Hoax.MSIL.ArchSMS.af
| Время детектирования | 08 апр 2011 15:08 MSK |
| Время выпуска обновления | 12 апр 2011 11:46 MSK |
| Описание опубликовано | 20 янв 2012 18:30 MSK |
Технические детали
Вредоносная программа, требующая выкуп за установку необходимого пользователю программного обеспечения. Является приложением Windows .NET (PE-EXE файл). Имеет размер 1696186 байт.
Деструктивная активность
В ходе работы вредонос извлекает из своего тела следующие файлы:
%WinDir%\Temp\7z.dll(914432 байта; библиотека является ядром архиватора "7-Zip")
%WinDir%\Temp\image(119168 байт)
%WinDir%\Temp\archive.xml(773 байта)
<полный путь к оригинальному файлу вредоноса>\SevenZipSharp.dll(152064 байта; библиотека представляет собой обертку над "7-Zip", позволяющую использовать возможности архиватора в .NET приложениях)
Файл "image" является изображением в формате PNG следующего вида:
<ziparchive> - <name> - <![CDATA[ Генератор ключей Alawar ]]> </name> - <description> - <![CDATA[ Программа установит на Ваш компьютер. Рекомендуем закрыть все приложения перед тем, как продолжить. Нажмите "Далее", чтоб продолжить, или "Отмена" чтобы выйти из программы установки. ]]> </description> - <files> - <file size="3072"> <name>gen.exe</name> - <position< <item<0</item< </position< - <content< - <![CDATA[ gen.exe70,3448534805071 ]]< </content< </file< </files< - <prices< <sms1<5</sms1< <sms2<5</sms2< <sms3<5</sms3< </prices< <options allowAlternatePrice="yes" showPrice="yes" askUsername="yes" /< <banned_countries /< <id<6870</id< </ziparchive<Вредонос выполняет инсталляцию на компьютере пользователя программы-генератора ключей для игр компании Alawar Entertainment:
http://www.alawar.ruВ процессе инсталляции отображаются следующие окна:
На определенном этапе процесса инсталляции пользователю требуется выполнить активацию. Для этого следует отправить SMS-сообщение на некоторый платный короткий номер:
Ссылки:
правилами Информация для абонентауказывают соответственно на ресурсы:
http://zip***chive.com/abonent_rules http://hel***mc.ru/Для проверки введенного кода активации вредонос обращается к ресурсу:
www.zip***chive.comКроме того, на данный ресурс отправляются введенные пользователем регистрационные данные, а также получаются отображаемые вредоносом номера и тексты SMS-сообщений.
Вредонос ведет лог своей работы, сохраняя его в файле:
<полный путь к оригинальному файлу вредоноса>\unpack.log
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Завершить работу вредоноса.
- Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%WinDir%\Temp\7z.dll %WinDir%\Temp\image %WinDir%\Temp\archive.xml <полный путь к оригинальному файлу вредоноса>\SevenZipSharp.dll <полный путь к оригинальному файлу вредоноса>\unpack.log
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (
).
НОВОЕ НА САЙТЕ
23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года