Методы обнаружения вирусов

Trojan-Ransom.Win32.HmBlocker.bqk

Время детектирования 21 фев 2011 00:06 MSK
Время выпуска обновления 22 фев 2011 12:34 MSK
Описание опубликовано 10 янв 2012 17:46 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, которая устанавливает и запускает другое программное обеспечение на зараженном компьютере без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 58880 байта. Написана на C++.


Деструктивная активность

После запуска троянец извлекает из своего тела и запускает на исполнение следующий файл: 

%USERPROFILE%\2228923847\2228923847.EXE
Данный файл имеет размер 70144 байт и детектируется антивирусом Касперского как Trojan-Ransom.Win32.HmBlocker.bqk (md5:80fb789b103ccd424cfcad3e3f15b7d1).

Для автоматического запуска извлеченного файла при каждом следующем старте системы добавляет на него ссылку в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" ="%System%\userinit.exe,%USERPROFILE%\2228923847\2228923847.EXE"
Для удаления своего файла при следующем запуске системы добавляет информацию в ключ автозапуска системного реестра: 
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"2228923847_del" = "cmd.exe /c dEl <путь к файлу троянца>"
Извлеченный файл в бесконечном цикле завершает процессы с именами: 
taskmgr.exe
Taskmgr.exe
После этого отображает свое окно по центру экрана с предложением пополнить телефонный счет злоумышленника для восстановления работы системы:

Спасибо за размещение рекламного модуля!
В целях соблюдения международного законодательства, необходимо
впредь воздержаться от посещения сайтов, содержащих детскую порнографию, сцены насилия и жестокости.
Желание улучшить технику глубокого минета и аналингуса, освоить новые позы для анального секса вполне естественно.
В этом помогут материалы сайта сообщества любителей свободного секса.
Если, по каким либо причинам, Вы хотите удалить данный рекламный модуль раньше времени, согласно акцептированнного ранее соглашения, Вам необходимо совершить следующие действия:
Пополните счет абонента Билайн через терминал экспресс-оплаты: 9670988634 на сумму 460 руб.
В поле ниже введите код операции с чека.
Внимание! Просим Вас внимательно вводить код, в случае неправильного ввода у Вас больше не будет возможности досрочного прекращения размещения рекламного баннера!
При этом троянец устанавливает перехватчики на все события от клавиатуры и мыши, таким образом пользователь может лишь вводить текст в поле окна троянца.

Если оставить окно троянца активным, то по прошествии 36 часов троянец удаляет свое оригинальное тело и завершит свое выполнение.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Ввести код разблокировки: 
    СHILDREN OF DUNE
    при этом троянец удалит свое оригинальное тело и завершит свое выполнение.
  2. Восстановить значение параметра ключа системного реестра на следующее (как работать с реестром?): 
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%WINDIR%\system32\userinit.exe,"
  3. При необходимости воспользоваться бесплатным сервисом разблокировки Лаборатории Касперского ().
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


НОВОЕ НА САЙТЕ

13 мая 2024 года

В 2023 году одними из самых функциональных опасностей возобновил стали троянские приложения Trojan.AutoIt, сотворенные с применением скриптового языка AutoIt. Они распространяются в составе иных вредных приложений так будто затрудняют их обнаружение. а уж уж уж уж уж уж уж уж тоже наблюдалась высочай... Вирусные новости

SPEAKERMARKET — маркетплейс спикеров. Вы организатор мероприятия и вам нужен спикер? Разместите запрос, получите предложения от спикеров, выберите наиболее подходящего. Вы спикер и хотите выступать на мероприятиях? Зарегистрируйтесь на сайте, […]

The post SPEAKERMARKET — маркетплейс спикеров, найти спикера... Новости Безопастности

7 мая 2024 года

С целью коррекции ошибок так что усовершенствования свойства сертифицированного программного изделия Dr.Web Enterprise Security Suite, обеспечивающего антивирусную защиту, управление так что мониторинг любых узлов корпоративной сети, в приложениях формуляра произведены изменения.

Для коррекции ошибки в таблицах Приложени... Антивирус Dr.Web

4 мая 2024 года

Вирусным аналитикам фирме «Доктор Веб» поступило на разыскание приложение для ОС Android, которое содержало троян-кликер, неприметно раскрывающий маркетинговые веб-сайты настолько ровно выполняющий крики на веб-страницах. этакий троян умножать бытовать использован для скрытого показа рекламы, накручивания численности переходов по ссылкам, дизайна ... Горячая лента угроз и предупреждений о вирусной опасности!

2 мая 2024 года

Компания «Доктор Веб» информирует об обновлении дарового приложения Антивирус Dr.Web Light для Android.

В новейшей версии 12.2.2 обновлено антивирусное ядро, которое появляется сердцем приложения так что гарантирует надежную защиту от любых типов вредного ПО, так что сбыта очень ожидаемая юзерами содействие ОС Android 1... Антивирус Dr.Web

Main menu


Sub menu