.

Virus Messenger - Worms afpresning brugere

Når Randsom.A-ormen starter, udfører den følgende handlinger:

  1. Opret følgende filer:
    % Windir% \ lsass.exe
    % Windir% \ NeroDigit16.inf
    % Windir% \ services.exe
    % Windir% \ UNINSTLV16.exe
    % Windir% \ NeroDigit32.inf
    % Temp% \ errir.exe
  2. Viser et meddelelsesfelt med "Win32-applikation - svarer ikke" i titellinjen.
  3. Opret følgende fil:
    % Windir% \ ulodb3.ini
  4. Føj følgende poster til registreringsdatabasen:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
    Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
    "StubPath" = "% Windir% \ UNINSTLV16.exe"
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
    Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
    "StubPath" = "% Windir% \ UNINSTLV16.exe"
  5. Den kopierer følgende tre filer til hvert flytbart og netværksdrev:
    % DriveLetter% \ tg_root \ Skype.exe
    % DriveLetter% \ tg_root \ Uninstall.exe
    % DriveLetter% \ autorun.inf
  6. Opret følgende fil:
    % UserProfile% \ feedback.html
  7. Det indsamler fortrolige data og sender dem til en foruddefineret fjernserver.
  8. Det krypterer følgende mapper og filerne i dem:
    % Windir%
    % Brugerprofil%
    % Programfiler%
    % SystemDrive% \ Boot
    % SystemDrive% \ ProgramData \ Microsoft
    % SystemDrive% \ brugere \ Alle brugere \ Microsoft
    Tilbyder krypterede filer med en .XNC-udvidelse.
    Ormen krypterer ikke filer med nogen af ​​følgende udvidelser:
    . Com
    .CAB
    . Com
    . Dll
    .INI
    .LNK
    .LOG
    .REG
    .SYS
    .XNC
  9. Opret følgende filer:
    % SystemDrive% \ [sti] \ LÆS DETTE.txt
    % SystemDrive% \ [sti] \ !!!! LÆS DETTE !!!!. Txt
Læsning: 1

Måle:

Om forfatteren

Clingers

Relaterede indlæg

Tredimensionel browser i horisonten

Tredimensionel browser i horisonten

2005-08-15

Miss Croft blev kræsne

Miss Croft blev kræsne

2013-03-08

Microsoft bukkede under for presset

Microsoft bukkede under for presset

2006-01-07

IP-adresse til alle armaturer!

IP-adresse til alle armaturer!

2011-05-19

banner

KøbBestGear

Ad

ranvee

Ranvee Hvidevarer