Trojan-Ransom.Win32. Digitala.bpk

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы.

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является приложением Windows (PE-EXE файл). Имеет размер 67584 байта. Программа упакована неизвестным упаковщиком. Распакованный размер – около 40 КБ Написана на C++.

Инсталляция

Перемещает свой оригинальный файл в каталог "Application Data" текущего пользователя Windows со следующим именем:

%AppData%\{<идентификатор>}\.exe
Где <идентификатор> - цифро-буквенная последовательность, например, "C6D3BC0E-F70C-A35F-FCF3-ED7E6D83CCA7" или "641CA5E6-9E2F-9EDF-B417-33FEDEA5C0FC", которую троянец получает преобразуя значение следующего параметра ключа системного реестра:
[HKLM\SYSTEM\Setup]
"Pid"
Для автоматического запуска при каждом следующем старте системы добавляет информацию в ключ системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AD Network" = "<путь к оригинальному телу троянца> <параметр>"
Где <параметр> - шестнадцатеричное число, троянец выполняет различные действия в зависимости от значения данного параметра.

Деструктивная активность

Троянец проверяет наличие следующего файла:

%WinDir%\tmp\bot.log
При наличии использует его в качестве лог-файла своей работы. Создает файл во временном каталоге текущего пользователя Windows, не являющегося вредоносным:
%Temp%\{217F200B-97B8-468d-AC3B-8577E112EEC1}.tlb
Данный файл имеет размер 3432 байта и используется троянцем для дальнейшей работы. Проверяет наличие файла:
%AppData%\{<идентификатор>}\.cfg
данный файл является файлом-конфигурации и содержит сценарий языка JavaScript, который троянец запускает на исполнение. В файле-конфигурации содержатся URL по которым троянец может загружать свою обновленную версию, обновленную версию файла-конфигурации или файлы с командами. Получая команду, троянец может открывать различные ресурсы в браузере пользователя или загружать файлы с последующим запуском их на исполнение. Загружаемые файлы сохраняются во временном каталоге текущего пользователя Windows c расширением ".tmp":
%Temp%\<имя файла>.tmp
В зависимости от параметра с которым был запущен, троянец может выполнять следующие действия:
  1. Выполнять инсталляцию, описанную выше.
  2. Удалять свое тело, созданные троянцем ключи реестра и файл конфигурации.
  3. Создавать следующие записи в ключе системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
    {<идентификатор>}]
    "DisplayIcon" = "<путь к оригинальному телу троянца>"
    "NoModify" = "1"
    "NoRepair" = "1"
    "DisplayName" = "AD Network"
    "Publisher" = "uCoz"
    "URLInfoAbout" = "http://www.ucoz.ru/"
    "UninstallString" = "<путь к оригинальному телу троянца>"
Таким образом троянца можно будет деинсталлировать, используя стандартное меню Windows "Установка и удаление программ".