Pénzt követel a Randsom trójai
A Randsom.A trójai pénzt követel a fertőzött számítógépek tulajdonosaitól annak érdekében, hogy ne törölje le a PC-n lévő fájlokat.
A Randsom.A trójai számos fájlt hoz létre a kiszemelt számítógépeken, majd módosítja a regisztrációs adatbázist. Ezt követően megjelenít egy üzenetablakot, amely arról tájékoztatja a felhasználót, hogy mihamarabb fizessen be 10.99 dollárt, vagy különben minden 30. percben törlésre kerül valamelyik állománya. A trójai üzenetéből kiderül, hogy a pénz befizetése után egy kódot kap a PC tulajdonosa, amellyel hatástalaníthatja a trójait.
A Randsom.A további ismert nevei: Troj/Ransom-A [Sophos].
Amikor a Randsom.A elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
corpstats.exe
winstart.exe
004.exe
005.exe
006.exe
007.exe
008.exe
009.exe
svchost.exe
data3.exe
data2.exe
data4.exe
dat1.bat
wpd.exe
ShutdownUtility.exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\RunOnceEx
kulcsához hozzáadja a
“cleanup” = “%System%\oobe\setup\corpstats.exe” értéket.
3. Létrehoz egy ártalmatlan átmeneti fájlt az alábbi könyvtárba:
C:\Documents and Settings\All Users\Application Data\OZ
4. Létrehoz egy átmeneti bejegyzést a regisztrációs adatbázis következő kulcsába:
HKEY_CURRENT_USER\SOFTWARE\OZ Development\Applications
5. Megjeleníti a következő ablakot:
6. Létrehozza az alábbi állományokat, és lefuttatja azokat:
%Windir%\dat1.bat
%System%\bat.bat.