Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы
Троянская программа, которая блокирует работу компьютера с целью получить выкуп за восстановление работы. Является приложением Windows (PE-EXE файл). Имеет размер 108544 байта. Написана на Delphi.
Инсталляция
После запуска троянец копирует свое тело в следующий файл:
%System%\portmap.exeДалее созданная копия запускается на выполнение, а оригинальный файл троянца завершает свою работу.
name="doc3">
Деструктивная активность
После запуска троянец выполняет следующие действия:
- для автоматического запуска своего исполняемого файла при каждом следующем старте системы создает ключи системного реестра:[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun" = "1"
"DisableLocalUserRunOnce" = "1"
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"DisableLocalMachineRun" = "1"
"DisableLocalMachineRunOnce" = "1"
"DisableLocalUserRun" = "1"
"DisableLocalUserRunOnce" = "1"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "%System%\portmap.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"portmap.exe" = "%System%\portmap.exe"
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "%System%\portmap.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"1" = "%System%\portmap.exe" - Создает ярлык:
%USERPROFILE%\Start Menu\Programs\Startup\Quick Office.lnk
Ярлык указывает на файл:%System%\portmap.exe
- Блокирует запуск Редактора реестра, а также Диспетчера задач Windows путем создания следующих ключей системного реестра:[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1" - Скрывает окно с именем класса "Shell_TrayWnd" (Панель задач).
- Завершает работу процесса "explorer.exe".
- Выводит на передний план окно, перекрывающее все окна запущенных пользователем процессов. Окно имеет следующий вид:
Нажатие на кнопку "Не лечить" приводит к перезагрузке системы.