Virus Messenger - Korisnici crva ucjenjuju

Crv Randsom.A paralizira zaražena računala šifrirajući datoteke pohranjene na njima i pokušavajući zaraditi novac.

Symantec i Isidor Security Center izvijestili su da je još jedan ucjenjivački crv započeo svoje osvajanje. THE Slučajnost.A Nakon stvaranja nekih datoteka i izmjene registra, imenovani zlonamjerni softver počet će prikupljati povjerljive podatke. Prenosi stečene podatke na unaprijed definirani udaljeni poslužitelj putem Interneta. Crv tada šifrira datoteke u sustavu Windows, programske datoteke i druge direktorije važne za rad sustava Windows. Zatim pokušajte nagovoriti korisnika da kupi softver potreban za dešifriranje datoteka. Randsom.A pokušava se ukloniti na što više računala putem prijenosnih pogona i mrežnih dionica.

Kada se crv Randsom.A pokrene, on izvršava sljedeće radnje:

1. Stvorite sljedeće datoteke:
   % Windir% \ lsass.exe
   % Windir% \ NeroDigit16.inf
   % Windir% \ services.exe
   % Windir% \ UNINSTLV16.exe
   % Windir% \ NeroDigit32.inf
   % Temp% \ errir.exe
2. Prikazuje prozor s porukom s tekstom "Win32 aplikacija – ne odgovara" u naslovnoj traci.
3. Stvorite sljedeću datoteku:
   % Windir% \ ulodb3.ini
4. U bazu podataka za registraciju dodajte sljedeće podatke:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
   “StubPath” = “%Windir%\UNINSTLV16.exe”
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \
   Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
   “StubPath” = “%Windir%\UNINSTLV16.exe”
5. Kopira sljedeće tri datoteke na svaki prijenosni i mrežni pogon:
   % DriveLetter% \ tg_root \ Skype.exe
   % DriveLetter% \ tg_root \ Uninstall.exe
   % DriveLetter% \ autorun.inf
6. Stvorite sljedeću datoteku:
   % UserProfile% \ feedback.html
7. Prikuplja povjerljive podatke i prenosi ih na unaprijed definirani udaljeni poslužitelj.
8. Šifrira sljedeće direktorije i datoteke u njima:
   % Windir%
   % Korisnički profil%
   % Programske datoteke%
   % SystemDrive% \ Boot
   % SystemDrive% \ ProgramData \ Microsoft
   % SystemDrive% \ users \ Svi korisnici \ Microsoft
   Pruža šifrirane datoteke s nastavkom .XNC.
   Crv ne šifrira datoteke ni s jednim od sljedećih nastavaka:
   . COM
   .TAKSI
   . COM
   . DLL
   ini
   .LNK
   dnevnik rada
   .DAVNO
   .SYS
   .XNC
9. Stvorite sljedeće datoteke:
   % SystemDrive% \ [put] \ PROČITAJTE OVO.txt
   % SystemDrive% \ [put] \ !!!! PROČITAJTE OVO !!!!. Txt