Trojan-Ransom.Win32. XBlocker.zq

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 29696 байт. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

1. извлекает из своего тела файл, который сохраняется в системе под следующим именем:

   %System%\lmsxsltsso.dll

   (6144 байта; детектируется Антивирусом Касперского как "Trojan-Downloader.Win32.Small.apou")
2. Регистрирует извлеченную библиотеку в системном реестре, создавая следующие ключи:
   [HKCR\CLSID\{16A913BA-E1CB-4362-B6B7-626B1DA1A1ED}\InProcServer32]
   "Default" = "%System%\lmsxsltsso.dll"
   
   [HKLM\Software\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   "LGootkitSSO" = "{16A913BA-E1CB-4362-B6B7-626B1DA1A1ED}"
   Таким образом, извлеченная библиотека будет автоматически подгружаться в адресное пространство процесса "EXPLORER.EXE" при каждом следующем старте системы.
3. Внедряет исполняемый код извлеченной библиотеки в адресное пространство процесса "SVCHOST.EXE".
4. Для удаления своего оригинального файла после завершения его работы запускает системный командный интерпретатор "cmd.exe" со следующими параметрами:

   /c del "<полный путь к оригинальному файлу троянца>" >> NUL

   После этого троянец завершает свою работу.