Trojan-Ransom.Win32. Digitala.bpk

Троянская программа, блокирующая нормальную работу компьютера с целью получить выкуп за восстановление исходного состояния системы. Является приложением Windows (PE-EXE файл). Имеет размер 67584 байта. Программа упакована неизвестным упаковщиком. Распакованный размер – около 40 КБ Написана на C++.

Инсталляция

Перемещает свой оригинальный файл в каталог "Application Data" текущего пользователя Windows со следующим именем:

%AppData%\{<идентификатор>}\.exe

Где <идентификатор> - цифро-буквенная последовательность, например, "C6D3BC0E-F70C-A35F-FCF3-ED7E6D83CCA7" или "641CA5E6-9E2F-9EDF-B417-33FEDEA5C0FC", которую троянец получает преобразуя значение следующего параметра ключа системного реестра:

[HKLM\SYSTEM\Setup]
"Pid"

Для автоматического запуска при каждом следующем старте системы добавляет информацию в ключ системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AD Network" = "<путь к оригинальному телу троянца> <параметр>"

Где <параметр> - шестнадцатеричное число, троянец выполняет различные действия в зависимости от значения данного параметра.
name="doc3">

Деструктивная активность

Троянец проверяет наличие следующего файла:

%WinDir%\tmp\bot.log

При наличии использует его в качестве лог-файла своей работы. Создает файл во временном каталоге текущего пользователя Windows, не являющегося вредоносным:

%Temp%\{217F200B-97B8-468d-AC3B-8577E112EEC1}.tlb

Данный файл имеет размер 3432 байта и используется троянцем для дальнейшей работы. Проверяет наличие файла:

%AppData%\{<идентификатор>}\.cfg

данный файл является файлом-конфигурации и содержит сценарий языка JavaScript, который троянец запускает на исполнение. В файле-конфигурации содержатся URL по которым троянец может загружать свою обновленную версию, обновленную версию файла-конфигурации или файлы с командами. Получая команду, троянец может открывать различные ресурсы в браузере пользователя или загружать файлы с последующим запуском их на исполнение. Загружаемые файлы сохраняются во временном каталоге текущего пользователя Windows c расширением ".tmp":

%Temp%\<имя файла>.tmp

В зависимости от параметра с которым был запущен, троянец может выполнять следующие действия:

1. Выполнять инсталляцию, описанную выше.
2. Удалять свое тело, созданные троянцем ключи реестра и файл конфигурации.
3. Создавать следующие записи в ключе системного реестра:

   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {<идентификатор>}]
   "DisplayIcon" = "<путь к оригинальному телу троянца>"
   "NoModify" = "1"
   "NoRepair" = "1"
   "DisplayName" = "AD Network"
   "Publisher" = "uCoz"
   "URLInfoAbout" = "http://www.ucoz.ru/"
   "UninstallString" = "<путь к оригинальному телу троянца>"
   

Таким образом троянца можно будет деинсталлировать, используя стандартное меню Windows "Установка и удаление программ".