Trojan-Ransom.Win32. XBlocker.wu

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы.

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является приложением Windows (PE-EXE файл). Имеет размер 149504 байта. Написана на C++.

Инсталляция

После запуска троянец выполняет следующие действия:

  • копирует свое тело в следующие файлы:
    %ALLUSERSPROFILE%\Media\plugin.exe
    %ALLUSERSPROFILE%\Media\watcher.exe
  • Для автоматического запуска созданных копий при каждом следующем старте системы создает ключ системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Module" = "%ALLUSERSPROFILE%\Media\plugin.exe"
  • Запускает на выполнение ранее созданную копию "plugin.exe". После запуска файл "plugin.exe" в свою очередь запускает "watcher.exe". Таким образом, в системе всегда присутствуют два троянских процесса, способных запускать друг друга в случае завершения одного из них.
  • Создает и запускает сценарий командного интерпретатора:
    %ALLUSERSPROFILE%\Media\rdb.bat
    следующего содержания:
    cd %ALLUSERSPROFILE%\Media\
    echo>"plugin.exe:Zone.Identifier"
    echo>"watcher.exe:Zone.Identifier"
  • Для идентификации своего присутствия в системе создает ключи системного реестра:
    [HKLM\Software\PdmSoftware]
    "Registered" = "0"
    "Level" = "1"
    "Version" = "5151"
    "VersionUpdate" = "5121"
  • Отключает UAC (User Account Control), изменяя для этого значение ключа системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
    "EnableLUA" = "0"
  • Выводит на экран сообщение следующего вида:

  • Открывает в браузере, установленном по умолчанию, следующий сайт:
    http://www.tn***lix.com/
    После этого троянец завершает свою работу.

    Деструктивная активность

    Троянец отображает поверх всех окон в правом нижнем углу экрана окно следующего вида:

    Нажатие на кнопку "Смотреть видео" открывает в браузере, установленном по умолчанию, сайт:

    http://www.tn***lix.com/