Virus Messenger - vydírá uživatele Worms
Červ Randsom.A paralyzuje infikované počítače šifrováním souborů uložených na nich a poté se snaží vydělat peníze.
Společnosti Symantec a Isidor Security Center oznámily, že další vydírací červ začal dobývat. THE Ransom.A Po vytvoření některých souborů a úpravě registru začne pojmenovaný malware shromažďovat důvěrné informace. Nahraje získané informace na předdefinovaný vzdálený server přes internet. Červ poté zašifruje soubory v systému Windows, programové soubory a další adresáře, které jsou důležité pro fungování systému Windows. Pak zkuste přesvědčit uživatele, aby si koupil software potřebný k dešifrování souborů. Randsom.A se snaží dostat na co nejvíce počítačů prostřednictvím vyměnitelných jednotek a síťových sdílených složek.
Když se červ Randsom.A spustí, provede následující akce:
- Vytvořte následující soubory:
% Windir% \ lsass.exe
% Windir% \ NeroDigit16.inf
% Windir% \ services.exe
% Windir% \ UNINSTLV16.exe
% Windir% \ NeroDigit32.inf
% Temp% \ errir.exe - Zobrazí v záhlaví okno se zprávou „Aplikace Win32 - nereaguje“.
- Vytvořte následující soubor:
% Windir% \ ulodb3.ini - Přidejte následující položky do registrační databáze:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
"StubPath" = "% Windir% \ UNINSTLV16.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
"StubPath" = "% Windir% \ UNINSTLV16.exe" - Zkopíruje následující tři soubory na každou vyměnitelnou a síťovou jednotku:
% DriveLetter% \ tg_root \ Skype.exe
% DriveLetter% \ tg_root \ Uninstall.exe
% DriveLetter% \ autorun.inf - Vytvořte následující soubor:
% UserProfile% \ feedback.html - Shromažďuje důvěrná data a přenáší je na předdefinovaný vzdálený server.
- Šifruje následující adresáře a soubory v nich:
% Windir%
% Uživatelský profil%
% Programové soubory%
% SystemDrive% \ Boot
% SystemDrive% \ ProgramData \ Microsoft
% SystemDrive% \ users \ All Users \ Microsoft
Poskytuje šifrované soubory s příponou .XNC.
Červ nešifruje soubory s žádnou z následujících přípon:
. Com
.CAB
. Com
. Dll
INI
.LNK
.LOG
REG
.sys
.XNC - Vytvořte následující soubory:
% SystemDrive% \ [cesta] \ PŘEČTĚTE SI TENTO.txt
% SystemDrive% \ [cesta] \ !!!! PŘEČTĚTE SI TOTO !!!!. Txt