Зайцев Олег
22.04.2009, 17:17
Видимые проявления:
Блокировка работы Windows, требование послать SMS для разблокировки
Невозможность переключения между задачами и вызова диспетчера задач
Описание:
Вредоносная программа-вымогатель, размер исполняемого файла 94 кб, файл упакован.
В случае запуска вредоносная программа выполняет следующие операции:
1. Осуществляет регистрацию своего исполняемого файла в автозапуске стандартным образом (ключ реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run , имя параметра несмысловое). Файл зловреда при этом никуда не копируется - он записывается в автозапуск под тем именем, под которым был запущен 2. Осуществляется запуск диспетчера задач и маскировку его окна
3. Отображается окно с требованием выкупа с блокировкой экрана.
При этом сочетания клавиш типа ALT-F4, Win-E, Win-R не работают, нажатие Ctrl+ALT+Del приводит к отображению черного экрана (по причине того, что диспетчер задач уже запущен и его окно невидимо).
Экран зараженного ПК выглядит следующим образом:
http://virusinfo.info/attachment.php?attachmentid=127440
На месте "..." в данном рисунке указано ключевое слово и номер, на которые следует отправлять SMS для получения кода разблокировки. По поведению данный зловред похож на Trojan.Win32.Delf.aig, но данный зловред наносит меньше ущерба системе, так как не удаляет диспетчер задач на диске.
Лечение:
Естетственно, что не следует посылать SMS с указанными параметрами. Загрузка в безопасном режиме возможна и при этом не происходит запуск зловреда. Поэтому следует загрузиться в защищенном режиме и отключить принадлежащий зловреду элемент автозапуска (вычислить необходимый файл его проще всего путем выполнения правил раздела Помогите форума virusinfo.info - http://virusinfo.info/forumdisplay.php?f=46).
Блокировка работы Windows, требование послать SMS для разблокировки
Невозможность переключения между задачами и вызова диспетчера задач
Описание:
Вредоносная программа-вымогатель, размер исполняемого файла 94 кб, файл упакован.
В случае запуска вредоносная программа выполняет следующие операции:
1. Осуществляет регистрацию своего исполняемого файла в автозапуске стандартным образом (ключ реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run , имя параметра несмысловое). Файл зловреда при этом никуда не копируется - он записывается в автозапуск под тем именем, под которым был запущен 2. Осуществляется запуск диспетчера задач и маскировку его окна
3. Отображается окно с требованием выкупа с блокировкой экрана.
При этом сочетания клавиш типа ALT-F4, Win-E, Win-R не работают, нажатие Ctrl+ALT+Del приводит к отображению черного экрана (по причине того, что диспетчер задач уже запущен и его окно невидимо).
Экран зараженного ПК выглядит следующим образом:
http://virusinfo.info/attachment.php?attachmentid=127440
На месте "..." в данном рисунке указано ключевое слово и номер, на которые следует отправлять SMS для получения кода разблокировки. По поведению данный зловред похож на Trojan.Win32.Delf.aig, но данный зловред наносит меньше ущерба системе, так как не удаляет диспетчер задач на диске.
Лечение:
Естетственно, что не следует посылать SMS с указанными параметрами. Загрузка в безопасном режиме возможна и при этом не происходит запуск зловреда. Поэтому следует загрузиться в защищенном режиме и отключить принадлежащий зловреду элемент автозапуска (вычислить необходимый файл его проще всего путем выполнения правил раздела Помогите форума virusinfo.info - http://virusinfo.info/forumdisplay.php?f=46).