30-31 октября 2009 года зафиксирован всплеск активности новой модификации троянского вымогателя Get Accelerator (Trojan-Ransom.Win32.Agent.gc).
Наименование:Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb (Лаборатория Касперского)
Также известен как:BehavesLike:Trojan.UserStartup (BitDefender)
Trojan.Botnetlog.11 (DrWeb)
Самоназвание:uFast Download Manager
Симптомы:
Как и в случае заражения
Get Accelerator (Trojan-Ransom.Win32.Agent.gc), на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы uFast Download Manager. Вредоносное ПО предлагает пользователю отправить SMS-сообщение с текстом
на короткий номер
7122. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается. В некоторых случаях пострадавшие жалуются также на блокировку Диспетчера задач.
DSC_1444.jpg
Состав вредоносной программы:Вредоносное ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) состоит из одного основного компонента - исполняемого файла %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage r.exe, размером 96256 байт, в протоколах AVZ отображаемого в списке активных процессов.
В некоторых случаях в системе сохраняется также и дроппер - исполняемый файл %UserProfile%\Главное меню\Программы\Автозагрузка\zavupd32.exe, размером 32000 байт, в протоколах AVZ отображаемый в списке элементов автозапуска.
Рекомендации в случае заражения:Если ваш ПК заражен вредоносным ПО
uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.
Для удаления типичного представителя
uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) с обычного домашнего или офисного ПК необходимо
выполнить скрипт в AVZ:
Код:
var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
QuarantineFile(SP+'\zavupd32.exe','');
QuarantineFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe','');
DeleteFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe');
DeleteFile(SP+'\zavupd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
Операционная система перезагрузится.
Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:
- В диспетчере устройств Windows удалите сетевой адаптер
- Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.
Если предложенные действия не помогли, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с
Правилами оформления запроса.
Примеры жалоб на uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb):