tesztpad - Féreg zsarolja a felhasználókat

Partnereink:

Féreg zsarolja a felhasználókat

A hír megjelenését a biztonságportál támogatta.
A Randsom.A féreg a fertőzött számítógépeket az azokon tárolt fájlok titkosításával bénítja meg, majd megpróbál pénzhez jutni.
A Symantec és az Isidor Biztonsági Központ arról számolt be, hogy egy újabb zsaroló féreg kezdte meg hódító útját. A Randsom.A nevű kártevő néhány fájl létrehozása, és a regisztrációs adatbázis módosítgatása után bizalmas adatokat kezd el gyűjtögetni. A megszerzett információkat egy előre meghatározott, távoli szerverre tölti fel az Interneten keresztül. A féreg ezt követően a Windows, a Program Files és egyéb, a Windows működése szempontjából fontos könyvtárakba titkosítja le a fájlokat. Majd arra próbálja rávenni a felhasználót, hogy vásárolja meg a fájlok visszafejtéséhez szükséges szoftvert. A Randsom.A elsősorban cserélhető meghajtókon és hálózati megosztásokon keresztül igyekszik minél több számítógépre felkerülni. Amikor a Randsom.A féreg elindul, akkor az alábbi műveleteket hajtja végre: 1. Létrehozza a következő fájlokat: %Windir%\lsass.exe %Windir%\NeroDigit16.inf %Windir%\services.exe %Windir%\UNINSTLV16.exe %Windir%\NeroDigit32.inf %Temp%\errir.exe 2. Megjelenít egy üzenetablakot, amelynek címsorában a "Win32 Application - Not responding" szöveg szerepel. 3. Létrehozza az alábbi állományt: %Windir%\ulodb3.ini 4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\"StubPath" = "%Windir%\UNINSTLV16.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\"StubPath" = "%Windir%\UNINSTLV16.exe" 5. Minden cserélhető és hálózati meghajtóra felmásolja az alábbi három állományt: %DriveLetter%\tg_root\Skype.exe %DriveLetter%\tg_root\Uninstall.exe %DriveLetter%\autorun.inf 6. Létrehozza az alábbi fájlt: %UserProfile%\feedback.html 7. Bizalmas adatokat gyűjt össze, amelyeket továbbít egy előre meghatározott távoli szerverre. 8. A következő könyvtárakat valamint az azokban található fájlokat letitkosítja: %Windir% %UserProfile% %ProgramFiles% %SystemDrive%\Boot %SystemDrive%\ProgramData\Microsoft %SystemDrive%\users\All Users\Microsoft A kódolt állományokat .XNC kiterjesztéssel látja el. A féreg nem titkosítja a következő kiterjesztések valamelyikével rendelkező állományokat: .COM .CAB .COM .DLL .INI .LNK .LOG .REG .SYS .XNC 9. Létrehozza a következő fájlokat: %SystemDrive%\[elérési útvonal]\READ THIS.txt %SystemDrive%\[elérési útvonal]\!!!!READ THIS!!!!.txt
Kapcsolodó cikkek, tesztek: Hírek Biztonsági Hírek

| Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu