Trojan-Ransom.Win32.DoubleEagle.ez
| Время детектирования | 07 окт 2011 02:35 MSK |
| Время выпуска обновления | 07 окт 2011 04:34 MSK |
| Описание опубликовано | 05 дек 2011 13:51 MSK |
Технические детали
Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE-EXE файл). Имеет размер 186368 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 139 КБ. Написана на C++.
Инсталляция
После запуска троянец создает копию своего файла с именем "iefl.exe":%WinDir%\temp\iefl.exeДля автоматического запуска при каждом следующем старте системы троянец добавляет ссылки на свой исполняемый файл в ключи автозапуска системного реестра.
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeUpdater" = "%WinDir%\temp\iefl.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeUpdater" = "%WinDir%\temp\iefl.exe" [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe] "Debugger" = "%WinDir%\temp\iefl.exe"
Деструктивная активность
Для блокировки использования диспетчера задач Windows в бесконечном цикле закрывает окна со следующими заголовками:
Windows Task Manager Диспетчер задач Windows
Троянец запрещает использование сочетаний клавиш "Alt+Tab". После этого в бесконечном цикле отображает свое окно по центру экрана, предлагающее пополнить счет телефона злоумышленника:
+7 (911) 729 42 99для восстановления работы операционной системы.
Окно троянца выглядит следующим образом:
[DoubleEagle-ez.bmp]Троянец перехватывает клавиатурный ввод, пользователь может вводить лишь цифры и использовать клавишу Backspace.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Данный троянец не имеет кода разблокировки. Для удаления вредоносной программы воспользоваться утилитой Kaspersky WindowsUnlocker для борьбы с программами-вымогателями(
). - Удалить файл:
%WinDir%\temp\iefl.exe
- Удалить параметры ключей системного реестра (
): [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeUpdater" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeUpdater" [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe] "Debugger"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (
).
md5: 85E6A2B8575360A060CF80D7D0363548
sha1: 2FDA615F2E04F2DCB0F83F355C8A9D4C90E0D0A6
НОВОЕ НА САЙТЕ
23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года