Методы обнаружения вирусов

5 мая 2012 года

Компания «Доктор Веб» в конце апреля уже сообщала о массовом распространении в почтовом спаме по всему миру вредной программы Trojan.Matsnu.1, шифрующей файлы пользователя. В предоставленном материале мы представляем доскональное разыскание принципов работы этой вредной программы, а уж уж уж уж а уж уж уж еще информацию, которая умножать пособить юзерам избежать инфецирования Trojan.Matsnu.1.

Троянец напечатан на языке Ассемблер, распространяется в облике заархивированных исполняемых файлов, вложенных в почтовые спам-сообщения с темой, в коей упоминается имя получателя. в случае коли юзер раскрывает картотека так ровно запускает содержащееся в нем приложение, троянец загружает в приостановленном состоянии svchost.exe так ровно записывает в него личный вирусный код. подобным образом, баста последующие деструктивные действия, реализующие функционал Trojan.Matsnu.1, будут производиться в контексте модуля svchost. вслед за тем троянец предохраняет свою копию с расширением .pre во временную папку Windows, запускает эту копию, а уж уж уж уж своеобразный файл удаляет.

После этого на базе серийного гостиница жесткого диска Trojan.Matsnu.1 генерирует нестандартный идентификационный номер инфицированной автомобиля (PCID). данный номер применяется в качестве ключа шифрования при общении с командным сервером.

Выполнив подготовительные этапы инсталляции так ровно инициализации, троянец показывает на экране уведомление об ошибке приложения Acrobat Reader: «Error: Could not write value Folders to key», синхронно с тем самым снимок главного модуля сберегается в папку Windowssystem32 с именем, включающим серийный номер жесткого диска инфицированного персонального персонального персонального персонального персонального персонального компьютера так ровно комплект случайных символов. данный линия записывается в качестве смысла параметра Userinit в отрасли системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Примечательно, ровно Trojan.Matsnu.1 перестать делает данный шаг на 64-разрядных системах.

Другая снимок троянца помещается в папку %AppData%случайная строка, линия к данному файлу записывается в отрасль системного реестра, отвечающую за автозагрузку приложений. Далее, способом неоднократного вызова утилиты reg.exe с всевозможными аргументами, Trojan.Matsnu.1 отключает загрузку в неопасном режиме, перекрывает вероятность пуска утилит taskmanager.exe, regedit.exe, msconfig.exe.

Поскольку троянец перестать сберегает в своих ресурсах отвечающие за разговор с юзером графические файлы, они загружаются с удаленного сервера в облике CAB-архива. требования к командному серверу посылает снимок Trojan.Matsnu.1, хранящаяся во временной папке Windows. Из загруженного вредной программой архива извлекаются файлы способом вызова типовой утилиты extrac32.exe. в случае коли снюхаться с командным центром перестать удалось, пробы соединения будут повторяться с перерывом в 20 минут. В случае удачной загрузки так ровно распаковки архива Trojan.Matsnu.1 предохраняет познания о своем состоянии в конфигурационный файл, генерирует случайный родник так ровно посылает его на сервер злоумышленников, опосля чего пробует зашифровать баста файлы на дисках инфицированного компьютера. Сгенерированный троянцем родник перестать сберегается на зараженной машине. в случае коли на предоставленном рубеже троянцу перестать удастся завалить с удаленного узла картотека с изображениями, опосля перезагрузки персонального персонального персонального персонального персонального персонального компьютера ему же довольно наново передано управление, так ровно Trojan.Matsnu.1 сумеет зашифровать файлы, в случае коли приобретет соответственную директиву от командного центра. У зашифрованных файлов троянец обменивает имя по шаблону locked-filename. <random>, где-нибудь filename — оригинальное имя файла с расширением, а уж уж уж уж <random> — последовательность из четырех случайных символов.

При надлежащем запуске Windows производится снимок Trojan.Matsnu.1, сохраненная в папке %AppData%случайная строка, либо снимок из папки Windowssystem32. На экране персонального персонального персонального персонального персонального персонального компьютера показывается диалоговое окно, содержащее раньше извлеченные из архива изображения.

screen

screen

screen

screen

В диалоговых окнах, демонстрируемых юзеру вредной программой Trojan.Matsnu.1, говорится о том, ровно его система была инфицирована троянцем-кодировщиком, зашифровавшим баста файлы на жестких дисках. преступники просят юзера перестать отключать комп во избежание утраты данных. Для расшифровки файлов вирусописатели предлагают жертве завалить особое «обновление», цену коего составляет 50 евро. Для оплаты должно пользоваться одной из более бытующих на территории Европы платежных систем.

Одновременно с демонстрацией предоставленного сообщения троянец ждёт поступления команд от удаленного управляющего центра. между принимаемых Trojan.Matsnu.1 директив можно наметить следующие:

  • убить систему (удалить баста файлы на жестких дисках);
  • загрузить с веб-сайта злоумышленников указанную программу так ровно пустить ее;
  • загрузить так ровно продемонстрировать альтернативные изображения для диалогового окна;
  • сохранить на диск присланный исполняемый файл так ровно пустить его в облике фонового процесса;
  • расшифровать файлы (ключ присылается с веб-сайта злоумышленников друг с другом с командой);
  • зашифровать файлы сызнова однажды с применением опять-таки сгенерированного ключа;
  • обновить перечень управляющих серверов;
  • обновить коренной модуль троянца.

Учитывая машистые активные полномочия предоставленной троянской программы, невозможно недооценивать ее вредный потенциал. От деяния Trojan.Matsnu.1 уже пострадало огромное численность юзеров в странах Европы так ровно Латинской Америки. С целью пособить всем, кто-либо по неосмотрительности либо в силу факторов запустил на своем персональном компьютере это вредное приложение, фирма «Доктор Веб» выпустила особую утилиту для расшифровки файлов, коию можно бесплатно скачать с нашего сайта.

Во избежание проникновения на ваши компы троянца Trojan.Matsnu.1, а уж уж уж уж а уж уж уж еще в целях минимизации последствий инфецирования помните о нескольких легких правилах:

  • Не открывайте вложения в сообщениях электронной почты, приобретенных из неблагонадежных источников.
  • Создавайте резервные клоны более ценных для вас файлов.
  • В случае в случае коли ваши файлы оказались зашифрованы, перестать старайтесь услать что-либо с дисков вашего персонального персонального персонального персонального персонального персонального компьютера либо переустановить операционную систему.
  • Если демонстрируемое на экране вашего персонального персонального персонального персонального персонального персонального компьютера изображение кажется на представленное в подлинной статье, попробуйте независимо дешифрировать файлы с поддержкой предлагаемой корпорацией «Доктор Веб» бесплатной утилиты.
  • Если попытка перестать увенчалась успехом, обратитесь в антивирусную лабораторию фирмы «Доктор Веб», создав тикет в категории «Запрос на лечение». данная услуга бесплатна.
  • Не позабудьте устремиться с соответственным заявлением в полицию.
НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

Main menu


Sub menu