Virus Messenger - I worm ricattano gli utenti
Il worm Randsom.A paralizza i computer infetti crittografando i file memorizzati su di essi e quindi cercando di fare soldi.
Symantec e Isidor Security Center hanno riferito che un altro worm di estorsione ha iniziato la sua conquista. IL Ransom.A Dopo aver creato alcuni file e modificato il registro, il malware nominato inizierà a raccogliere informazioni riservate. Carica le informazioni acquisite su un server remoto predefinito su Internet. Il worm quindi crittografa i file in Windows, Program Files e altre directory importanti per il funzionamento di Windows. Quindi prova a convincere l'utente ad acquistare il software necessario per decrittografare i file. Randsom.A si sforza di accedere al maggior numero possibile di computer principalmente tramite unità rimovibili e condivisioni di rete.
Quando il worm Randsom.A si avvia, esegue le seguenti azioni:
- Crea i seguenti file:
% Windir% \ lsass.exe
% Windir% \ NeroDigit16.inf
% Windir% \ services.exe
% Windir% \ UNINSTLV16.exe
% Windir% \ NeroDigit32.inf
% Temp% \ errir.exe - Viene visualizzata una finestra di messaggio con il testo "Applicazione Win32 - Non risponde" nella barra del titolo.
- Crea il seguente file:
% Windir% \ ulodb3.ini - Aggiungere le seguenti voci al database di registrazione:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Configurazione attiva \
Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\
“StubPath” = “%Windir%\UNINSTLV16.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Configurazione attiva \
Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}\
“StubPath” = “%Windir%\UNINSTLV16.exe” - Copia i seguenti tre file su ciascuna unità rimovibile e di rete:
% DriveLetter% \ tg_root \ Skype.exe
% DriveLetter% \ tg_root \ Uninstall.exe
% DriveLetter% \ autorun.inf - Crea il seguente file:
% Profilo utente% \ feedback.html - Raccoglie dati riservati e li trasmette a un server remoto predefinito.
- Crittografa le seguenti directory e i file in esse contenuti:
% vento%
% Profilo utente%
% File di programma%
% SystemDrive% \ Avvio
% SystemDrive% \ ProgramData \ Microsoft
% SystemDrive% \ utenti \ Tutti gli utenti \ Microsoft
Codifica file crittografati con estensione .XNC.
Il worm non crittografa i file con una delle seguenti estensioni:
. COM
CAB
. COM
.DLL
ini
.lnk
.LOG
.REG
.SYS
.XNC - Crea i seguenti file:
% SystemDrive% \ [percorso] \ LEGGI QUESTO.txt
% SystemDrive% \ [percorso] \ !!!! LEGGI QUESTO !!!!. Txt