Вредоносная программа, требующая выкуп за установку необходимого пользователю программного обеспечения. Является приложением Windows .NET (PE-EXE файл). Имеет размер 1696186 байт.
Деструктивная активность
В ходе работы вредонос извлекает из своего тела следующие файлы:
%WinDir%\Temp\7z.dll
(914432 байта; библиотека является ядром архиватора "7-Zip")
%WinDir%\Temp\image
(119168 байт)
%WinDir%\Temp\archive.xml
(773 байта)
<полный путь к оригинальному файлу вредоноса>\SevenZipSharp.dll
(152064 байта; библиотека представляет собой обертку над "7-Zip", позволяющую использовать возможности архиватора в .NET приложениях)
Файл "image" является изображением в формате PNG следующего вида:
Файл "archive.xml" содержит строки:
<ziparchive>
- <name>
- <![CDATA[
Генератор ключей Alawar
]]>
</name>
- <description>
- <![CDATA[
Программа установит на Ваш компьютер. Рекомендуем закрыть все приложения перед тем, как продолжить. Нажмите "Далее", чтоб продолжить, или "Отмена" чтобы выйти из программы установки.
]]>
</description>
- <files>
- <file size="3072">
<name>gen.exe</name>
- <position<
<item<0</item<
</position<
- <content<
- <![CDATA[
gen.exe70,3448534805071
]]<
</content<
</file<
</files<
- <prices<
<sms1<5</sms1<
<sms2<5</sms2<
<sms3<5</sms3<
</prices<
<options allowAlternatePrice="yes" showPrice="yes" askUsername="yes" /<
<banned_countries /<
<id<6870</id<
</ziparchive<
Вредонос выполняет инсталляцию на компьютере пользователя программы-генератора ключей для игр компании Alawar Entertainment:
http://www.alawar.ru
В процессе инсталляции отображаются следующие окна:
На определенном этапе процесса инсталляции пользователю требуется выполнить активацию. Для этого следует отправить SMS-сообщение на некоторый платный короткий номер:
Для проверки введенного кода активации вредонос обращается к ресурсу:
www.zip***chive.com
Кроме того, на данный ресурс отправляются введенные пользователем регистрационные данные, а также получаются отображаемые вредоносом номера и тексты SMS-сообщений.
Вредонос ведет лог своей работы, сохраняя его в файле:
<полный путь к оригинальному файлу вредоноса>\unpack.log
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Завершить работу вредоноса.
Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
%WinDir%\Temp\7z.dll
%WinDir%\Temp\image
%WinDir%\Temp\archive.xml
<полный путь к оригинальному файлу вредоноса>\SevenZipSharp.dll
<полный путь к оригинальному файлу вредоноса>\unpack.log
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web