Кибербезопасность-обсуждение

[Tuflya07]

Trojan-Ransom.Win32. FraudBlocker.c

25 мая, 2010


Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE-EXE файл). Имеет размер 108544 байта. Написана на Delphi.
Инсталляция

После запуска троянец копирует свое тело в следующий файл:
%System%\portmap.exe
Далее созданная копия запускается на выполнение, а оригинальный файл троянца завершает свою работу.
Деструктивная активность

После запуска троянец выполняет следующие действия:
для автоматического запуска своего исполняемого файла при каждом следующем старте системы создает ключи системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer]
"DisableLocalUserRun" = "1"
"DisableLocalUserRunOnce" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\explorer]
"DisableLocalMachineRun" = "1"
"DisableLocalMachineRunOnce" = "1"
"DisableLocalUserRun" = "1"
"DisableLocalUserRunOnce" = "1"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "%System%\portmap.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"portmap.exe" = "%System%\portmap.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "%System%\portmap.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\explorer\run]
"1" = "%System%\portmap.exe"
Создает ярлык:
%USERPROFILE%\Start Menu\Programs\Startup\Quick Office.lnk
Ярлык указывает на файл:
%System%\portmap.exe
Блокирует запуск Редактора реестра, а также Диспетчера задач Windows путем создания следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System]
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1"
Скрывает окно с именем класса "Shell_TrayWnd" (Панель задач).
Завершает работу процесса "explorer.exe".
Выводит на передний план окно, перекрывающее все окна запущенных пользователем процессов. Окно имеет следующий вид:



Нажатие на кнопку "Не лечить" приводит к перезагрузке системы.